我們已經生活在一個數字化的時代，那些能夠從數據中獲取最大價值的組織將成為最后的贏家。在數字化轉型和數據民主化的發展背景下，企業開展數據安全保護刻不容緩。不過，盡管企業在數據保護方面已取得了長足的進步，但數據安全建設并非一蹴而就，需要過程和投入，如果缺乏系統思考必然會導致只重視解決眼前問題，而缺乏長遠的規劃，最終會造成頭痛醫頭、顧此失彼、重復建設等問題。

文收集整理了企業開展數據安全建設時普遍存在的5種常見問題，并給出建議。

數據安全建設需要積極主動地識別和減輕風險，而不是僅僅在合規審計期間逐項打勾。雖然GDPR、數據安全法等一系列數據安全法規的出臺，為企業組織的數據安全建設提出了明確要求和標準，但僅僅遵守這些法規是不夠的。人們常說，遵守規定并不等于安全，很多安全專業人員也反復強調了這一點。然而，還是有很多的企業組織將其有限的安全資源集中在實現數據安全合規上，一旦符合了相關法規要求或通過認證，就會產生虛假的安全感。因此，近年來許多重大的數據泄露事件，恰恰發生在那些表面上看完全合規的組織中。

建議：將合規作為數據安全建設的起點

合規只是數據安全建設的起點，組織應采用戰略性、主動性的方法來保護關鍵數據。該策略應該包括發現和分類敏感數據，使用分析工具評估風險，通過加密和訪問控制實施數據保護，監測異常活動，快速響應威脅，并簡化合規報告。同時，企業要了解數據泄露的更廣泛影響，比如法律責任和潛在損失，這對于制定可靠的數據安全措施至關重要。

隨著業務不斷發展，數據被存儲在分散的平臺上，其中大部分是非結構化數據。數據蔓延現象切實存在，這突顯了集中式安全監管的重要性。對IT基礎設施越來越龐大的公司而言，如果數據源進一步擴展到云端，將會面臨一個全新的數據安全攻擊面。此時，組織需要一個更加全面的數據安全可見性，以便深入了解敏感數據的位置、訪問權限、如何被利用以及如何存儲等安全狀況態勢信息。

建議：部署新一代數據安全管控平臺

有效的數據安全需要了解敏感數據存儲和訪問的位置及方式，并將這些信息融入到更廣泛的網絡安全計劃中，以確保不同技術之間順暢兼容。企業應該積極應用先進的數據安全管控平臺方案，構建一個集中式的數據發現、優先級評估、安全防護和持續監控能力，這樣才能識別所有已知和未知的數據，并根據數據量、暴露情況和安全態勢確定安全隱患的風險級別，提出風險警報和補救指導。

數據是現代企業最有價值的資產之一。然而，即使意識到數據安全的重要性，許多企業也沒有明確由哪個部門或團隊來負責保護敏感數據。這種情況在數據安全或審計事件中往往變得明顯。明確描述數據所有權和責任對于有效開展數據安全建設至關重要。企業中的所有部門以及員工都必須了解自己在保護數據安全方面的職責和角色，這樣才可以形成穩定的數據安全文化。如果沒有人知道誰對哪些數據負責，保護數據安全就無從談起。

建議：設立數據安全保護官（DPO）

設立數據安全保護官（DPO）是企業向高效數據安全管理邁出的第一步，這個工作角色對于促進整個組織數據安全協作將起到關鍵性作用。在開展數據安全建設時，DPO 既要考慮監管越來越嚴格的監管要求，也要管理好內部的組織問題；同時，還要保持其有效運轉，以保障數據資產的全鏈安全及業務的合規增長，這些都是DPO最核心的工作職責。

未修補的漏洞是網絡犯罪分子最容易攻擊的目標之一。企業中很多的數據安全事件往往由于已知的漏洞造成的，盡管相關的安全補丁已經發布，但許多企業由于種種原因并不能及時修補這些漏洞。無法快速修補已知漏洞會嚴重危及組織的數據安全性。

建議：實施更有效的漏洞管理計劃

對于企業組織來說，在實施漏洞管理計劃之前，首先需要明確一點，如何判斷漏洞管理項目的有效性？很多時候，漏洞管理不僅僅是一個技術問題而是企業綜合管理問題，它應該是程序化的，包含計劃、行動、協同、問責和持續改進。企業應該將漏洞修復視為一個優先事項，并基于潛在的漏洞和業務影響設置漏洞修復優先級。此外，對漏洞的保護措施還應包括加密和令牌化等數據混淆技術。

全面監控數據訪問和使用是企業數據安全戰略的重要組成部分。企業需要知道哪些人、在什么時候、以何種方式訪問數據，這些訪問活動是否會增加企業的數據安全風險。然而在大數據時代，全面監控數據活動困難重重，因為需要監控、捕獲、過濾和處理來自數據庫、文件系統和云環境等不同數據源下的海量數據。

建議：制定全面的數據監控策略

企業在開始數據安全建設時，需要及時調整數據監控工作的規模和范圍，以正確應對數據安全防護的需求和風險。該項工作通常應該采用分階段方法，這樣能夠開發和擴展更多的最佳應用實踐。此外，企業應優先考慮監控最敏感的數據源，并安裝具有高級分析功能的自動化監控工具，以檢測風險和異常活動，尤其是特權用戶。