數(shù)據(jù)安全是剎車？還是加速？

一位資深的賽車手曾經(jīng)說過，“剎車不僅僅是用來減速的，相反，剎車可以幫助經(jīng)驗(yàn)豐富的賽車手開得更快?！?/span>

最近，IBM 商業(yè)價值研究院和亞馬遜云科技針對超過 3,300 名首席數(shù)據(jù)官 (CDO) 開展了調(diào)研，其中約 300 位 CDO 來自中國。調(diào)研結(jié)果表明，數(shù)據(jù)安全不是阻礙業(yè)務(wù)發(fā)展的剎車，相反，強(qiáng)大的數(shù)據(jù)安全可以幫助組織建立信心，成為業(yè)務(wù)增長的加速器。

在本調(diào)研中，我們發(fā)現(xiàn)了一類在數(shù)據(jù)安全工作中走在前面的 CDO，我們將其稱之為“數(shù)據(jù)價值創(chuàng)造型 CDO”，并總結(jié)了他們?nèi)齻€共同的數(shù)據(jù)安全領(lǐng)先實(shí)踐，希望這些實(shí)踐能幫助您的企業(yè)鑄造堅(jiān)實(shí)的數(shù)據(jù)安全基礎(chǔ)，更快地實(shí)現(xiàn)業(yè)務(wù)目標(biāo)。

領(lǐng)先實(shí)踐一：消除破壞信任的障礙

改善組織的數(shù)據(jù)安全狀況通常需要變革，而變革不可避免會遇到障礙，比如各職能采用孤立的專有解決方案，缺乏透明度和責(zé)任落實(shí)等。不過，通過有意識地應(yīng)對這些挑戰(zhàn)，組織可以增強(qiáng)數(shù)據(jù)安全，從而加速創(chuàng)造新的商機(jī)。

打通戰(zhàn)略孤島：企業(yè)需要建立一種協(xié)作文化，讓數(shù)據(jù)、運(yùn)營、技術(shù)和安全等各職能領(lǐng)域的戰(zhàn)略相互支持，以便權(quán)衡多方需求，針對最緊迫的業(yè)務(wù)需求達(dá)成一致。

減少運(yùn)營摩擦：企業(yè)必須要超越網(wǎng)絡(luò)邊界和托管基礎(chǔ)設(shè)施，關(guān)注數(shù)據(jù)本身，采用如零信任以及權(quán)限管理等工具及策略，將靜態(tài)數(shù)據(jù)、動態(tài)數(shù)據(jù)和使用中的數(shù)據(jù)納入管理機(jī)制。

消除模糊性：CDO 必須采用自動化工具，發(fā)現(xiàn)、管理以及處置敏感數(shù)據(jù)，增強(qiáng)數(shù)據(jù)透明度和信任，從而確保投資、發(fā)展動力和業(yè)務(wù)潛力。

01案例

中國車聯(lián)網(wǎng)領(lǐng)軍企業(yè)

信息安全架構(gòu)增強(qiáng)數(shù)據(jù)可視化

電動化、網(wǎng)聯(lián)化、智能化、共享化已成為汽車產(chǎn)業(yè)發(fā)展潮流和趨勢，但隨著智能網(wǎng)聯(lián)汽車集成度、復(fù)雜性的增加，除傳統(tǒng)的功能安全以外，復(fù)雜網(wǎng)絡(luò)和數(shù)據(jù)分析技術(shù)的應(yīng)用也帶來了新的風(fēng)險和挑戰(zhàn)，汽車數(shù)據(jù)安全問題逐漸受到廣泛關(guān)注。

中國車聯(lián)網(wǎng)某領(lǐng)軍企業(yè)通過采用 IBM QRadar 構(gòu)建更智能的車聯(lián)網(wǎng)信息安全架構(gòu)，有效保護(hù)并大大降低所有聯(lián)網(wǎng)的車輛面臨的安全威脅。據(jù)評估，QRadar 在數(shù)據(jù)接入、可視化展示、智能分析、報告導(dǎo)出等方面都達(dá)到了預(yù)期效果。QRadar 的高級威脅檢測管理和風(fēng)險預(yù)警，能夠從大量的異常數(shù)據(jù)中發(fā)現(xiàn)寶貴的數(shù)據(jù)洞察，與該企業(yè)產(chǎn)品整合之后，可主動應(yīng)對信息安全的挑戰(zhàn)。

領(lǐng)先實(shí)踐二：建立安全意識文化，改善成效

就像駕駛賽車時獲得充足的安全信心一樣，組織應(yīng)當(dāng)建立一種安全意識文化。在這種文化中，領(lǐng)導(dǎo)者、員工、合作伙伴和客戶對自己所使用的數(shù)據(jù)充滿信心，這樣就有助于營造更加可預(yù)測、可信和高效的環(huán)境。不過，從一線員工到董事會的全體人員都必須承擔(dān)起數(shù)據(jù)安全的責(zé)任。

關(guān)注“如何實(shí)現(xiàn)目標(biāo)”：將安全性視為支持業(yè)務(wù)成效的引擎，從領(lǐng)導(dǎo)層自上而下提高對網(wǎng)絡(luò)風(fēng)險的認(rèn)識，對團(tuán)隊(duì)成員給予激勵和權(quán)限，讓他們將安全視為優(yōu)先要務(wù)，甚至可以在安全功能未按預(yù)期運(yùn)行時延遲交付產(chǎn)品。

采取全新的人才方法：重新思考安全團(tuán)隊(duì)的組成，比如引入人力資源專員、營銷和傳播專員等非技術(shù)人員，有助于擴(kuò)充人才庫的技能和專業(yè)知識，建立更強(qiáng)大、更多元化的安全屏障。

打造合規(guī)、注重隱私且符合倫理的業(yè)務(wù)運(yùn)營方式：全球的數(shù)據(jù)價值創(chuàng)造型 CDO 表示，他們實(shí)現(xiàn)了比全球平均水平更出色的數(shù)據(jù)倫理、透明度和網(wǎng)絡(luò)安全性。

圖1. “數(shù)據(jù)價值創(chuàng)造型” CDO 在與信任相關(guān)的數(shù)據(jù)實(shí)踐方面表現(xiàn)突出

02案例

中國領(lǐng)先智能終端制造商

合規(guī)與隱私，為全球化部署構(gòu)筑安全基石

國內(nèi)一家聚焦智能終端業(yè)務(wù)的領(lǐng)先公司近年來最大的威脅之一，是來自云服務(wù)平臺的安全威脅。該公司攜手亞馬遜云科技，首先采用分級策略，保證安全設(shè)計的可靠性。另外，該公司采用亞馬遜云科技的云安全漏洞檢測系列工具，配合人工審計，對產(chǎn)品進(jìn)行滲透和認(rèn)證等措施。其次，在及時反饋方面，該公司建立安全應(yīng)急響應(yīng)中心，由專人負(fù)責(zé)運(yùn)營。最后，該公司在亞馬遜云科技的的幫助下，解決密鑰安全性的問題，并獲得全方位隱私及合規(guī)保護(hù)。

目前，安全與合規(guī)已經(jīng)成為該公司品牌差異化的重要部分，而亞馬遜云科技的云安全是這種品牌差異化的重要助推力量。

領(lǐng)先實(shí)踐三：制定企業(yè)韌性規(guī)劃

從全球疫情、供應(yīng)鏈中斷、極端天氣到不確定的經(jīng)濟(jì)形勢，隨著各種突發(fā)事件接踵而至，組織正在應(yīng)對一系列沖擊，這些沖擊顛覆了計劃中的假設(shè)和傳統(tǒng)的風(fēng)險緩解措施。

運(yùn)營環(huán)境開始變得充滿不確定性，有時甚至是混沌。與此同時，威脅行為者正在設(shè)法利用各種新漏洞。為應(yīng)對這一形勢，領(lǐng)先的 CDO 團(tuán)隊(duì)及其安全領(lǐng)導(dǎo)者正在大力加強(qiáng)基本的安全健康措施，從而改善數(shù)據(jù)治理并提高運(yùn)營韌性。

走出舒適區(qū)：卓越的領(lǐng)導(dǎo)者會優(yōu)先建立安全、透明的數(shù)據(jù)架構(gòu)，為意外事件和不確定性做好準(zhǔn)備，并保護(hù)驅(qū)動業(yè)務(wù)的價值引擎。

利用 AI 和自動化：隨著 CDO 依靠高級分析和 AI 來發(fā)掘數(shù)據(jù)價值，安全團(tuán)隊(duì)還必須利用AI 和自動化技術(shù)工具，更加有效地自動響應(yīng)安全事件、識別典型與非典型行為模式以及智能化管理異常與升級。

借力合作伙伴：通過適當(dāng)?shù)闹卫砗蛦栘?zé)制，外部合作方可以成為加強(qiáng)企業(yè)韌性的重要力量，助力企業(yè)加速洞察、降低風(fēng)險以及捕獲新的價值來源。

圖2. 數(shù)據(jù)價值創(chuàng)造型 CDO 最重要的數(shù)據(jù)架構(gòu)特征

03案例

國內(nèi)某銀行

數(shù)據(jù)彈性保護(hù)，實(shí)現(xiàn)快速檢測及恢復(fù)

北方某銀行具有典型的三站點(diǎn)容災(zāi)架構(gòu)，目前可保障 99% 以上物理故障情況下數(shù)據(jù)不被損壞，但是對于人為錯誤、邏輯錯誤、入侵勒索保護(hù)不足。

為進(jìn)一步保證數(shù)據(jù)安全，IBM 為其增加了數(shù)據(jù)彈性保護(hù)，增加了 Air Gap 保護(hù)。經(jīng)過系統(tǒng)部署，幫助該銀行實(shí)現(xiàn)了對于人為錯誤、邏輯錯誤、入侵勒索等威脅的保護(hù)，3 天內(nèi)實(shí)現(xiàn)數(shù)據(jù)的快速檢測和快速恢復(fù)，恢復(fù)顆粒度小于 4 小時，配合數(shù)據(jù)庫功能，顆粒度可以更小。超過 3 天的數(shù)據(jù)可使用磁帶庫進(jìn)行恢復(fù)。

結(jié)語

強(qiáng)大的數(shù)據(jù)安全可以幫助組織建立信心，并更加高效地創(chuàng)造價值。如何效仿領(lǐng)先的 CDO 及其組織，將數(shù)據(jù)安全轉(zhuǎn)變業(yè)務(wù)加速器? 企業(yè)高管以及職能部門主管應(yīng)當(dāng)采取什么行動？請下載 IBV《數(shù)據(jù)安全成為業(yè)務(wù)加速器：組織競爭力背后的無名英雄》報告全文，了解更多詳情。

中秋節(jié)是中國傳統(tǒng)節(jié)日之一，也是一年中最重要、最盛大的節(jié)日之一。在這一天，以明亮的月亮和家人團(tuán)聚為特點(diǎn)，承載著人們無盡的思念和美好的祝福。

關(guān)于 IBM商業(yè)價值研究院

20 年來，IBM 商業(yè)價值研究院 (IBM IBV) 一直是 IBM 的思想領(lǐng)導(dǎo)力智囊團(tuán)。IBV 提供有研究支持和技術(shù)支持的戰(zhàn)略洞察，幫助領(lǐng)導(dǎo)者做出更明智的業(yè)務(wù)決策。憑借IBM在商業(yè)、技術(shù)和社會交叉領(lǐng)域的獨(dú)特地位，IBV 每年都會針對成千上萬高管、消費(fèi)者和專家展開調(diào)研、訪談和互動，將他們的觀點(diǎn)綜合成可信賴的、振奮人心和切實(shí)可行的洞察。

訪問 IBM 商業(yè)價值研究院中國官網(wǎng)，免費(fèi)下載研究報告: https://www.ibm.com/ibv/cn