由于追逐自己的利益,他往往能比在真正出于本意的情况下更有效地促进社会的利益。

By pursuing his own interest he frequently promotes that of the society more effectually than when he really intends to promote it.

亚当·斯密 《国富伦》

01、数据安全,不宜这么讲

数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。要以数据为中心,站在数据生命周期管理的角度,从数据分类分级开始,在上进行安全切面,利用联邦学习多方安全计算的前沿科技,保障数据的机密性完整性可用性

以上对数据安全的解读,故意揉杂了很多安全专家常常挂在嘴边的概念,适合政府汇报、专家演讲和行业吹牛皮,与企业真正关心的数据安全问题和数据安全方法毫不相关。

02、不同企业,数据安全感知完全不同

人分三六九等,肉分五花三层。企业有大小和行业之分,不同企业,或者同一企业不同阶段,对数据安全的理解和诉求,天差地别。无论是哪个层次的企业,驱动其数据安全建设和期望的动力都可概括为因数据泄露而带来的以下三种损失:合规损失市场损失声誉损失

1、合规损失:政府相应的监管机构下达处罚,罚款、取消其他政策优待,比如政府各类补贴之类的、资质和认证等。

2、市场损失:客户信息泄露而导致的老客户被翘了,新客户被截胡了,直接带来了企业的市场损失。

3、声誉损失:数据保护不利被曝光了,技术能力被市场质疑、客户隐私数据重视度被怀疑,客户信任度下降,竞争对手落井下石。

无论什么样的企业,其对数据安全的重视度、投入度,和对某类安全产品的接受度,都可以参考这样的标准进行综合分析。抛去行业之分,我这里又把企业简单地划分为两类,目的是画出下面的两张更为直观的图。

中小企业:民营,人员规模在 5,000 以内。

重型企业:民营,人员规模在 5,000 - 数十万;政府掌控的企业和机构。

从上面两张图中,不难看出,能够让两种类型企业的那根关于数据安全的神经,跳动的因素完全不一样。用更直白的话讲出两者的心理特征是:

中小企业:尽量不能泄露数据。因为一个客户被竞争对手给撬走了,那也是难以接受的市场损失。

重型企业:尽量不能让人知道数据泄露了。想象一下,假设 BAT 公司中的一家,某天泄露了 1 亿条用户数据,这件事本身会对企业市场造成任何影响吗?真的一点影响都没有,真正受害的是千千万被电信诈骗的家庭主妇,是我们手机上那可怜巴巴的短信 APP,不停地被喂着垃圾营销短信。

03、中小企业关心的数据安全,就两个字

防盗!

数据真的别丢,别给我提什么数据分类分级、去你的态势感知,谁能真正管住我的数据,我就服谁。

04、重型企业关心的数据安全,就两个字

合规!

责任得撇清,数据丢不丢另说。专家说的要搞数据分类分级,那就大搞特搞,搞完用不用得上也不管,监管说的我都干了,出了问题也没多大责任。

大几万员工的企业,信息安全团队没几个人,出了事微博表态,过几天就风平浪静了。

05、重型企业,数据安全团队的责任与定位

判断一个企业是否重视信息安全,最直接的判断依据就是企业内专职信息安全岗位人数的多寡。

企业内部信息安全岗位的数量占比并没有一个固定的百分比,因为这取决于多个因素,如企业的规模、业务性质、所在行业的监管要求、以及企业对信息安全的重视程度和面临的风险等级。然而,有一个通常参考的比例:

按照中国有关安全生产管理的规定,企业需要配备专职安全生产管理人员,对于人数较多的企业,专职安全生产管理人员应不少于企业员工总数的 2%,并且对于不足 50 人的企业至少配备 1 名专职人员。

如果按照这样的比例来判断,合规的企业还不算多。对于那些信息安全岗位充足的甲方企业,在内部信息安全通常被划分成了多个子安全领域,划分标准通常是参考明显独立的 IT 节点进行分类,如云安全、网络安全、应用安全、移动安全等。

当然还有别的一些分类视角,但是无论有多少分类方法当在以上提及的安全域或产品列表里加入“数据安全”这个选项时,就出现了一道“请在如下选项中找出非同类项”的送分题,数据安全会被首当其冲的拧出来,因为它似乎可以解释一切,当一个词语或一个理论可以解释一切的时候其本身就变得没有意义,因为它违背了需要能被证伪的基本科学原则。造成这种局面的背后核心矛盾就是如何定义数据安全的范畴和责任边界。

几乎没有人会反对或是质疑数据安全其重要性。市场分析者,会引用 Gartner,IDC 等权威机构的数据,告诉你全球数据防泄漏市场将达到xx亿美元,年复合增长率为 xx%;政策敏感性组织或业务会告诉你合规(Compliance)针对个人信息保护的监管是多么的俞发严厉,并向你列举《中国网络安全法》、国标《信息安全技术个人信息安全规范》以及《GDPR》等已经开始实施的数据保护法律;数据安全从业者,倾向于向你列举诸如加密、差分隐私、审计、流程管理、数据分类分级、脱敏等一堆让你一头雾水但对方却无比自豪的法宝工具;寻常人的第一反应,则是黑客、病毒、木马、泄漏、斯洛登等数据安全问题。

每个人都能站在自己的视角,表达对数据安全的理解和诉求,然而当面对要统一地给出数据安全的定义,或者对其本质进行透彻阐释,任务就开始变得艰难起来。各种百科对数据安全的定义,并不足以消解心中的疑惑,因为你会发现其“官方”定义与信息安全、网络安全等是何其的难分彼此。数据安全不同于网络安全、应用安全之处,在于其并不面向特定的 IT 系统节点,亦没有明确的场景限制。其原因在于既是数据安全,那么就必然是哪里有数据,哪里就会有数据安全

重视信息安全的企业,往往设有专职的数据安全团队,该团队因企业业务属性差异,可能承担着产品技术建设、风险合规运营等职能。团队的划分,更多的只是组织架构的一种策略,并不一定能完整的映射到数据安全本应承担的责任范围。

关于数据安全的疑惑可以一直不停地持续列举下去,但我们终归还是要对问题进行梳理和试着去解答,我们的前提假设是企业内部设有这么一个独立的数据安全团队或者业务,问题则是:

06、数据安全的边界与责任

谁为数据安全负责。

假设服务端主机系统存在漏洞且被黑客利用,最终导致了数据泄露,此般事故若是定责的话,应该归因到数据安全团队还是系统安全亦或是主机安全等其它可能存在的安全团队?

任何指明责任方的回答一定都是“政治不正确”的答案,我们唯一可以明确的是确实发生了数据泄露事故,数据安全团队一定是需要有解释的权利和义务。同时我们也无法穷举一切可能发生数据泄露的风险场景,然后生硬的为各个安全域划定范围,核心矛盾在于几乎一切风险都能转换为数据安全问题,如果范围圈定太广必然导致数据安全业务无法承受自身之重,如果范围圈定太小又必然导致其它安全业务的不公感增强。

一个国家或一个社会的繁荣进步,离不开每个个体的付出和努力,然而事实上并不是每个个体都具备为国之崛起而奋斗的胸怀和能力,国家或社会也不会要求个体为宏观的目标理想负责。

这便是对开篇关于亚当·斯密引语的白话解读,个体只需要关注如何实现自身的利益最大化(当然是通过合法方式获取合法利益的前提假设),即默默完成了推动和促进社会国家利益的最大化。

数据安全作为状态化的名词,表达的是追求数据的安全状态,这里的状态就是亚当·斯密笔下的国家社会集体利益,系统安全、网络安全、主机安全、移动安全、数据安全等业务或团队就是集体中的个体。每个个体都有自己关注的范围如主机安全领域的防入侵、防病毒、补丁管理、端口管控等等,个体并不直接为数据安全目标负责,但就在解决好自身关注的风险同时已经帮助达到了整体数据的安全的目标。

至此,我们可以尝试给数据安全定位作简要说明,把数据安全抽象为一个实体(可以代表一个团队,也可以代表一块业务,后简称数安)它无法独立于其它安全域而存在,他们之间是共建的关系,关系图谱见开篇插图;数安直接为保证数据的安全的目标负责,并需要拥有对应解释的权利和履行解释的义务;一个应用或一套系统要为自身的数据安全负责,不应抱有外包数据安全责任给另一个独立的数据安全团队的错误认识,但自然可以向数据安全团队寻求帮助和指导;独立的数据安全团队不应试图捕捉每个应用或系统的数据安全风险,并尝试给出技术解决方案,而更要站在更大全局的视角提供相对通用和普世的产出。

07、乙方数据安全厂商,搞清楚你的定位

在 2020 年底的时候,中国网络安全相关企业数量已经超过 3000 家,而且这个数字随着时间推移还在不断增长,随着网络安全市场需求的增长和技术发展的推进,注册的网络安全厂商数量应该会更多。

同作为乙方数据安全公司,我们时刻在反问自己,你的客户到底是哪个群体,这决定了我们解决客户的哪些问题,怎么解决客户的问题。

如果乙方定位的是解决中小民营企业的数据安全问题,那么你必须回答客户非常具体且要求极其严苛的问题,来不得半点牛皮:

1、我的外包团队怎么管?

2、我的渠道供应商怎么管?

3、我的客服团队怎么管?

4、我的数据标注团队怎么管?

5、我的第三方应用账号怎么管?

...

如果乙方定位的是解决重型企业的问题,那就得好好研究政策。

声明:本文来自连续创业的Janky,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。