企业数字化转型中数据安全治理之道. 2020-08-18
数字化转型涉及对企业和组织如何利用新技术追求新收入或新商业模式的彻底反思,还需要跨部门协作,把专注于业务的理念与面向未来的IT技术配合起来。成功的企业数字化转型不仅是通过信息和数字化技术重塑企业核心业务,还要具备配套的数据安全能力,以让数字化转型后的企业在数据时代持续“活下去”。
企业架构与安全是数字化转型的基础需求
数字化转型主要的意义是一个公司无论从流程、产品设计都要基于大数据、云计算的架构来为企业业务发展制定方向。很多企业管理者会认为IT只是辅助业务发展的工具,但在大数据时、云计算和人工智能时代,IT是生产力的重要组成部分。同时,数字化正在进入深水区,制造业、服务业等传统意义上的非数据密集型行业开始产生海量的数据,更不用说原本就是“数字企业”的金融、互联网、教育等等行业,毋庸置疑,数据已经成为各行各业的基本生产要素之一。
事实上,如果不先打破IT和业务之间的隔阂,数字化转型就根本无法开始。正因为这样,企业架构才成为数字化转型的两大基础需求之一,也是企业在筹划转型前的必修课。通过对企业战略、组织、职能、业务流程、IT系统、数据、网络部署等的完整、一体化描述,明确企业业务的状况,体现业务与IT的映射关系,明确各类IT设施对业务的支撑关系,从而构建稳健的企业信息系统架构,实现数据共享、模块集成、业务协同,满足未来不断变化的业务需求。
随着烟囱似的信息化逐渐破除,信息系统间开始打通、共享、协同,数据时代的重要生产要素—数据也开始在企业内部快速流转,直至“失控”。由于在完成数字化转型后,所有的企业都将变成数字型企业,业务也将数字化,被“萃取”出更高的价值,一切的资产都将以数据的形式呈现,传统的设备也将变为联网设备持续在线,接收信息指令的控制。如果不在转型过程中把数据安全作为基础需求,企业管理者恐将在日后的数字化业务大发展的时候惴惴不安。
用企业架构的模式思考数据安全治理
企业架构是对真实世界企业的业务流程和IT设施的抽象描述,通过分析企业业务战略导向、企业组织与流程、信息化需求、企业业务能力与业务模式来确定业务架构,进而确定企业的IT架构。企业架构是企业信息化的顶层设计、完整理念和方法论。
目前数据安全领域普遍存在安全目标与业务目标相脱节、数据安全需求不明确、控制措施是否得当缺乏明确依据等问题。为了确保数字化支撑下的业务的“长治久安”,数据安全治理也需要量身定制,贴合企业业务来进行。因此,数据安全治理绝不仅仅是一个产品或解决方案“套餐”,而是从决策层到技术层,从业务部门到IT部门,从管理制度到技术支撑,自上而下贯穿企业各个部门的完整覆盖,并且要与其间的各个环节相匹配和适应。企业内的各个层级之间也需要对数据安全治理的目标和宗旨取得如企业架构一般的共识,确保采取合理和适当的方法对数据资产实现有效保护。
体系化地进行数据安全治理,就要走出以往头痛医头脚痛医脚的安全建设误区,比如只重视攻防对抗,轻视数据保护;重视单点防御,缺乏体系建设;重视技术产品,与业务结合差;重视满足合规,对实效没有更高要求等一系列问题。
要想做好数据安全治理,首先要自问下面这些问题:
是否有安全效果问责制
谁对数据安全治理具有决策权
有无划定可接受的安全风险范围
数据安全方案设计是否有业务部门参与
目前的数据安全手段有无能力进行有效的风险控制
是否有风险控制措施有效性的评估手段
数据安全治理要深入业务流程
数据安全治理不是一个IT项目,而是与其他业务线发展同等重要的业务行为,与业务流程改进一样,是能够为企业良性发展提供有力保障的战略行为,或者说数据安全其实是企业业务的一个组成部分,而不仅是技术支撑。
因此,在应用大家耳熟能详的各种安全技术和机制之前,首先需要做的是了解企业安全战略,梳理业务流程、梳理关键数据、梳理信息和数据流、确立权责关系、确立数据权限、功能权限和角色权限。通过梳理业务流程和其中的关键数据,进行威胁建模,有助于建立对应的数据安全治理措施和制定相关的可接受风险承受范围。在一款新产品上市过程中,涉及从战略制定到售后支持等近10个业务阶段和信息化系统,数十种不同的关键敏感数据,不同的数据丢失可能都会给新产品的拓展带来威胁,比如战略决策、拓展计划等文件泄露会遭到竞争对手的提前狙击,供应商、采购价、配方、设计图等信息泄露会导致竞争对手控制原材料采购价或直接复制产品等等。
同样地,在跨系统和业务部门间持续流转的数据,根据业务功能的不同有对应的安全需求。业务活动类别的业务属性为业务功能,逻辑位置,责任追究属性,非常态使用属性。每种概念的安全需求都要从保密性,完整性,可用性,不可抵赖性等安全属性进行分析。数据对象的业务属性决定了其安全属性,需要根据安全属性确定安全需求,根据安全需求实施安全控制。比如业务功能决定了业务活动的重要级别和保密性,关联程度越高数据可用性和完整性要求越高,责任追究属性要求数据的使用记录不可篡改等等。
由于企业内部系统的互通性和复杂性,要求对于数据的安全保护,必须进入到业务流程中。企业还需要对结构化和非结构化数据进行分别保护,根据其所处的位置和形式进行分类划分,以及根据重要程度进行分级(要有密级标识),对不同位置、不a同形式和不同级别的数据实行不同的保护策略。比如未经审批授权无法将数据导出;带出工作环境需要将数据加密处理;不同类别的商业秘密文档,需要按部门、项目组、用户名的方式设置细粒度使用权限,且应给予最小权限等等。
小结
在数字化转型的大背景下,企业需要将数据安全治理与企业架构相结合,形成一个从上而下的整体框架,形成包括治理前提,具体目标和技术支撑在内的完整体系,当然,数据安全治理也不宜冒进,需要确保业务需求与风险控制有良好的平衡,在保障业务发展和业务敏捷度之间找到一个合理的度,才能有效推进数据安全治理进程,实现有效护航企业数字化转型。
转自it常青树