企業(yè)數(shù)據(jù)安全：一個不斷演變的過程

當前，隨著大數(shù)據(jù)時代的深入發(fā)展，大數(shù)據(jù)作為經(jīng)濟領域一種重要的戰(zhàn)略資源，其影響深入到各個行業(yè)領域，銷售商可通過大數(shù)據(jù)的實時分析了解相關市場動態(tài)并迅速做出對應調(diào)整，通過這種有目標的精確營銷來增加銷售收入。企業(yè)還可以從產(chǎn)品開發(fā)、生產(chǎn)銷售等歷史數(shù)據(jù)中找到有用的信息，從而不斷改進現(xiàn)有產(chǎn)品和服務，創(chuàng)造新的業(yè)務模式，促進企業(yè)健康快速發(fā)展。

通過對大量數(shù)據(jù)進行科學的分析總結(jié)，為制定經(jīng)濟政策提供了重要參考。使經(jīng)濟決策部門可以更加準確地把握住經(jīng)濟發(fā)展走向，科學的制定并實施相關的經(jīng)濟政策。由此大數(shù)據(jù)可以大大提高企業(yè)經(jīng)營決策水平，不斷推動創(chuàng)新改革，給企業(yè)帶來不可估量的經(jīng)濟價值。因此，理解企業(yè)數(shù)據(jù)的真正價值與安全威脅，有利于企業(yè)的安全計劃、安全過程和程序真正行之有效地進行。

專注于數(shù)據(jù)

許多企業(yè)花費了太多時間用于工具，而對于數(shù)據(jù)的重視程度卻遠遠不夠。與數(shù)據(jù)相比，技術(shù)相對簡單。更困難的問題是理解數(shù)據(jù)，因為大樓、LAN、主機無法限制數(shù)據(jù)。

無論IT專業(yè)人員還是一般的業(yè)務專業(yè)人士都需要認識到企業(yè)需要部署控制和保護，以跟蹤數(shù)據(jù)的流向和目的地。企業(yè)很容易在這方面犯錯誤。當今的企業(yè)需要保護信息的基礎架構(gòu)。

但這僅僅是關于數(shù)據(jù)與技術(shù)的第一項措施。多數(shù)公司往往并不清楚威脅。許多企業(yè)發(fā)現(xiàn)，要證明“把錢花在不一定發(fā)生的潛在威脅上是合適的”非常困難。情況往往是只有在發(fā)生了危害后，企業(yè)才開始重新評估其安全策略。

風險的概念

從何處開始呢?要描繪企業(yè)信息風險的概況，安全管理者應從確認所有的關鍵業(yè)務過程及其工作方式開始。誰都無法保護并不了解的資產(chǎn)。安全管理者應調(diào)查企業(yè)的邏輯和物理資產(chǎn)，無論是數(shù)據(jù)、技術(shù)、人員還是過程，都必須包括在內(nèi)。

安全管理員應與擁有這些過程涉及的人員交流，發(fā)現(xiàn)他們的風險要求和感受水平。例如，風險在何種情況下會產(chǎn)生危害?企業(yè)的敏感點(痛點)在哪里?是效率還是可用性?亦或是資產(chǎn)自身?這些痛點在不同的企業(yè)之間是不同的。

這個過程的一部分就是要理解企業(yè)所面臨的不同風險狀況。在這些狀況中，哪些是真正可能發(fā)生的?安全管理者應關注哪些?如何應對這些狀況，在哪一點上開始對付這種狀況?由此，安全管理者才可以部署控制、功能、框架、過程、方法、人員進行應對。

企業(yè)需要一種信息管理策略，以幫助企業(yè)更好地確定和實施安全策略和過程。我們不妨將信息管理策略定義為：為了管理在企業(yè)中存在和流動的信息，企業(yè)將有益于公司的方法、策略、過程建立起來的一種集合。這種策略可以管理和監(jiān)視數(shù)據(jù)。

信息管理與評估風險和決定適當?shù)陌踩酵瑯又匾?/span>

但管理信息遠遠不是通過技術(shù)保護信息那樣簡單。在安全問題上的策略和知識管理必須利用教育、培訓等要素。

不僅僅是技術(shù)

在確認了適當?shù)娘L險狀況和理解了風險要求后，還要考慮到隨著時間的推移，問題會發(fā)生變化。企業(yè)的風險要求需要重新調(diào)整。

安全管理員需要講求實效，并更現(xiàn)實地認識這些風險。

在準備好策略、過程、工具后，評估其效能就要求企業(yè)具有安全實踐和過程的專業(yè)知識，并理解公司的內(nèi)部程序。這種評估可通過內(nèi)部的專業(yè)人員或外部的審計人員實施。