我們這兩天從資料安全本身、談到企業為什麼需要考慮資料安全,
是試著從它本身發展所面臨到會影響商業負外部成本說起,
導致組織需要各式的安全措施來保護與確保相關經濟果實不被破壞。
而回到資料本身,其實企業思考資料安全保護的議題之前,
其實更關注的是資料本身的運用與效益,
畢竟無法產生效益的資料,也不會發展出需要保護它的時刻。
所以在資料安全之前,各行各業已經擁有海量資料的企業組織,
首先會先關心的是「資料如何產生價值或具洞察力」的產出?
也就是現在的顯學、圍繞在「資料治理」的議題與發展,
藉由在整個組織中確認企業資料的品質和安全性,
決定誰可以使用什麼資料以及何時使用,
來將原先各自單位擁有、互不關聯的資料整合後產生洞察效益。
舉例來說電商會擁有大量的客戶、商品與銷售資料,
包含購買歷史、瀏覽偏好跟評論意見等等,
而透過「資料治理」的過程將相關類別的資料進行蒐集、儲存與檢索,
讓各個部門都能利用共通的資料進行相關應用:
例如市場行銷可以更好的做個人化推薦或介紹,
例如供應部門可以更好的知道產品銷售趨勢情形,
...
通常在企業還不知道資料安全是什麼以及為什麼需要保護它時,
資料治理反而是企業更優先關注的議題與願意投資應用項目。
所以治理與安全之間,聽起來是兩個世界的事情,
也的確企業實際籌組專業團隊,或是委託外部團隊、
開始就組織現行擁有的資料進行「盤點」、「訪談」與「梳理」,
進而開始產生相關分析效益。
直到開始需面臨資料遭不當運用會產收負面經濟效益足夠大的時候,
才開始思考如何就資料本身、存取過程、利用過程、法規遵行,
導入相關資料安全保護措施來達到保護的目的。
所以雖然談資料安全很多是在既有環境上的架接保護,
但也更佳關注如何在設計之初,預先針對資料治理的過程,
提前在人員、流程與工具思考與規劃安全措施的實踐與實施。
常見關於資料安全的防護與應考量的項目,包括:
這些都是資料治理過程,會延伸出來的資料安全議題。
*參考更多關於「資料治理的數據風險管理與推動建議」
踏入資訊安全領域前,如能夠明白技術本身是要解決什麼樣的場景,
對於整體與全貌的掌握,以及它實施的目的與效益,也就會更加清晰。
資料安全固然牽涉許許多多技術控制項目,但誠如之前提及的,
資訊安全不是單獨存在的領域,而是為了保護原有提供服務價值的 IT 系統,
也因此當資訊應用的價值足夠高的時候,也才能支持資訊安全的發展與成本。
資料治理是這幾年持續發展的顯學,無論金融、製造、政府等領域,
無不大舉投入大筆資源希望能在大數據的過程獲得更好的洞察來支持發展,
而在這其中安全的考量與思考佈局,也定是資料運用能走的更長更遠的基石。