騰訊安全董志強(qiáng):四大關(guān)鍵步驟促進(jìn)數(shù)據(jù)安全治理閉環(huán),提升企業(yè)免疫力

高速發(fā)展的數(shù)字時(shí)代,數(shù)據(jù)已成為推動(dòng)產(chǎn)業(yè)發(fā)展的最重要生產(chǎn)要素之一,真正成為了創(chuàng)造經(jīng)濟(jì)財(cái)富的數(shù)字能源,守護(hù)數(shù)據(jù)資產(chǎn)的安全成為企業(yè)高質(zhì)量發(fā)展不可回避的重要命題。

6月13日,騰訊安全聯(lián)合IDC發(fā)布“數(shù)字安全免疫力”模型框架,其中指出,企業(yè)需要將守護(hù)企業(yè)數(shù)據(jù)和數(shù)字業(yè)務(wù)兩大核心資產(chǎn)作為企業(yè)安全建設(shè)的目標(biāo),在數(shù)據(jù)安全治理環(huán)節(jié),打造企業(yè)數(shù)據(jù)生態(tài),加速合規(guī)數(shù)據(jù)價(jià)值釋放,構(gòu)建數(shù)字安全免疫力的“堡壘”。

在技術(shù)分享環(huán)節(jié),騰訊杰出科學(xué)家、騰訊安全云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)以《數(shù)據(jù)安全成為企業(yè)數(shù)字化轉(zhuǎn)型的安全DNA》為題發(fā)表演講,他指出,作為企業(yè)數(shù)字化轉(zhuǎn)型的安全DNA,數(shù)據(jù)安全治理需要從數(shù)據(jù)默認(rèn)安全內(nèi)生業(yè)務(wù)、數(shù)據(jù)可見、可管可控和智能化運(yùn)營四大關(guān)鍵步驟促進(jìn)閉環(huán)。

(騰訊杰出科學(xué)家、騰訊安全云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng))

數(shù)據(jù)安全滯后,制約企業(yè)數(shù)字安全建設(shè)

數(shù)據(jù)安全是當(dāng)前時(shí)代的熱點(diǎn)話題,也是所有企業(yè)安全參與者關(guān)注的重點(diǎn)要素,然而多數(shù)企業(yè)當(dāng)前的數(shù)據(jù)安全體系建設(shè)能力不足,對數(shù)據(jù)泄露的感知滯后。根據(jù)騰訊安全與安在聯(lián)合調(diào)研1500位CSO形成的《2023企業(yè)安全建設(shè)水平抽樣調(diào)研報(bào)告》顯示,企業(yè)當(dāng)前安全建設(shè)主要圍繞網(wǎng)絡(luò)安全展開,以安全事件應(yīng)急響應(yīng)為主,數(shù)據(jù)治理占比僅為8.4%。

董志強(qiáng)表示,數(shù)據(jù)安全是組織發(fā)展的關(guān)鍵命脈,新時(shí)代下數(shù)據(jù)安全面臨著五大挑戰(zhàn):第一,數(shù)據(jù)安全建設(shè)落后于數(shù)字化進(jìn)程,數(shù)字安全投入占企業(yè)數(shù)字化整體投入比例不足5%;第二,數(shù)據(jù)隱私和合規(guī)呈爆發(fā)趨勢,數(shù)據(jù)成為企業(yè)生命線,處罰風(fēng)險(xiǎn)加劇;第三,數(shù)據(jù)不可見、數(shù)據(jù)流動(dòng)無感知,導(dǎo)致數(shù)據(jù)泄露頻發(fā);第四,新興威脅導(dǎo)致的數(shù)據(jù)泄露成為企業(yè)數(shù)據(jù)安全治理盲區(qū),API數(shù)據(jù)泄露、身份攻擊沖擊企業(yè)數(shù)據(jù)安全防線,RaaS化導(dǎo)致勒索門檻進(jìn)一步降低,平均每11秒就有一家企業(yè)成為勒索病毒的受害者;第五,企業(yè)對于數(shù)據(jù)泄露后知后覺,缺乏免疫機(jī)制。

企業(yè)在數(shù)據(jù)安全體系建設(shè)實(shí)踐中,實(shí)現(xiàn)數(shù)據(jù)與安全同步規(guī)劃、同步建設(shè)、同步使用仍存在困難,當(dāng)意識到數(shù)據(jù)安全建設(shè)的重要性進(jìn)行安全接入時(shí),往往安全風(fēng)險(xiǎn)已隨處可見。對此,董志強(qiáng)表示,數(shù)據(jù)安全治理,需要打造企業(yè)數(shù)據(jù)生態(tài),加速合規(guī)數(shù)據(jù)價(jià)值釋放,構(gòu)建數(shù)字安全免疫力的“堡壘”。

數(shù)據(jù)安全免疫力,打造企業(yè)核心資產(chǎn)保護(hù)壁壘

董志強(qiáng)指出,數(shù)據(jù)安全治理建設(shè)需要重點(diǎn)關(guān)注四大步驟:

第一,數(shù)據(jù)默認(rèn)安全,融合到業(yè)務(wù)。數(shù)據(jù)安全深入融合業(yè)務(wù),需要構(gòu)建數(shù)據(jù)默認(rèn)安全體系,融入企業(yè)安全體系設(shè)計(jì),其中包括數(shù)據(jù)傳輸加密、存儲(chǔ)加密等,將數(shù)據(jù)安全嵌入業(yè)務(wù)體系可以使組織在一定程度上具備先天的數(shù)據(jù)安全免疫能力。

第二,數(shù)據(jù)看得見,數(shù)據(jù)安全鏈路流轉(zhuǎn)可感知。針對企業(yè)數(shù)據(jù)、個(gè)人數(shù)據(jù)、行業(yè)監(jiān)管高敏數(shù)據(jù)等構(gòu)建看得見的能力,并跟蹤數(shù)據(jù)在企業(yè)內(nèi)外部的流傳。數(shù)據(jù)處于不同業(yè)務(wù)場景下,對應(yīng)的安全需求也將產(chǎn)生變化,這就需要對非中心化、非結(jié)構(gòu)化的數(shù)據(jù)進(jìn)行分類分級管理。

第三,提升數(shù)據(jù)保護(hù)、防御能力,構(gòu)建免疫體系。數(shù)據(jù)安全可被管控,出現(xiàn)風(fēng)險(xiǎn)可被快速處置,在技術(shù)能力層面,提供平臺(tái)和工具為數(shù)據(jù)安全兜底。

第四,數(shù)據(jù)安全智能化運(yùn)營,風(fēng)險(xiǎn)閉環(huán)。通過DataSecOps智能化運(yùn)營,促進(jìn)數(shù)據(jù)風(fēng)險(xiǎn)閉環(huán)并持續(xù)迭代改進(jìn)。數(shù)字化數(shù)據(jù)安全的核心目標(biāo),是“零”起企業(yè)級底線保護(hù)數(shù)據(jù)泄露。

通過對自身數(shù)據(jù)安全實(shí)踐經(jīng)驗(yàn)沉淀和能力標(biāo)準(zhǔn)化,騰訊安全打造了包含數(shù)據(jù)安全中心DSGC、數(shù)據(jù)安全網(wǎng)關(guān)CASB、密鑰管理系統(tǒng)KMS、機(jī)密計(jì)算與聯(lián)邦學(xué)習(xí)CCP等幾大關(guān)鍵能力,并協(xié)同騰訊云各安全能力,形成閉合的數(shù)據(jù)安全防護(hù)網(wǎng),幫助企業(yè)最大化提升安全效益。

此外,董志強(qiáng)表示,企業(yè)需要聚焦自身業(yè)務(wù)需求對自身數(shù)據(jù)風(fēng)險(xiǎn)承受能力進(jìn)行評估分析,并根據(jù)自身風(fēng)險(xiǎn)承受能力及業(yè)務(wù)需求制定針對性解決策略,用指標(biāo)驅(qū)動(dòng)、指標(biāo)度量驅(qū)動(dòng)業(yè)務(wù)配合數(shù)據(jù)安全治理,推動(dòng)數(shù)據(jù)安全工作的有效開展。

目前,騰訊安全已經(jīng)累計(jì)為包括數(shù)字政務(wù)、零售、汽車等金融行業(yè)企業(yè)客戶提供穩(wěn)定可靠的數(shù)據(jù)安全產(chǎn)品和服務(wù),未來也將持續(xù)在流程體系,包括技術(shù)支撐體系及基礎(chǔ)能力維度,持續(xù)創(chuàng)新,助力數(shù)字安全融入企業(yè)數(shù)字化轉(zhuǎn)型的安全DNA,推動(dòng)生態(tài)數(shù)據(jù)安全治理可持續(xù)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )