Commvault

有效的數(shù)據(jù)保護(hù)戰(zhàn)略必須建立在堅(jiān)實(shí)的業(yè)務(wù)基礎(chǔ)上，企業(yè)可以遵循“救生筏”原則—風(fēng)險(xiǎn)意識(shí)、靈活性和信任，以應(yīng)對(duì)網(wǎng)絡(luò)威脅。

隨著用戶數(shù)據(jù)安全意識(shí)的逐步提升，用戶對(duì)于企業(yè)在數(shù)據(jù)安全與隱私方面所做的工作有著更高的要求，這一點(diǎn)也決定了用戶對(duì)企業(yè)的信任度。然而，有效的數(shù)據(jù)保護(hù)戰(zhàn)略必須建立在堅(jiān)實(shí)的業(yè)務(wù)基礎(chǔ)上，企業(yè)可以遵循“救生筏”（RAFT）原則—風(fēng)險(xiǎn)意識(shí)（Risk Awareness）、靈活性（Flexibility）和信任（Trust），以應(yīng)對(duì)網(wǎng)絡(luò)威脅。

提升風(fēng)險(xiǎn)意識(shí)

企業(yè)管理層通常使用投資回報(bào)率（ROI）來衡量團(tuán)隊(duì)的績效，然而，ROI結(jié)構(gòu)很少被納入風(fēng)險(xiǎn)識(shí)別的考量，唯獨(dú)首席信息安全官（CISO）會(huì)著重關(guān)注企業(yè)的風(fēng)險(xiǎn)回報(bào)率（ROR），并且將ROR目標(biāo)納入企業(yè)管理層的優(yōu)先考量。想要改變這一現(xiàn)狀，需要企業(yè)文化的轉(zhuǎn)變。

2008年金融危機(jī)、2018年《通用數(shù)據(jù)保護(hù)條例（GDPR）》的出臺(tái)以及2020年的新冠肺炎疫情，都凸顯了風(fēng)險(xiǎn)意識(shí)在企業(yè)經(jīng)營中的重要性。缺乏風(fēng)險(xiǎn)意識(shí)的企業(yè)通常會(huì)不自知地面臨風(fēng)險(xiǎn)，而風(fēng)險(xiǎn)意識(shí)較強(qiáng)的企業(yè)將安全視為跨部門流程要求的重要組成部分。企業(yè)從云中數(shù)據(jù)管理到勒索軟件檢測相關(guān)的購買決策，都需要考慮風(fēng)險(xiǎn)問題。

關(guān)鍵要點(diǎn)：

1.企業(yè)關(guān)注的焦點(diǎn)應(yīng)當(dāng)從純ROI考量轉(zhuǎn)變?yōu)镽OI與ROR的平衡。

2.發(fā)揮首席信息安全官在企業(yè)管理層中的風(fēng)險(xiǎn)識(shí)別和提示作用。

增強(qiáng)靈活性

置身于復(fù)雜多變的社會(huì)經(jīng)濟(jì)條件下，靈活性將成為企業(yè)競爭優(yōu)勢的源泉，可以幫助企業(yè)應(yīng)對(duì)危機(jī)并抓住重要機(jī)遇?！锻ㄓ脭?shù)據(jù)保護(hù)條例（GDPR）》第32條規(guī)定，企業(yè)需要從技術(shù)和組織層面滿足以下要求。

·有能力確保系統(tǒng)和服務(wù)的保密性、完整性、可用性和恢復(fù)力。

·在發(fā)生物理或技術(shù)事件時(shí)，能夠及時(shí)恢復(fù)個(gè)人數(shù)據(jù)的可用性和可訪問性。

·定期測試和評(píng)估企業(yè)技術(shù)和組織層面措施的有效性，以確保處理過程的安全性。

GDPR要求涉及歐盟公民數(shù)據(jù)的企業(yè)必須擁有用于恢復(fù)系統(tǒng)和保持業(yè)務(wù)連續(xù)性的有效備份。實(shí)際上，有效的數(shù)據(jù)備份和定期的網(wǎng)絡(luò)安全流程測試與評(píng)估應(yīng)該成為全球所有企業(yè)的一項(xiàng)常識(shí)，而不僅僅是法規(guī)要求。同時(shí)，企業(yè)應(yīng)當(dāng)通過沉浸式的模擬演習(xí)而非講座培訓(xùn)的方式，來測試其危機(jī)團(tuán)隊(duì)（包括負(fù)責(zé)技術(shù)、法務(wù)、企業(yè)聲譽(yù)和社交媒體等方面的人員）的響應(yīng)能力。這種模擬演習(xí)也有助于管理層識(shí)別網(wǎng)絡(luò)風(fēng)險(xiǎn)，并更好地意識(shí)到危機(jī)準(zhǔn)備的必要性。

關(guān)鍵要點(diǎn)：

1.定期測試并評(píng)估企業(yè)的網(wǎng)絡(luò)安全流程，包括企業(yè)備份

2.為企業(yè)建立完善的網(wǎng)絡(luò)安全事件應(yīng)對(duì)計(jì)劃，并通過沉浸式模擬演習(xí)對(duì)其進(jìn)行驗(yàn)證

鞏固公眾信任

勒索軟件是一種典型的網(wǎng)絡(luò)安全威脅，即使企業(yè)支付贖金，也無法保證能夠贖回其被加密的數(shù)據(jù)，更無法確定勒索軟件是否在企業(yè)系統(tǒng)中留有后門，用于下一次的勒索。更有甚者，勒索方式從原本的拒絕企業(yè)訪問數(shù)據(jù)，轉(zhuǎn)為了威脅公開企業(yè)的敏感數(shù)據(jù)。近幾年，勒索事件的數(shù)量呈增長趨勢，平均勒索金額不斷上漲，由此引發(fā)的宕機(jī)、企業(yè)聲譽(yù)損失、追償成本、監(jiān)管罰款等都給企業(yè)帶來了不可估量的損失。

危機(jī)管理理論提到，危機(jī)事件發(fā)生后將有一段“黃金時(shí)期”，企業(yè)可以通過迅速響應(yīng)并對(duì)用戶展現(xiàn)共情來贏得輿論支持。然而，在網(wǎng)絡(luò)安全危機(jī)中，“黃金時(shí)期”并不存在，媒體和公眾只會(huì)將數(shù)據(jù)丟失泄露歸咎于企業(yè)而非黑客。危機(jī)發(fā)生后的迅速取證以及定損，有助于企業(yè)修復(fù)漏洞，同時(shí)企業(yè)應(yīng)該制定必要的法律陳述及品牌策略。此時(shí)，品牌信任度是重中之重，企業(yè)應(yīng)當(dāng)努力保持公眾對(duì)其品牌的信任度，再通過長期的輿論影響與控制來修復(fù)其聲譽(yù)。

關(guān)鍵要點(diǎn)：

1.建立品牌信任，并在危機(jī)發(fā)生后進(jìn)行快速響應(yīng)。

2.不能以對(duì)待其他危機(jī)的方式來應(yīng)對(duì)網(wǎng)絡(luò)安全危機(jī)，企業(yè)必須在法律以及企業(yè)聲譽(yù)取證方面做好充分準(zhǔn)備。

有備方能無患。將市場比作汪洋大海，企業(yè)通過增加風(fēng)險(xiǎn)意識(shí)、靈活性和公眾信任方面的投入，為自身打造數(shù)據(jù)保護(hù)“救生筏”，不僅能在危機(jī)出現(xiàn)時(shí)為企業(yè)及其用戶提供有效保護(hù)，更能為企業(yè)的長遠(yuǎn)發(fā)展保駕護(hù)航。