企业数据安全将一直围绕着“成本”展开,乙方厂商们切莫陷入安全的陷阱,即将精力安置在“立竿见影”的安全效果上,或者向客户强调自己“更安全”这样错误的行径里。
01 网络安全 vs. 数据安全
网络安全和数据安全是两个开始被分开讨论和看待的话题,很多人认为不该如此,两者应该等同或者至少是前者包含后者的关系,而不是独立区分。持有如此观点的群体,要么是着眼于两者最终几乎一致的保护目标,要么是前朝遗少们对于网络安全至高无上地位的保护和捍卫。作者支持将两者分开看待,且独立推进,这样对于大到国家民族,小到企业个人的信息安全保护工作才能更顺利和有条不紊地推进。
原因是两者有着显著的差异,网络安全侧重于效果,是一场争分夺秒的防御实战;数据安全聚焦于成本,宛如一场精打细算的战略布局。
网络安全宛如一座时刻戒备的堡垒,效果就是它最硬的底气。网络攻击往往突如其来,带着恶意代码、分布式拒绝服务攻击(DDoS ),像暗夜刺客般循着漏洞直扑而来。在这样的危局下,迅速反应、精准拦截、彻底清除威胁,达成滴水不漏的防护效果是重中之重。大型电商平台每逢购物季,流量呈指数级攀升,黑客瞅准时机,试图趁乱篡改价格数据、窃取用户支付信息。此时,高效的防火墙、智能的入侵检测系统须臾不可缺位,须臾间识别异常流量,阻断非法访问,让交易顺畅无阻,维持平台信誉,这便是实打实的网络安全成效。安全团队像特种部队,争分夺秒在数字防线奔走,容不得半点差池,一次有效的拦截,能免去后续繁杂的补救、公关麻烦,守护海量用户体验,其价值难以估量。
反观数据安全,更似一场权衡利弊的艺术,成本考量贯穿始终。企业积攒的数据是座宝藏,从用户画像、消费偏好到商业机密,应有尽有。但守护这座宝藏,得投入不菲成本。一方面,存储海量数据需要购置服务器、搭建云存储架构,能耗与设备购置费用不菲;另一方面,数据加密技术研发、专业人员聘请,持续烧钱。中小企业更是在数据安全成本上精打细算,若盲目追求顶级加密算法、冗余备份,资金链很快不堪重负。于是,它们依据数据重要性分级,核心机密重兵把守,一般性数据常规防护,在风险与投入间找平衡,让每一分安全投入都能匹配数据泄露可能造成的损失预估,不至于过度防护,也不会因疏忽埋下巨雷。
02 数据安全的成本分布
企业决心开始启动某一数据安全项目,其成本考虑要比网络安全项目复杂得多,有别于一般直觉的结论是,针对安全产品的采购成本在整个成本的分布里,或许是企业管理人员最次要的优先级考虑点,尤其是在现在这个外部产品采购价格可以被无限打压的市场环境里,更是最后才需要担心的成本因素。以下列出了几个甲方企业最为主要的关键成本因素:
1、应用改造成本:常见的数据加密、数据脱敏、数字水印、身份认证等等,均需要对企业内应用、数据库进行较为深入的改造。企业应用越多、企业历史包袱越重、企业团队越分散,越是加重这一成本,期间涉及到的团队沟通、应用二开等等往往让很多企业望而却步,直接放弃最初的安全加固打算,就让子弹再多飞一会吧。
2、IT 运维成本:云桌面涉及到非常复杂的运维要求,镜像刻录与分发、虚拟化资源管理、桌面软件的分发与管理、漏洞补丁的修复,都不是一般 IT 团队能够胜任的;网盘存储的冗余、文档版本的管理、数据快速恢复、磁盘的动态增加,这些都是让 IT 团队一听就喘不过来气的压力来源。
3、推广宣导成本:终端上文档加密、装 DLP、VPN,该如何向员工去宣导,如何迎接员工的挑战,员工提问“又在收集我们哪些数据”的时候,该如何蒙混过关;重要领导说要加白,谁去向 CEO 请示。内心不坚强者一想到这些,会立马打消启动项目的想法。
4、技术支持成本:终端安全项目,必有电脑卡顿、软件兼容、蓝屏、网络不通、安装失败、升级失败等等问题,这些问题一旦遇到都需要投入专人进行问题排查、员工沟通、问题解决。及时安全软件稳定性和可靠性达到了 99.99%,那么 1,000 个人规模的企业,每天也会遇到 10 个员工出现问题,常规的 2 个左右 IT 或者安全人员需要坚守在自己的岗位上。
5、安全运营成本:每天有无数的安全日志来自于网络、终端和应用系统,需要常规的安全人员进行审计或者告警处理。抓到了疑似的内鬼和商业间谍,还得仔细的取证、盘问和人员处理。
6、安全产品采购成本:在一个乙方厂商充分且过度竞争的时代、在甲方普遍降本增效的市场环境里,低廉的安全产品几乎不足以成为影响项目成败的关键因素。
03 降低企业的安全成本,才有可能胜出
企业数据安全将一直围绕着“成本”展开,乙方厂商们切莫陷入安全的陷阱,即将精力安置在“立竿见影”的安全效果上,或者向客户强调自己“更安全”这样错误的行径里。
甲方自己不一定愿意承认,但他们本身并没有在寻找“更安全”的数据安全之道,而是追求能降低各方面成本的安全之路,作为乙方厂商,我们在在设计安全方案和安全产品时需要考虑用户体验的重要性,即不仅要保障安全,还要确保这些措施不会给用户带来额外的不便或麻烦。从安全最终想要达到的安全效果上来看,也只有这样的轻量化适应现代企业要求的安全产品和解决方案才能不仅提高整体的安全性,也同时也促进了工作效率,因为员工不需要在安全与便捷之间做出艰难的选择。
声明:本文来自连续创业的Janky,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
