企業數字化轉型中數據安全治理之道
數字化轉型涉及對企業和組織如何利用新技術追求新收入或新商業模式的徹底反思,還需要跨部門協作,把專注于業務的理念與面向未來的IT技術配合起來。成功的企業數字化轉型不僅是通過信息和數字化技術重塑企業核心業務,還要具備配套的數據安全能力,以讓數字化轉型后的企業在數據時代持續“活下去”。
企業架構與安全是數字化轉型的基礎需求
數字化轉型主要的意義是一個公司無論從流程、產品設計都要基于大數據、云計算的架構來為企業業務發展制定方向。很多企業管理者會認為IT只是輔助業務發展的工具,但在大數據時、云計算和人工智能時代,IT是生產力的重要組成部分。同時,數字化正在進入深水區,制造業、服務業等傳統意義上的非數據密集型行業開始產生海量的數據,更不用說原本就是“數字企業”的金融、互聯網、教育等等行業,毋庸置疑,數據已經成為各行各業的基本生產要素之一。
事實上,如果不先打破IT和業務之間的隔閡,數字化轉型就根本無法開始。正因為這樣,企業架構才成為數字化轉型的兩大基礎需求之一,也是企業在籌劃轉型前的必修課。通過對企業戰略、組織、職能、業務流程、IT系統、數據、網絡部署等的完整、一體化描述,明確企業業務的狀況,體現業務與IT的映射關系,明確各類IT設施對業務的支撐關系,從而構建穩健的企業信息系統架構,實現數據共享、模塊集成、業務協同,滿足未來不斷變化的業務需求。
隨著煙囪似的信息化逐漸破除,信息系統間開始打通、共享、協同,數據時代的重要生產要素—數據也開始在企業內部快速流轉,直至“失控”。由于在完成數字化轉型后,所有的企業都將變成數字型企業,業務也將數字化,被“萃取”出更高的價值,一切的資產都將以數據的形式呈現,傳統的設備也將變為聯網設備持續在線,接收信息指令的控制。如果不在轉型過程中把數據安全作為基礎需求,企業管理者恐將在日后的數字化業務大發展的時候惴惴不安。
用企業架構的模式思考數據安全治理
企業架構是對真實世界企業的業務流程和IT設施的抽象描述,通過分析企業業務戰略導向、企業組織與流程、信息化需求、企業業務能力與業務模式來確定業務架構,進而確定企業的IT架構。企業架構是企業信息化的頂層設計、完整理念和方法論。
目前數據安全領域普遍存在安全目標與業務目標相脫節、數據安全需求不明確、控制措施是否得當缺乏明確依據等問題。為了確保數字化支撐下的業務的“長治久安”,數據安全治理也需要量身定制,貼合企業業務來進行。因此,數據安全治理絕不僅僅是一個產品或解決方案“套餐”,而是從決策層到技術層,從業務部門到IT部門,從管理制度到技術支撐,自上而下貫穿企業各個部門的完整覆蓋,并且要與其間的各個環節相匹配和適應。企業內的各個層級之間也需要對數據安全治理的目標和宗旨取得如企業架構一般的共識,確保采取合理和適當的方法對數據資產實現有效保護。
體系化地進行數據安全治理,就要走出以往頭痛醫頭腳痛醫腳的安全建設誤區,比如只重視攻防對抗,輕視數據保護;重視單點防御,缺乏體系建設;重視技術產品,與業務結合差;重視滿足合規,對實效沒有更高要求等一系列問題。
要想做好數據安全治理,首先要自問下面這些問題:
- 是否有安全效果問責制
- 誰對數據安全治理具有決策權
- 有無劃定可接受的安全風險范圍
- 數據安全方案設計是否有業務部門參與
- 目前的數據安全手段有無能力進行有效的風險控制
- 是否有風險控制措施有效性的評估手段
數據安全治理要深入業務流程
數據安全治理不是一個IT項目,而是與其他業務線發展同等重要的業務行為,與業務流程改進一樣,是能夠為企業良性發展提供有力保障的戰略行為,或者說數據安全其實是企業業務的一個組成部分,而不僅是技術支撐。
因此,在應用大家耳熟能詳的各種安全技術和機制之前,首先需要做的是了解企業安全戰略,梳理業務流程、梳理關鍵數據、梳理信息和數據流、確立權責關系、確立數據權限、功能權限和角色權限。通過梳理業務流程和其中的關鍵數據,進行威脅建模,有助于建立對應的數據安全治理措施和制定相關的可接受風險承受范圍。在一款新產品上市過程中,涉及從戰略制定到售后支持等近10個業務階段和信息化系統,數十種不同的關鍵敏感數據,不同的數據丟失可能都會給新產品的拓展帶來威脅,比如戰略決策、拓展計劃等文件泄露會遭到競爭對手的提前狙擊,供應商、采購價、配方、設計圖等信息泄露會導致競爭對手控制原材料采購價或直接復制產品等等。
同樣地,在跨系統和業務部門間持續流轉的數據,根據業務功能的不同有對應的安全需求。業務活動類別的業務屬性為業務功能,邏輯位置,責任追究屬性,非常態使用屬性。每種概念的安全需求都要從保密性,完整性,可用性,不可抵賴性等安全屬性進行分析。數據對象的業務屬性決定了其安全屬性,需要根據安全屬性確定安全需求,根據安全需求實施安全控制。比如業務功能決定了業務活動的重要級別和保密性,關聯程度越高數據可用性和完整性要求越高,責任追究屬性要求數據的使用記錄不可篡改等等。
由于企業內部系統的互通性和復雜性,要求對于數據的安全保護,必須進入到業務流程中。企業還需要對結構化和非結構化數據進行分別保護,根據其所處的位置和形式進行分類劃分,以及根據重要程度進行分級(要有密級標識),對不同位置、不a同形式和不同級別的數據實行不同的保護策略。比如未經審批授權無法將數據導出;帶出工作環境需要將數據加密處理;不同類別的商業秘密文檔,需要按部門、項目組、用戶名的方式設置細粒度使用權限,且應給予最小權限等等。
小結
在數字化轉型的大背景下,企業需要將數據安全治理與企業架構相結合,形成一個從上而下的整體框架,形成包括治理前提,具體目標和技術支撐在內的完整體系,當然,數據安全治理也不宜冒進,需要確保業務需求與風險控制有良好的平衡,在保障業務發展和業務敏捷度之間找到一個合理的度,才能有效推進數據安全治理進程,實現有效護航企業數字化轉型。
