Forrester：用持续改进保障数据安全

要想改变企业应对数据安全和隐私的方式并非易事，可能需要很长时间才能有所收获。事实上，根据企业规模大小、IT与业务关系是否紧密以及高层支持力度等因素，成果的产出基本上会需要1到3年甚至更长的时间。

正因如此，持续改进（continuous improvement）才显得如此重要。有些安全和风险专家对持续改进不以为然，但已有人开始意识到这是安全和风险管理的重要工具。企业可以通过持续改进来发现安全隐患的根本原因并加以改进。最终，持续改进还将关系到企业的转型事宜。

为了提升服务和产品质量以及流程效率，安全主管可以借鉴现成的持续改进方法，比如六西格玛、kaizen和kieffer。针对数据安全和隐私的持续改进可以有助于推动企业内流程、文化和行为的变革，主要通过下列方式：1）建立内嵌安全和隐私的关键流程;2）建立重视数据安全和隐私的文化氛围;3）授权安全团队阻止数据的外泄。

从何处入手

实际上，企业中只有两种数据：被人觊觎的数据和其他数据。如今的一个误区是，安全专家们经常对于他们所认为的最具价值的数据进行严格控制，而从不是从那些心有不轨者的角度去评判数据的价值。最常被觊觎的数据可以用3P+IP来描述。3P指的是个人识别信息（personally identifiable information，PII）、个人健康信息（personal health information，PHI）和个人持卡信息（personal cardholder information，PCI），IP则是指知识产权信息（intellectual property）。为了加强对数据的保护，必须重视下列几点：

了解你的数据。经常出现的一种情况是，企业在制定数据政策时没有从现实情况出发，同时也没有形成对未来的清晰认知。他们对自己的数据毫无头绪 – 包括所拥有的数据以及数据存储的位置。为了制定明确有效的政策并实现自动化，必须首先梳理清楚数据的现状。

创建重视安全和隐私的文化氛围。在这一方面持续改进具有重大的意义。通过建立安全和隐私文化以及相应的流程，安全主管可以让安全框架覆盖企业运作的各个环节。而且，这也是一种社会责任的体现。在文化和行为是重要组成的同时，框架的建立也关系到企业的愿景。在采集、使用和存储个人信息时，企业必须形成尊重个人隐私的文化。

两种度量标准：入侵和外泄。尽管有很多其他的标准来评估数据的安全性，入侵和外泄依然是最重要的两个度量。入侵评估主要涉及：是否有恶意软件存在?是否有人在探测不属于其职权范围的网络和系统?泄露方面评估就是检查数据是否有外流。这两种度量标准可以让企业认识到安全隐患，在最大程度上帮助安全团队行使职责。

关于通过持续改进来改变企业文化和行为准则，有下列三个关键流程：

通过业务术语，促成统一的认识和行动。无论哪个CEO，都会对你说企业发展和收入增长是其首要考虑的事情。任何一个业务单元的工作都是为了这个终极目标而努力，安全团队也不例外。安全与业务之间的沟通一致可以将原来单纯由IT承担的责任分担到业务端的肩上，有助于安全隐私举措从上而下的贯彻执行。

重新梳理数据的归属权，在企业各部分建立安全隐私的观念。安全团队不应该也没必要掌控整个企业的所有数据。数据对于收集、处理和使用其的业务单元来说才是最具价值的。与那些对数据最感兴趣的业务单元进行沟通，有助于安全团队确认数据得到了妥善的保护并运用得当。因此，必须厘清数据的归属和相应责任，所有的员工都肩负数据控制的职责，包括创建、使用、拥有或审计等各个环节。

培养正确的决策理念。要关注具体案例，而非普适性的安全措施。根据员工的特定工作场景来进行安全方面的培训，形成鼓励而非仅仅允许说出自己意见的氛围。如果员工都可以坦率地对自己工作工作范围内的数据隐私实践提出疑问，那么恭喜了，你正走在正确的道路上。