企業(yè)數(shù)據(jù)安全:一個不斷演變的過程
發(fā)布時間:2015-03-24當前,隨著大數(shù)據(jù)時代的深入發(fā)展,,大數(shù)據(jù)作為經(jīng)濟領(lǐng)域一種重要的戰(zhàn)略資源,,其影響深入到各個行業(yè)領(lǐng)域,銷售商可通過大數(shù)據(jù)的實時分析了解相關(guān)市場動態(tài)并迅速做出對應調(diào)整,,通過這種有目標的精確營銷來增加銷售收入,。企業(yè)還可以從產(chǎn)品開發(fā)、生產(chǎn)銷售等歷史數(shù)據(jù)中找到有用的信息,,從而不斷改進現(xiàn)有產(chǎn)品和服務(wù),,創(chuàng)造新的業(yè)務(wù)模式,促進企業(yè)健康快速發(fā)展,。
通過對大量數(shù)據(jù)進行科學的分析總結(jié),,為制定經(jīng)濟政策提供了重要參考。使經(jīng)濟決策部門可以更加準確地把握住經(jīng)濟發(fā)展走向,,科學的制定并實施相關(guān)的經(jīng)濟政策,。由此大數(shù)據(jù)可以大大提高企業(yè)經(jīng)營決策水平,,不斷推動創(chuàng)新改革,給企業(yè)帶來不可估量的經(jīng)濟價值,。因此,,理解企業(yè)數(shù)據(jù)的真正價值與安全威脅,有利于企業(yè)的安全計劃,、安全過程和程序真正行之有效地進行,。
專注于數(shù)據(jù)
許多企業(yè)花費了太多時間用于工具,而對于數(shù)據(jù)的重視程度卻遠遠不夠,。與數(shù)據(jù)相比,,技術(shù)相對簡單。更困難的問題是理解數(shù)據(jù),,因為大樓,、LAN、主機無法限制數(shù)據(jù),。
無論IT專業(yè)人員還是一般的業(yè)務(wù)專業(yè)人士都需要認識到企業(yè)需要部署控制和保護,,以跟蹤數(shù)據(jù)的流向和目的地。企業(yè)很容易在這方面犯錯誤,。當今的企業(yè)需要保護信息的基礎(chǔ)架構(gòu),。
但這僅僅是關(guān)于數(shù)據(jù)與技術(shù)的第一項措施。多數(shù)公司往往并不清楚威脅,。許多企業(yè)發(fā)現(xiàn),,要證明“把錢花在不一定發(fā)生的潛在威脅上是合適的”非常困難。情況往往是只有在發(fā)生了危害后,,企業(yè)才開始重新評估其安全策略,。
風險的概念
從何處開始呢?要描繪企業(yè)信息風險的概況,安全管理者應從確認所有的關(guān)鍵業(yè)務(wù)過程及其工作方式開始,。誰都無法保護并不了解的資產(chǎn),。安全管理者應調(diào)查企業(yè)的邏輯和物理資產(chǎn),無論是數(shù)據(jù),、技術(shù),、人員還是過程,都必須包括在內(nèi),。
安全管理員應與擁有這些過程涉及的人員交流,,發(fā)現(xiàn)他們的風險要求和感受水平。例如,,風險在何種情況下會產(chǎn)生危害?企業(yè)的敏感點(痛點)在哪里?是效率還是可用性?亦或是資產(chǎn)自身?這些痛點在不同的企業(yè)之間是不同的,。
這個過程的一部分就是要理解企業(yè)所面臨的不同風險狀況。在這些狀況中,,哪些是真正可能發(fā)生的?安全管理者應關(guān)注哪些?如何應對這些狀況,,在哪一點上開始對付這種狀況?由此,,安全管理者才可以部署控制、功能,、框架,、過程、方法,、人員進行應對,。
企業(yè)需要一種信息管理策略,以幫助企業(yè)更好地確定和實施安全策略和過程,。我們不妨將信息管理策略定義為:為了管理在企業(yè)中存在和流動的信息,,企業(yè)將有益于公司的方法、策略,、過程建立起來的一種集合,。這種策略可以管理和監(jiān)視數(shù)據(jù)。
信息管理與評估風險和決定適當?shù)陌踩酵瑯又匾?/span>
但管理信息遠遠不是通過技術(shù)保護信息那樣簡單,。在安全問題上的策略和知識管理必須利用教育,、培訓等要素。
不僅僅是技術(shù)
在確認了適當?shù)娘L險狀況和理解了風險要求后,,還要考慮到隨著時間的推移,,問題會發(fā)生變化。企業(yè)的風險要求需要重新調(diào)整,。
安全管理員需要講求實效,,并更現(xiàn)實地認識這些風險,。
在準備好策略,、過程、工具后,,評估其效能就要求企業(yè)具有安全實踐和過程的專業(yè)知識,,并理解公司的內(nèi)部程序。這種評估可通過內(nèi)部的專業(yè)人員或外部的審計人員實施,。
上一篇:華為抱怨谷歌,,或許只是剛剛開始
下一篇:智能安全為什么是未來趨勢?
