“看我弄潮搏浪,多认真的亮相,努力跳,摇咿摇咿摇咿摇咿摇咿摇;看我乘风破浪,多诚实的欲望,努力唱,吆咿吆咿吆咿吆咿吆咿吆……”小殷也在办公闲暇之余接跳“浪姐热舞”。
小殷不仅是数据管理小能手,也是唱跳俱佳的宝藏女孩啊~
哈哈哈,谢谢Dr.Data赞美~最近“乘风破浪”太火了,这么热闹,小殷怎能不来蹭蹭!
其实在数据管理领域,最近也有一件大火的热点事件,那就是——重磅!《中华人民共和国数据安全法(草案)》(以下简称“数据安全法(草案)”)公布于人大网,面向社会公众征求意见。草案内容共7章,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。
数博士您真是三句话不离本行呀。有了这个数据安全法,我们做数据工作就有法可依了,大家的发展前景应该会更好吧!
是的,确实如你所言,数据安全保护乘风破浪正当时!继“数据=新型生产要素”的官宣后,数据安全法(草案)的问世,意味着数据安全已成为事关国家安全与经济发展的重大问题。
数据具有颠覆性力量,数字化转型的魅力与挑战无处不在:因为数据安全保障不力导致的信息泄露威胁破坏公司声誉和客户信任,新的数据安全和隐私保护的合规要求日益严格,混合IT架构下缺乏相对应的数据安全策略……数据安全法来了,企业的数据安全与合规准备好了吗?Informatica有没有什么妙招?
一直引领数据管理 “前浪”的Informatica,怎么会没有妙招助力企业“弄潮搏浪”呢!新常态下的新挑战,企业应当告别传统数据安全策略去解决问题,而需要真正以数据为中心,基于战略、业务、应用、人员的安全和风险管理的有机整体构建全局的数据安全治理战略,从管理制度到工具支撑,从上层管理架构到下层技术实现,以持续监控、分析和修复敏感数据风险,为企业的商业成功保驾护航。
我的好朋友Informatica资深技术顾问冷鹏持续关注和研究数据安全治理,现将他的《数据安全“三叉戟”方法论》分享给大家,期待为企业数据安全建设带来新的启迪。
数据安全的重要价值不言而喻。根据《信息安全》杂志披露的调研数据,因为数据保护不力会导致:
▶ 69% 的消费者会抵制在他们看来不重视数据保护的企业
▶ 62% 的消费者在数据泄露事件中会将责任归咎于该企业而非黑客
▶ 83% 的消费者会在数据泄露事件发生后暂停购买好几个月
▶ 21% 的消费者不会再继续购买曾经遭受数据泄露的品牌
数据泄漏是目前最大的 IT 安全风险。因为数据泄露导致的安全事件频发,再加上消费者对泄露事件的反应,使得数据保护和安全不仅是法律合规问题,更是业务发展的重要保障和必备技能。
长期以来,数据安全保护都只是某个特定时间点的活动,并且只用于保护明确定义范围内的数据。但随着数据的爆炸性增长,在企业内外传输速度不断加快,以及数据本身不断地发展变化,由此造成的完美风暴正带来巨大的安全风险。传统的安全保护策略根本不适合应对这些挑战,必须及时调整以应对不断变化的挑战和威胁。这就需要一种全新的数据安全策略:以敏感数据为中心的持续安全保护策略。
调研机构AuditAnalytics在其《网络安全事件披露趋势》报告里回顾了2011年以来的639起上市公司网络安全事件,发现每起网络数据泄露事件的平均损失高达1.16亿美元。在2019年里,获取客户姓名、住址和电子邮件地址(占比分别为48%、29%和28%)等敏感数据在安全事件里名列前茅。敏感数据保护的重要性由此可见一斑。
以敏感数据为中心的持续安全保护策略提供基于风险的分析并保护数据本身,而不仅仅是数据移动涉及的端点、网络和应用系统等,使您能够在任何时间持续发现、分类、分析和保护您的数据。通过评估敏感数据的位置、保护状态、数量、传播、使用情况和价值,企业可以创建基于风险的视图,帮助确定安全和合规投资的优先顺序,重点开发数据保护资源和流程。此外,从业人员还可以使用基于地理位置、应用系统和服务器的详细数据分析,找到降低数据风险的最佳补救措施。
数据无处不在,使用数据的方式不断更新,数据量不断增加,数据处理速度不断加快。毫无疑问,实现有效的数据保护计划颇具挑战性,但它并不是无法实现的。基于我们与数百家企业首席信息安全官 (CISO)、首席隐私官(CPO)、首席数据官 (CDO) 和首席信息官 (CIO) 在数据安全和保护一线的合作经验,以及我们对数据安全保护技术的多年耕耘和深入了解,推荐采用以下六步法实施以敏感数据为中心的持续安全保护策略:
1. 定义和管理数据治理政策
了解处理个人隐私和敏感数据的目的、用途、系统和人员。这有助于企业制定数据安全与隐私保护政策,明确流程与责任,增强数据安全管理活动的透明度和参与度。
2. 发现、分类和理解个人和敏感数据
在企业范围内查找存储在任何位置的数据,并根据内部政策和外部法规对其敏感性和重要性进行分类。识别跨监管地区的数据传输,并了解不同地区的监管要求。
3. 将身份映射到个人和敏感数据
身份是隐私的关键。个人数据和敏感数据必须准确、全面地与其在各种系统中所代表的身份相关联。这能帮助您处理数据主体访问权限、发送数据泄露警报等要求。
4. 分析数据风险
基于数据存储、位置和政策对隐私风险进行建模和评估。这有助于您规划涉及不同职能部门、地域和业务部门的风险修复,并对其进行优先级排序。
5. 制定保护和响应计划
实施访问控制以及加密、匿名化和假名化等安全机制。跟踪和监控数据的使用和传输状况。实现授权管理和数据主体权利请求自动化。
6. 评估和报告
跟踪合规和风险指标,使安全策略和操作保持一致。提供数据仪表盘,有助于增加透明度,推动跨职能合作和问责制。自动收集和校对审计报告所需的信息,快速响应监管机构和审计人员的要求,及时提供证据以证明自己能够发现并保护关键数据。
数据管控和数据安全保护,业务和IT是 “合伙人”,需要充分调动两个部门的协作与沟通,重视数据分级分类、数据角色授权、数据安全过程场景化管理,构建数据安全流程管理制度、数据安全应急管理机制等,闭环管理数据安全,及时根据政策合规与制度规范提升需求,滚动修订数据安全的制度、流程、标准,保障数据安全的规划、计划、实施、运行、监督的全程管控,持续提升机构的数据安全保护能力。
由于数据的海量、多样和不断变化,单纯依赖人工的方法不可取。Informatica的数据安全解决方案通过基于元数据的智能化和自动化能力,帮助企业创建适用于现今世界的以敏感数据为中心的持续安全保护策略。
● 定义和管理治理政策
Informatica Axon Data Governance 提供定义、记录和评估业务和技术政策、职责、流程和数据术语的功能。借助 Axon 治理任务框架和可视化工作流,企业可以识别关键业务用户利益相关者,使其与所拥有的数据和流程相匹配。
● 发现、分类和理解数据
Informatica Data Privacy Management和Enterprise Data Catalog(EDC)利用 CLAIRE人工智能引擎,提供有关个人数据资产和元数据的企业级视图和自动分析能力。这有助于企业快速定位、分类和理解分布在多云、Hadoop、关系和文件存储系统中的结构化和非结构化数据。
● 映射身份
Informatica Data Privacy Management创建数据主体注册表并将其与敏感数据关联起来,以便企业快速确定敏感信息对应所属者的身份(例如客户、员工等)。这为数据主体访问权限控制提供支持,并与许可管理系统结合。
● 分析数据风险,制定保护计划
Informatica Data Privacy Management分析个人数据风险并提供定制化的风险影响模型,以便企业确定修复措施的优先顺序,有效部署资源和投资。持续评估和记录风险,为隐私和保护计划提供关键风险指标。
● 保护数据,管理主体权限和许可
Informatica Data Masking 通过对个人数据进行匿名和假名化处理,确保企业能够控制对客户和员工个人数据的访问和查阅。Informatica Master Data Management 通过捕获和记录沿袭、历史和数据保留期,并以全面和一致的方式执行数据主体的权限,创建有关数据主体及其许可的 360 度视图。
● 评估、沟通、审计就绪
Informatica Axon Data Governance、Data Privacy Management和 Master Data Management 提供全局可视化功能以支持决策者,为从业人员提供详细的视图,同时提供关于个人数据的即时详细信息以支持审计需求,从而管理和跟踪数据安全和隐私保护计划。
凭借多年的技术和服务优势,全球数据管理领导者Informatica在数据安全、数据治理等领域获得广泛认同和荣誉奖励,Informatica持续关注创新,关注数据安全的最新趋势、政策解读和最佳实践,以一系列专业可靠的解决方案,帮助企业保护敏感数据的同时获取数据价值。
数字经济时代,市场力量不断推动数据隐私法规发展,数据信息正裹挟着各行各业奔驰在数字化、智能化的现代高速公路上。一旦数据安全事件爆发,将为企业甚至行业都带来潜在危害和巨额损失。企业的客户、员工、合作伙伴都希望企业能有道德和负责任的方式处理他们的数据。手握“数据硬币”的企业们,要想让数据成为无价之宝,必须重视数据安全,防患于未然,将数据安全与合规视为目标状态和持续的旅程,才能在数字化转型舞台上乘风破浪,满载而归。