数据安全工作中容易被忽视的几个点

围观次数:832 views

2020年的一个工作成果就是把数据安全的3年规划做出来了。这种规划会讲到内部的一些差距,内容比较敏感,不太好拿出来大范围评审,所以也不知道自己做的咋样,总之自己觉得做的还行吧。自己以往在文档安全领域还是有比较多的认知,但是当面对数据安全这个课题的时候,发现还是有一些领域是力不从心的;同时在做规划过程中,与一些同行有过一些讨论,觉得有几个点可能比较容易被忽视,分享出来、以飨读者。

1、数据安全的内涵和边界

先回答清楚下面几个问题:我们负责的“数据安全”范畴中

(1)“数据”是指公司控制范围内流转、存储的所有数据吗?还是仅指识别、分级后的需要加以控制的数据?

(2)“数据”包括结构化数据和非结构化数据吗?格式化数据大体指的是数据库、大数据平台存储的数据,以及应用系统内部和系统之间流转的数据;非格式化数据大体指是各种办公文档、文件、聊天记录、邮件、图片音视频等。

(3)“数据”包括电子数据、纸质数据吗?

(4)以上定义的“数据”有可能会包含员工的个人数据吗?比如聊天记录、个人文档图片、邮件等,都是什么形态存在的?

(5)“安全”指的是什么意思?是数据的机密性、完整性、可用性、抗抵赖性、可追溯性中的哪几个?除了通常说数据安全要做到防泄漏、防滥用、防篡改,“安全”一词还包括什么含义?

(6)机密性、完整性、可用性、抗抵赖性、可追溯性分别要做到什么地步?是绝对不允许泄漏,还是允许低频度、低危害的泄漏或滥用?完整性强度要达到怎样的状态?追溯能力要达到什么状态?

某些行业,“安全”还隐含“自证清白”的目标,也就是万一有投诉或者外部调查,自己可以举证自己是否清白。这个可以列入到追溯能力的定义中。

(7)“安全”的状态、强度,对于不同密级、敏感程度的数据是否有区别?如果有,是怎样的?

(8)如果你是数据安全负责人,你未来如何评价数据安全工作的好坏,如何向客户、领导展现工作质量的高低?

识别清楚以上几个问题,才能真正把数据安全工作的目标、内涵、边界定义清楚。

2、数据安全与业务之间的关系

数据安全始终是信息安全工作的一部分,而信息安全工作是必须要为业务服务、为业务增长服务的,因此,数据安全也必须要为业务服务,而不是为了安全人员服务。

我记得方兴(FlashSky)写过一个系列的5篇文章,论述了数据安全的价值和重要性,其核心思想之一就是“数据必须要流动起来才能产生价值,数据安全也必须在数据流动中采取安全措施,否则数据虽然安全了,但是数据的价值也没有了”。当今数字化转型的大潮席卷中国各行各业,其技术方向之一就是大数据的应用为业务赋能。在这个过程中,数据必然会大量、自由地流动、分享、使用,爆发价值。那么数据安全在企业中怎么做?

我的主要思路是

  • 尽一切努力减少纸件数据的流转,把业务过程推上系统,先完成信息化过程;
  • 配合、推动公司的流程标准化、规范化进程,标准化、规范化之后,才能把线下的流程(纸质流转过程,靠邮件和电话的业务流程,靠文档发来发去的业务过程)线上化、系统化、服务化;
  • 在各类线上、系统、服务中嵌入安全手段、工具,实现数据安全的服务化;

3、数据安全与隐私保护、数据合规之间的关系

隐私保护的重要性已经不言而喻。而企业在开展数据安全工作过程中,只要涉及到员工个人隐私或客户信息(乃至客户隐私信息),不管你愿不愿意,都必须回答“数据安全与隐私保护(数据合规)是什么关系”这个问题。在当前语境下,隐私保护的范畴比数据合规还要小。根据我的理解,数据合规指的是在某国/地区的法律法规要求下,合规合法地采集、传递、存储和使用某些重要数据,比如邮件、个人信息、客户信息等。

要回答这个问题,要从企业实际环境出发,具体回答、明确这几个问题

(1)数据安全和数据合规工作分别由哪个部门/团队或哪个人负责?

(2)数据安全工作开展的组织、方法、工具可以在哪些方面或维度帮助数据合规工作?具体怎么做?

(3)如果现在没有明确地定义数据合规工作的责任方,数据安全的责任方又能做些什么,使得公司的数据合规风险可控?

(4)公司内部员工的隐私保护不善,可能也会给公司运营带来风险。那么数据安全工作应如何界定公司员工的隐私保护策略呢?需要将之作为一种敏感、重要数据加以安全控制吗?

4、数据安全与总体安全文化、策略的关系

数据安全是总体信息安全工作的一部分,当然,对于某些行业、企业,约等于其总体信息安全工作。因此,数据安全的策略、导向必然要体现总体安全文化。

比如,总体的安全文化可能是趋严的,对于违规行为是低容忍的,那么数据安全的策略、导向大概率就是牺牲一些可用性和用户体验,尽可能避免数据安全风险的发生。比如,总体的企业文化可能是相对宽松、自由的,对于违规行驶是低容忍的,那么数据安全的策略、导向大概率就是要千方百计保障用户体验,但是默默地在后台做好记录、检测和审计,一旦发现涉嫌违规就要及时出现,以体现无处不在的潜在威慑。甚至可能领导们现在也没想好数据安全策略到底怎么定,数据安全风险高不高,那可能刚开始的时候,数据安全策略就以记录、检测为主,等发现了较严重、高发的数据安全事件后,或发生了外部事件以后,再以事件推动策略的调整。

我印象中不止一家企业提到过这样的现象:企业内部有些高价值人员对公司的数据安全、信息安全措施不信任,不用公司的电脑,不装公司的安全软件甚至不用公司的邮箱(除非迫不得已)。出现这种情况的绝大部分原因,都在于他们都认为IT人员、安全人员掌握了超级权限,要么可以在后台改数据,要么可以在后台进行监控,出于各种原因,这些高价值人员对IT、安全人员不信任。我认为这时应采取2种方式破局(1)将IT人员掌握超级权限、可以后台改数据看数据的风险视为高风险,优先采取安全控制措施、加以改进;(2)尝试引入第三方力量对IT人员、安全人员进行监管,比如合规部门、审计部门或者外部单位。这其实也是整个信息安全文化在数据安全工作的一个缩影。

5、数据安全工作的协作与打通

之所以写这条,是因为数据安全工作无论最后由谁负责,一定是需要其他团队、部门的协作与配合的。因此,一定要在组织层面进行协作和打通,比如

  • 要有数据安全组织。一线、业务部门发现数据安全风险要上报,数据安全工作要求要下达、落实,都得在一线有人。可以在每个部门新建个数据安全专员,也可以复用现有的安全专员、合规专员、风险专员、数据治理专员。有了人,就要给他们培训、赋能,奖励机制等等。
  • 要在关键流程上有卡点、控制措施。比如新建系统要立项评审,如果涉及敏感数据就要满足一系列要求;比如数据在系统间同步、流转,就要控制变更过程,在其中加入评审点,识别并评估数据安全风险;比如业务部门要求数据团队提取敏感业务数据给他们,那就要在IT服务流程中设置卡点,进行必要的审批、数据的安全传递等等。
  • 要和其他团队协作。终端上的安全管控措施可能在终端团队,那终端DLP、文档加密等这些措施必须要合作吧?数据从生产环境到测试环境的中转过程要加脱敏措施,要和运维团队合作吧?公司是不是允许微信的开放式沟通,内部的文档、知识要不要集中式管理?怎么管?这些都会极大地影响数据安全的策略和工具配置,必然要和相关团队合作。
  • 有了组织,有了协作需求,就要通过绩效目标、会议、定期沟通汇报等形式把相关部门、团队、人员的目标对齐,把政策规范、项目建设、系统运营、检查审计、问题改进等情况“可视化”出来,真正地推动组织协同。

6、数据安全工具的协作与打通

写到这里有点心痛,现有的数据安全工具似乎还做不到协作与打通。除了著名的三叉戟(终端、邮件和网络),它的国产替代版本似乎还多了Web系统代理组件,算是协作与打通层面最一致的工具了。

不过也可以理解,因为不同的客户需求、场景都是不一样的,对于工具的选择也是不一样的,指望这些系统之间打通、协作,目前似乎不太可能,但是,未来是不是应该可以做到?比如通过API、通过标准化的策略和日志设置,通过一个类似于SOC或SOAR的平台实现关联告警或调度,实现不同数据安全工具在不同场景的联动,实现搜索数据的时间线展现?我觉得这应该是必由之路。

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助