数据安全是关乎企业生死存亡的核心要素

发布时间:2018年11月22 16:57

　　近日，Gartner研究团队副总裁Peter Firstbrook在美国佛罗里达州举办的顶级安全趋势大会上表示，数据安全是关乎企业生死存亡的核心要素之一。

　　最近几年里，各大公司发生的数据泄漏事件造成的影响和结果不可谓不惨烈，严守数据安全是企业的底线，此外云端系统安全、机器学习、AI和日益增长的网络威胁成为企业需要要着重关注的安全发展趋势。

　　Equifax、雅虎、Facebook等互联网巨头不断爆出影响数千万用户信息安全的重大漏洞，尤其是雅虎的10亿用户信息被窃取之后，公司核心资产只能贱卖给Verizon。Equifax发生数据泄露事件后，CEO、CIO和CSO岗位均易人。而摧枯拉朽般的WannaCry勒索软件估计影响了150个国家的数十万台计算机，损失总额从数亿美元到数十亿美元不等。

　　越来越多的实例和行业发展趋势让企业高管意识到网络安全对公司业务、声誉、品牌的极大影响。

　　法律和法规越来越强调企业保障数据安全的责任。

　　数据可以为企业带来利润，但同时也意味着不可推卸的责任。机器学习(ML)和人工智能(AI)可以帮助企业改进数字业务实践并提高效率，但它们也为攻击者提供了挖掘数据的机会。

　　再举个例子，GDPR已经改变了数据保护的性质，因为该法规大大扩展了用户权利。用户有权对公司存储的个人数据提出查看、修改和删除等要求，对数据处理流程进行监管。由于机器学习技术的不断铺开和该技术对数据永不满足的需求，企业可能无法提供数据处理和存储的全貌，因此如何在法律框架下满足用户对于数据安全的需求正变得越来越困难。

　　品牌形象垮塌。

　　这一点不用多说，看看Facebook把用户个人信息卖给剑桥分析这一事件造成的结果就知道了，Facebook的市场价值遭到了重创，导致整个平台的市场占有率不断减少。这不是个案，基本上所有发生过重大数据泄露事件的企业或组织的品牌价值都大打折扣。

　　合规性挑战。

　　随着各个国家按照自身国情陆续推出了针对性的网络安全法规，企业由于未能保护网络安全而遭受罚款、诉讼的可能性大大增加。

　　数据保护难度不断上升。

　　企业已成为网络攻击的大头，一些古老的手法，如电子邮件攻击和钓鱼等，在防护能力薄弱的企业网络中总能老树开新花。

　　此外，新型攻击手段迭出，传统安全解决方案无法在第一时间内有效识别和防范恶意活动。比如现在攻击者常用的无文件恶意软件和脚本攻击，基于Java、PowerShell和宏构建，区分正常和恶意PowerShell脚本的唯一方法是应用程序行为分析，传统的防病毒软件早已无计可施。

　　企业必须从现在开始采取更积极的措施来防止数据受到攻击：

　　不以数据为业务核心的企业可以将数据存储在专业的第三方平台以获得更全面的防护能力。

　　匿名化个人数据，降低攻击者利用个人信息进行二次恶意活动的风险。

　　及时制定政策，不再获取和存储非必要数据。很多落入攻击者口袋里的服务器通常维护不善，比如在摩根大通，一个闲置的捐款数据库成了攻击的源头。

　　针对企业环境的安全建设要点

　　安全建设要渗透进每个业务环节，而不仅仅作为事后的补救措施。

　　当安全从业人员能够真正理解业务时，才能最有力的保障安全。因此，企业安全工程师需要参与到业务流程中，举个如果一位高管只关心提高销售额，没有及时推进企业内部计算机的系统升级和补丁修复，那么在WannaCry攻击发生时，企业的整体业务都会受到极大影响。

　　考虑一下基于云的安全产品。

　　企业安全团队可能习惯依赖于本地软件，比如防火墙、代理服务器、内部端点保护解决方案，但基于云的安全产品可提供本地IT基础架构没有的高效、灵活和自动化的管理模型。

　　提升安全防护的自动化水平以吸引更多人才。

　　日常的重复性任务应当交给机器，把企业安全人员从枯燥的工作中解决出来，把时间花在更重要的创造性事物和结果的决策上。根据跟踪IT劳动力市场的研究公司CompTIA 的“ IT技能差距评估 ”报告，46%的组织认为企业间的IT技术差距正在恶化，52%的人认为这样差距会影响生产力。

　　打破成规，构建新时代的企业文化。

　　鼓励企业和员工积极追求多样性，打破根深蒂固的文化形态和思考模式。IT部门不应当充满了“兄弟文化”，而是接纳各种各样的怀揣着不同思维和技能的人才。企业要旗帜鲜明地构建一种开放、包容的文化，这样才能在瞬息万变的网络世界中保障企业、员工和用户的安全。

       图文来源于网络，侵权请联系我们删除。