无疑,最近数据安全是个非常热烈的话题,滴滴8宗罪导致80亿元人民币的罚款,使得滴滴再次因数据安全登上热搜。上海某公共安全部门几十T的数据泄露、上海某政府部门的大量数据若干美金网上被售卖,这些热点事件带来一些短期负面的影响,但是这些事件在数据安全领域长期看则是正面影响大于负面影响。为什么这么说呢?因为我们多数的人都是后知后觉的,这种公众性的事件往往可以推动数据安全问题在某些层面上得到解决。随着数字化转型的推进,数据作为基本生产要素,保护数据安全、包含企业核心知识产权,保护企业客户安全成为各个组织、企业需要迫切需要解决的问题。
但是,由谁来牵头解决数据安全问题,在很多企业和组织中,仍然是悬而未决。是应该由CDO—首席数据官来牵头数据安全问题,还是由CISO-首席安全官负责牵头呢?业界有非常广泛的讨论。传统上,只要提到安全,我们往往第一个想到的是首席安全官。目前,很多数据安全项目是由CISO负责落地,这是电脑安全、信息安全、网络安全的一个延续。但是(我这里用这个转折词),笔者十几年以来与网络安全部门交流、沟通过程中确实遇到了一些根本性挑战,在10多年前,银监会要求各个金融机构数据从生产环境迁移到测试开发环境中,必须使用经过脱敏的数据。在那个时代,在跟某家银行交流的时候就有个事件使我印象非常深刻,当我们努力在介绍产品功能,产品价值的时候,负责对接的一个安全工程师的一句话让我非常震惊,原话是这样的“你别跟我们讲这么多“没用的”(当然“没用的”这三个字,没说出来,),我们买静态脱敏产品我们也不用,我们是给别人用的!!!”。
在这个事件中,这句话确实让我非常震惊,在数据安全产品和方案的采购过程中,数据安全产品最终使用部门竟然只是配角,而买来自己不用,供给其它部门用的人主要决策了整个过程。而近1-2年以来,这个状况发生了很大的转变,我们逐步看到了很多数据安全产品的采购过程、评测过程在一些先进的组织中已经由网络安全部门负责,变成了主要由数据处或者数据部负责的项目,在这个过程中网络安全部门的角色变成了一个重要的决策支持方,从安全法律法规、安全能力为数据部门进行把关,提供技术支持。
为什么发生了这样的转变?我的想法是这样的。数据安全是个安全问题,更是一个数据安全高效利用的问题。同时,数据安全与网络安全有非常明显的不同,数据安全的挑战中的内部安全威胁的挑战远远大于外部安全威胁的挑战,传统的攻防思维可以用于数据安全,但并非主流。更重要的是在数据安全的利益相关方中数据部门与项目相关性的比重已经远远大于网络安全部门的比重,关于数据怎么用,怎么安全的用,用的场景有那些,数据部 则更加了解,甚至都是数据部门的人员在执行这个使用过程。
但数据安全问题与传统的数据问题或者数据价值发掘问题也有明显的不同,应对数据安全的威胁数据部门不能即当运动员也当裁判员,安全讲究三权分立,需要不可篡改的、可以跟踪的审计,这些即使在企业内部也需要一个中立的第三方,而这些是安全部门更擅长管理的。同时,在很多的行业,数据安全问题的初级阶段必然和网络安全一样,面对的重要的问题是合规问题,那么如何合规,如何应对网信,公安的监管,这些也是网络安全部门的擅长的领域。
正像这个名字一样,数据安全本身就是数据+安全,数据安全管理不仅仅是数据部门的工作,同样是网络安全部门的工作,如果公司足够大,还会涉及法律部门、审计部门的参与。但数据安全不是网络安全,数据安全的实际执行方是数据部门、应用部门、测试部门、基础架构部门等,同时网络安全部门更擅长解决监管中涉及网信、公安部门的安全监管要求。这就要对数据安全管理过程,管理技术提出了不同的要求。从数据安全治理的角度,我们提出了DataSec Mesh(数据安全网格)数据安全治理体系的四个特征,其中有一个重要的特征是“联合数据治理”,这是一个面向数字化转型、数据安全的交叉领域最佳治理实践。也是指导数据安全产品定位、数据安全产品开发的最佳实践,一个好的数据安全治理方法、数据安全治理产品需要满足联合数据安全治理的要求。