Gartner：数据安全的投资需要更贴近业务价值

过去，企业只有发生了重大数据泄露事件或勒索软件事件等造成数据丢失或不可用，才会考虑投资数据安全。而随着国家层面发布的《数据安全法》以及《个人信息保护法》，国内企业开始采用有序的方式满足监管需求，从事件型驱动的投资转变成为合规驱动型的投资。

但是Gartner认为，满足合规要求是数据安全工作的底线，最终数据安全的投资需要反映到对业务产生的价值。比如经常会有CIO或者数字化转型部门负责人被高层问道，“我们做的这些数据安全投资，究竟能替企业带来多少业务的价值？”

的确，数据安全投资也是为了保护业务不受风险，于是，Gartner提出数据安全治理理念，帮助企业从合规驱动型的数据安全投资，转向业务驱动型的安全投资。

Gartner研究总监陈延全表示，Gartner总结了六大影响数据安全发展和治理的驱动力，包括监管合规要求、业务需求、IT战略、碎片化产品、数据可见度和安全威胁。Gartner认为，数据安全发展的六大驱动力是相关关联的，企业需要综合考虑，从而实现业务驱动型的数据安全投资。

安全投资评估排序 为业务产生价值

数据安全的投资要贴近业务需求，对业务产生价值。Gartner预测，到2025年，国内60%以上企业机构的董事会，将把网络安全风险视为一种业务风险。这个趋势，会帮助企业把网络安全投资以及数据安全投资从合规型驱动转换成业务型驱动。

但是要达到这一步，需要安全部门和业务数据使用方建立统一的共识。毕竟数据使用方和数据安全方的出发点不同，看待数据的视角不同，因此在数据的分类、管理以及风险评估方面就会产生不同的想法。

Gartner将使用数据过程中涉及的风险分为三类，即数据/隐私风险，业务风险，以及最终业务风险会对企业带来的财务风险。过去，企业在处置安全风险时，常常先考虑合规要求以及业务要求，往往忽视了其带来的财务风险。因此，Gartner建议，无论是数据风险评估或者时风险处置优先级排序时，除了考虑数据/隐私风险外，企业还需要同时考虑业务风险和财务风险。

比如：企业在做风险评估时，识别出一系列数据/隐私风险，通过相关工具、方法、流程，将这些数据的风险映射到对于业务的影响，再基于这些业务影响来量化财务风险。因此，企业在设置风险处置优先级排序时，可以采用由上而下的思路，挑选最大程度影响企业财务风险的安全事件优先处置。

采用平台型数据安全产品战略

Gartner预测，到2025年30%的企业将采用通用型数据安全平台，相比2021年不到10%有所上升，这是由于更高级别的数据安全性需求和产品能力的快速增长。

针对中国科技高管2023年的技术投资调研结果显示，中国科技高管会在2023年加大投资的科技项目前五项技术包括商业智能/数据分析，网络/信息安全，云平台，人工智能/机器学习，集成技术/APIs/API架构。这五项技术中，都与数据安全有相关的交集，包括企业在使用商业智能、数据分析时，需要保护数据使用情况同时平衡业务需求，以及大数据平台的安全防护；部署云平台后所衍生的云工作负载中的数据保护工作；在使用人工智能、机器学习时所涉及的训练数据和模型参数的保护；以及调用API时的集成安全。

在面对如此多类型的数据安全相关技术和产品时，企业该如何选择呢？Gartner建议，企业先了解自身数据资产的使用情况，针对不同类型的数据资产管理，选择数据管理框架、最佳实践等内容来保护新型类型的数据资产。

此外，Gartner观察到，单一功能的数据安全产品正在向平台化产品转变，并且传统咨询公司提供的安全咨询服务业务逐渐向平台化、自动化产品进行交付服务。因此，Gartner建议企业在选择数据安全产品时，尽量选择平台型的数据安全产品，以防止企业需要花费过多精力来维护。

Gartner将平台型数据保护产品分为四类，包括通用型数据安全平台，专门保护云端数据库的结构化数据；数据安全态势管理，可以保护跨平台、跨云端的不同结构数据；数据访问治理和数据防泄漏，专注保护本地部署的非结构化数据。

开展数据安全治理的四个步骤

那么，企业该如何开展数据安全治理呢？Gartner提出开展数据安全治理的四个步骤。

第一步，设置数据安全与管理职能。涉及企业的角色分工以及企业内部数据安全管理体系建设，日常运营的流程以及操作等标准模板。

Gartner预测，到2025年，在国内开展业务的大型跨国机构将近有半数以上会开始设置专职的数据安全负责人。数据安全负责人必须具备一定程度本地的法律专业知识以及语言技能，才能够更好帮助服务的企业来满足中国本地相关的数据安全保护需求。

第二步，落实数据发现与分级分类。包括数据的类型以及存储的位置，根据数据使用的敏感性和数据的业务属性进行分类分级。

第三步，开展数据安全与合规评估。《数据安全法》要求：“涉及重要数据处理，定期要开展一次数据安全风险评估。涉及数据出境，需要做数据出境安全评估。涉及处理个人信息，也要做个人影响评估。”因此，企业需要长期持续运营投入成本，来进行评估工作。

第四步，选择并整合数据安全产品。Gartner推荐企业在选择数据安全产品时，尽量采用整合型的数据安全产品，而不用花费大量精力来长期操作、维护单一功能的数据安全产品。

此外，Gartner还观察到监管合规趋势，就是数据安全与隐私的交集程度越来越大。传统层面上，数据安全由安全部门来负责，隐私保护由合规部门来负责，因此在管理方面是分工明确的。但是随着国家立法的颁布，数据安全事件频发，使得两者之间的交集越来越多。Gartner建议，网络安全和隐私领导者必须关注数据安全和隐私的交集关系，以减少数据泄露，并同时利用新兴技术如隐私计算，支持隐私数据的创新使用并获得竞争优势。