三大關鍵要素保護企業數據

Commvault

有效的數據保護戰略必須建立在堅實的業務基礎上，企業可以遵循“救生筏”原則—風險意識、靈活性和信任，以應對網絡威脅。

隨著用戶數據安全意識的逐步提升，用戶對于企業在數據安全與隱私方面所做的工作有著更高的要求，這一點也決定了用戶對企業的信任度。然而，有效的數據保護戰略必須建立在堅實的業務基礎上，企業可以遵循“救生筏”（RAFT）原則—風險意識（Risk Awareness）、靈活性（Flexibility）和信任（Trust），以應對網絡威脅。

提升風險意識

企業管理層通常使用投資回報率（ROI）來衡量團隊的績效，然而，ROI結構很少被納入風險識別的考量，唯獨首席信息安全官（CISO）會著重關注企業的風險回報率（ROR），并且將ROR目標納入企業管理層的優先考量。想要改變這一現狀，需要企業文化的轉變。

2008年金融危機、2018年《通用數據保護條例（GDPR）》的出臺以及2020年的新冠肺炎疫情，都凸顯了風險意識在企業經營中的重要性。缺乏風險意識的企業通常會不自知地面臨風險，而風險意識較強的企業將安全視為跨部門流程要求的重要組成部分。企業從云中數據管理到勒索軟件檢測相關的購買決策，都需要考慮風險問題。

關鍵要點：

1.企業關注的焦點應當從純ROI考量轉變為ROI與ROR的平衡。

2.發揮首席信息安全官在企業管理層中的風險識別和提示作用。

增強靈活性

置身于復雜多變的社會經濟條件下，靈活性將成為企業競爭優勢的源泉，可以幫助企業應對危機并抓住重要機遇?！锻ㄓ脭祿Ｗo條例（GDPR）》第32條規定，企業需要從技術和組織層面滿足以下要求。

·有能力確保系統和服務的保密性、完整性、可用性和恢復力。

·在發生物理或技術事件時，能夠及時恢復個人數據的可用性和可訪問性。

·定期測試和評估企業技術和組織層面措施的有效性，以確保處理過程的安全性。

GDPR要求涉及歐盟公民數據的企業必須擁有用于恢復系統和保持業務連續性的有效備份。實際上，有效的數據備份和定期的網絡安全流程測試與評估應該成為全球所有企業的一項常識，而不僅僅是法規要求。同時，企業應當通過沉浸式的模擬演習而非講座培訓的方式，來測試其危機團隊（包括負責技術、法務、企業聲譽和社交媒體等方面的人員）的響應能力。這種模擬演習也有助于管理層識別網絡風險，并更好地意識到危機準備的必要性。

關鍵要點：

1.定期測試并評估企業的網絡安全流程，包括企業備份

2.為企業建立完善的網絡安全事件應對計劃，并通過沉浸式模擬演習對其進行驗證

鞏固公眾信任

勒索軟件是一種典型的網絡安全威脅，即使企業支付贖金，也無法保證能夠贖回其被加密的數據，更無法確定勒索軟件是否在企業系統中留有后門，用于下一次的勒索。更有甚者，勒索方式從原本的拒絕企業訪問數據，轉為了威脅公開企業的敏感數據。近幾年，勒索事件的數量呈增長趨勢，平均勒索金額不斷上漲，由此引發的宕機、企業聲譽損失、追償成本、監管罰款等都給企業帶來了不可估量的損失。

危機管理理論提到，危機事件發生后將有一段“黃金時期”，企業可以通過迅速響應并對用戶展現共情來贏得輿論支持。然而，在網絡安全危機中，“黃金時期”并不存在，媒體和公眾只會將數據丟失泄露歸咎于企業而非黑客。危機發生后的迅速取證以及定損，有助于企業修復漏洞，同時企業應該制定必要的法律陳述及品牌策略。此時，品牌信任度是重中之重，企業應當努力保持公眾對其品牌的信任度，再通過長期的輿論影響與控制來修復其聲譽。

關鍵要點：

1.建立品牌信任，并在危機發生后進行快速響應。

2.不能以對待其他危機的方式來應對網絡安全危機，企業必須在法律以及企業聲譽取證方面做好充分準備。

有備方能無患。將市場比作汪洋大海，企業通過增加風險意識、靈活性和公眾信任方面的投入，為自身打造數據保護“救生筏”，不僅能在危機出現時為企業及其用戶提供有效保護，更能為企業的長遠發展保駕護航。