近年来随着GDPR、数据安全法、个人信息保护法等法律法规的颁布以及数字化浪潮的兴起,数据安全与隐私合规逐渐成为了企业关注的焦点,这个变化一方面让数据安全团队获得了更多的企业资源支持,相关从业人员也成为了行业的稀缺品,薪酬待遇水涨船高;但另一方面,如何保障企业数据安全合规也成为了各个数据安全团队急需回应的挑战。这里我想简单围绕数据安全的过去、现在与未来谈谈我个人的理解。
一、数据安全的过去
我所在的行业早期其实很少讲数据安全,更多谈的是信息安全。一方面是由于早期商业环境、法律法规不健全,导致企业面临的主要威胁以内外部人员窃密、泄密为主;另一方面早期企业信息化、数字化程度低,数据形态更多是源代码、图纸、电子文档等非结构化数据为主,主要存储于员工终端以及文件服务器上。早期企业对员工办公体验普遍关注不高,在数据安全管控上普遍采用“重管控”的风格,主要方式方法可以总结为两点:1. 管好出口,具体的手段就包括网络、物理区域上的红、黄、蓝、绿区隔离、可信外发工具以及终端监控、DLP工具等等;2. 收紧权限,这里就包括终端权限回收、上网权限控制、应用功能、数据访问权限控制等等,基本上安全团队做好这两点就能保证数据安全工作不出大的问题。
二、数据安全的现在
随着企业内外部环境的发展变化,数据安全工作又面临了新的挑战,这里个人总结主要有三点:
-
大部分企业市场进入存量竞争时代,竞争愈发激烈,新一代年轻人对于工作环境与体验愈发看重,企业为了降低成本、吸引优秀人才,十分注重内部业务运作效率与员工体验,传统重管控的思路、措施与体验、效率冲突严重;
-
外部法律法规陆续出台,个人隐私保护、数据跨境传输等场景监管趋严,企业违规后果严重,用户数据保护与合规成为大部分企业数据安全工作第一优先级;
-
数字化转型带来数据量的爆炸增长,企业数据形态逐步以结构化数据为主,为了让数据充分流动起来产生最大价值,企业内部愈发强调数据的开放共享,数据使用/共享场景多样复杂、流动频繁,现有安全技术手段发展滞后,安全合规风险点增加。
面对这些挑战,现在的数据安全工作要怎样做?这里我想从“道、法、术、器” 这四个层面来进行回答:
1、道:我理解的数据安全之道是 “以最小的成本” 来保障数据高效、安全、合规的流动,但在实际安全工作中,特别是面对环境变化时,很多安全工作人员往往只注重后者(安全、合规)而忽视前者(低成本、高效)。举例而言,数据安全工作中单纯一刀切以安全合规为由阻挠业务数据的采集、流动,又或者疫情防控工作中,各地政府层层加码,阻挠人员、货物流动运输等等,都属于违背了安全之道的体现,以这个工作思路/方式开展数据安全工作注定是不长久、不被业务、管理层所接受的,所以无论内外部环境怎么变化,数据安全从业者一定要先想明白这一点
2、法:想清楚道之后,接下来就是法了,个人总结数据安全工作需要围绕以下四个关键点开展:
1)“看见” 核心数据
“看见” 核心数据的重点是要通过管理、技术手段筛选出哪些是企业真正关注、需要重点保护的数据,并通过数字化的手段让数据存储、流动尽可能清晰可见,“可见” 是数据“可管” “可控” 的前提,它决定了安全人员是扮演 “狙击手” 还是沦为 “机枪手”;
2)“识别” 重点风险
安全资源往往是紧缺的,“识别” 重点风险、聚焦投入就显得尤为重要,“数据”流动频繁、流动场景复杂的特性使得管理手段能识别的风险很有限,技术手段特别是敏感数据流动的监控预警能力建设十分重要;
3)“调动” 业务参与
数据安全风险往往不是安全团队能独立解决的,安全团队更多扮演的是发现问题、推动问题解决的角色,真正解决问题的主体在业务方,安全团队“调动” 业务、IT参与的能力决定着问题解决的质量;
4)“持续” 运营机制
所有数据安全流程、制度、平台、工具如果没有运营机制来驱动持续优化,往往会沦为摆设,建立一个好的安全运营中心以及持续运营机制十分重要。
3、术、器:想要做好“法”的四个关键点既有管理上的挑战,也有技术上的难点,这里简单整理了我在术与器上的一些实践与思考:
1)要“看见” 核心数据,那么核心数据的定义必须十分精确,对于结构化数据,必须要精确到字段级,对于非结构化数据最好能精确到文件级,越精确越有利于敏感数据的识别。在这个精确定义基础上,我们再通过数字化的方式/手段根据数据的存储位置、流动场景来构建相应的识别技术与工具能力,从而实现核心数据资产从存储到流动的可视化。以结构化数据为例,存储位置主要是应用数据库以及大数据平台,围绕库、应用、终端有四类流动场景:a)应用API数据互调 ;b)用户通过应用导出数据到终端;c)运维人员数据库导出操作;d)库与库之间ETL抽取。针对这四类场景我们可以利用敏感数据资产扫描工具、API监控工具、数据库审计工具并结合应用、API等相关操作日志进行关联分析来实现结构化数据存储到流动的可视化
2)针对“识别”重点风险,个人的建议是基于“数据类别”分类开展风险评估与处置工作,这样能有效控制项目范围与实施难度。对于大部分企业而言第一优先级就是用户数据,要尽可能聚焦精力与资源围绕用户数据全生命周期来开展风险评估、处置工作,业务流以及相应IT系统是开展风险识别工作的有力抓手,最终解决措施也要尽可能融入到业务流以及相应IT系统中形成固化;除此之外,风险识别要有“正”有“反”,很多数据安全风险/问题单靠正向风险识别、评估往往发现不了,需要通过反向工具/实战验证才能挖掘出。
3)对于“调动”业务参与,除了传统的激励处罚、宣贯培训以外,还有两点十分重要,一是在各个流程制度建设中一定要非常明确业务各个角色的职责,这是调动业务参与安全工作的基础,这是个人看到很多安全人员编写制度过程中很容易忽视的一点;二是数据安全从业人员要提升个人的影响力与协同力这类软性技巧。数据安全岗是个综合性岗位,对于从业人员专业能力、沟通影响能力都有较强的要求,这里建议数据安全从业人员可以多看看《影响力》这类书籍,相信会对你推动工作有所帮助。
4)最后关于“持续” 运营机制,我的理解一个好的运营机制应该满足 “流程驱动”、“业务参与”、“指标明确”、“技术提效”这几点。以敏感数据资产识别为例,当数据库表结构发生变化(新增、修改)时,流程自动触发安全敏感数据资产扫描任务,扫描完后自动推送消息提醒至安全人员进行确认,安全人员初步判断后再提交业务进行复核确认,业务反馈后最终由安全人员进行流程闭环,每个流程活动参与角色、时间要求都需要进行明确的定义,并定期对执行结果、出现的问题组织复盘。
以上就是我个人从道、法、术、器四个层面对于现阶段数据安全怎么做的思考与解答。
三、数据安全的未来展望
最后再谈谈数据安全的未来,万物互联、元宇宙、NFT等新技术、新事物的陆续出现,预示着未来的世界一定是一个虚、实结合的世界,未来的企业也只会有数字企业。可以预见得到数据安全与合规的重要性、复杂性将进一步提升,这也意味着数据安全行业将有很长的红利期,相应人才特别是高端人才短缺的现象在未来只会更加严重 。对于数据安全从业人员,这既是一个很好的机会,也是一个严峻的挑战。
站在个人角度,无论内外部环境怎么变化,数据安全从业人员还是要回归到数据安全之道来思考,不断提升个人的业务理解能力、专业能力以及影响力、协同力,这样才能更好的应对内外部环境变化。
全文完。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论