數據安全與生意兩難 (車品覺)
研究機構IDG近期向一百多位美國企業IT高層進行調查,問及其公司前5大IT投資方向時,最常提到的就是改善安全。75%人表示,與兩年前相比,IT安全問題變得更加重要。
數據安全向來令人糾結,企業致力於保護數據的同時,又要照顧業務發展。隨着很多公司容許員工自攜設備上班(包括手機和平板電腦),以及允許員工在家辦公後,大多數公司的IT安全原則已經落後,最簡單粗暴的方法可能是「No」──完全不容許員工自攜設備。
如何既能鼓勵公司使用數據,同時又能防止資料洩漏呢?從前的數據安全偏向被動式回應,亦鮮有企業為大數據或人工智能作全面安全布局。而且任何安全原則要得到業務方面的支援,必須契合其商業目標、風險承受能力和部署能力,在今天大部分管理層還未有共識前,要做到這樣相當困難。我在阿里擔任數據委員會會長的時候,其中一個需要解決的問題,就是審批數據科學家使用敏感數據的許可權。過去的靜態分類在大數據時代愈來愈難發揮作用,例如一些原本已經被匿名的身份,因為得到了另一個數據的關聯而被重新認證, 風險級別忽然被提高,事前卻難判斷。
大數據流行豈容落後
雲計算、混合雲、彈性儲存、流動數據等新技術的流行,亦令數據中心的安全邊界愈發模糊。在反思大數據時代之下數據中心的運作方式時,企業必須考慮以下幾個問題:監控日誌應該在哪裏並收集什麼?數據聚集和流通時的加密是否足夠?安全原則有多大程度影響業務效率?數據敏感度的靜態分層與基於業務動態分類有多大分別?企業是否有能力捕捉到受威脅情報,然後處理可疑行為?
要讓數據安全真正起作用,安全原則必須把人、 過程和技術都納入考量。實施新技術時,企業必須確保相應的支援人員受到適當培訓,且樂於承擔其職責。同時,應該及早讓公司管理層參與安全技術評估和選擇過程,這有助於讓安全技術獲得支援和認可。
最後回到大數據本身,要記住這樣一句口訣:Use big data to help big data。機器學習和人工智能的運用,有助收集、分析和分享安全威脅的問題,更快地執行相關解決措施。而區塊鏈作為存儲和共用數據的新技術,也為解決網絡安全問題提供了一種新途徑。如果你認同數據智能化是未來的商業核心,就絕不能讓企業數據安全策略落後於人。
更多車品覺文章:
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。