业内有句戏称:“数字化一时爽,不做数据安全火葬场”。
事实确实如此。近年来,国内外数据安全事故频发。大到Facebook泄露5.33亿用户隐私,推特超过540万的用户信息被黑客售卖,小到电商数据泄漏导致的用户骚扰,某公司程序员删库跑路等等。
随着企业数字化转型迅速发展,数据泄漏事件的频率、规模和成本也在快速增长。根据Ponemon发布的报告,2022年,全球数据泄露规模和平均成本均创下历史新高,数据泄露事件的平均成本高达435万美元。
对于涉足 “卡脖子”问题的“专精特新”企业来说,数据更是其核心资产和命脉。一旦发生数据安全事故,就可能让企业面临重大风险。根据Zogby Analytics的报告,数据泄露可能导致25%的中小企业破产。
如今,专精特新发展形势火热。在高速发展的产业生态中,帮助专精特新中小企业建立数据安全防护网刻不容缓。
那么,该如何为中小企业数字化转型保驾护航,助其成长为“小巨人”?
01 中小企业需要一个专业的“数据安全顾问”
要回答这个问题,先得弄清楚中小企业在数据安全方面存在哪些痛点。
首先,中小企业研发资金不足,很难搭建完备的数据安全体系。大型金融企业、互联网企业,会专门设立数据安全等部门组织,承担企业数据安全工作。而中小企业的数据安全建设大多处于起步阶段,在数据安全体系搭建上,如边界防御、访问控制、网络隔离、应用保护、入侵检测、病毒防御、数据防泄漏等等,缺少层层安全策略,层层的操作规则。
同时,中小企业业务架构简洁,网络复杂性低。这就导致在面对恶意攻击时,中小企业的核心数据容易很快暴露。根据电信运营商Verizon发布的报告,对于中小企业,70%数据安全攻击事件,可以在3个攻击步骤内完成攻击。
其次,数据安全人才不足,人才业务水平有待提高。
36氪发布的《中国中小企业数字化转型研究报告(2022)》显示,中小企业的数字化相关人才平均占比仅为20%,只有15%的企业建立了数字化人才培养体系。在如此小的比例下,专职数据安全的人才又能有多少?很多时候是IT人员兼顾安全管理工作,但他们身兼多职,且普遍缺乏专业的安全知识,常常会出现安全误区。
比如,某中小企业在意识到数据安全重要性后,专门采购了满足三级等保的云服务器。然而,使用过程中,员工却犯了低级错误:既没修改默认口令,也没有关闭特权账号远程登陆,最终,黑客轻而易举地就控制了服务器。
这样的例子还有很多,究其原因是人才短缺。不过,对中小企业而言,就算资金到位,招聘也并非易事。因为,目前数据安全专业人员缺口百万级,比起大企业,中小企业的吸引力略有不足。这就导致不少中小企业处于“缺人”但“招不到人”的尴尬境地。
第三,不同行业的企业需要差异化的数据安全解决方案。
企业在数字化转型过程中,会形成数据资产。这些数据资产分为产品设计、产品配方、制作工艺、技术诀窍、财务数据、客户信息、用户行为特征数据、运营数据等等。
不同行业企业对不同类别数据资产的偏重程度也有所区分。比如在金融行业,数据泄露主要包含客户个人资料和企业敏感数据。这就要求企业在维护数据安全时,着重摸清规模庞大的用户金融信息、个人隐私信息等。知识和技术密集型的科技企业,则是前期投入大、研发周期长,保护研发数据是重中之重等等。
总的来说,企业应根据自身情况,确定适合自己的数据安全建设思路。尤其是对中小企业而言,在投入资源有限的情况下,比起自己盲目搭建一个事无巨细的数据安全保护框架,不如针对实际需求,精准发力,学会借力。