数据保护：怎样在安全和效率之间找到平衡

企业数字化转型有很多好处，当所有数据都连进来了之后，企业就有了大量的数据资产，就能解决很多原来解决不了的问题；但潜在的数据安全风险也是巨大的。

拿全球最大的万豪酒店集团举例，万豪2017年开启了数字化转型，但在2018年底他们的数据资料库遭到了黑客入侵，3.83 亿房客的个人数据被泄露，涉及姓名、地址、邮箱、电话、护照号码等非常多的隐私信息。当时的英国监管机构罚了万豪1.24亿美元，万豪在美国也遭到集体诉讼，索赔金额高达125亿美元。

安全和效率是一对永恒的矛盾

安全这么重要，那企业是不是应该把最大的精力和资源都投入在数据保护上呢？其实这件事没有这么简单，它背后涉及到一个非常关键的问题是，安全和效率是一对永恒的矛盾。

你平时肯定有过类似的感受，比如给自己的网银账户设置密码，如果想让账户更安全，那你就得把密码设得复杂一点，最好字母、数字、特殊符号都用上，密码还得来个10位20位的。

但这个的问题在于效率不高，经常出现的情况就是你记不起来密码了，输入很多遍都不对，还得重新设置个新密码。反过来想，如果你把密码设置得很简单，比如就是6个1，方便是方便了，但问题是这样的密码又很容易被人识破，整个账户的安全性就不高。

企业也一样，内部那么多重要的账户，如果所有重要的账户的密码都用20位的，员工轻易打不开，安全性是提升了，但效率就下降了。但如果这些重要账户都轻易开放的话，敞口越多，就越容易出现数据泄露等安全风险。

解决矛盾的几点建议：

那么企业在转型数字化的过程中，怎么才能解决安全和效率这对矛盾呢？以下是几点建议（仅供参考）：

管理层面：

• 建立灵活的管理机制：通过动态评估机制，定期审查现有安全管理的适配性，及时修订隐患排查、应急处置等环节的操作规程。
• 员工安全意识培训体系化：将数据安全知识纳入新员工入职培训必修课，定期开展专项培训。培训内容涵盖数据泄露案例分析、安全操作规范等。如通过模拟钓鱼邮件攻击测试，检验员工安全意识。

制度层面：

• 建立数据安全责任制：明确各部门、岗位的数据安全职责，将数据安全纳入绩效考核。例如，数据管理部门负责数据存储安全，业务部门对其产生和使用的数据安全负责。
• 合规性审查常态化：定期对照《数据安全法》、《个人信息保护法》等法规，对企业数据处理活动进行全面审查，及时发现并整改违规行为。

技术层面：

• 分级处理，灵活防护：对数据进行敏感程度分级，如针对存放数据的企业数据库，必须采取有效手段防止数据泄露、被篡改、一窝端，并能够做到实时追溯。对于一般性数据，在保障安全的前提下，简化处理流程，提高使用效率。
• 零信任架构，动态控权：不默认内网安全，推行“永不信任，始终验证”。通过多因素技术手段认证，结合设备状态和用户行为，实时调整权限。

真正解决问题需要从各个管理、制度、流程、技术等各个层面进行把控，专业和全面的对企业数据安全现状进行分析，结合目前已有的能力和措施做出安全和效率最优化的方案。

写在最后

企业在数字化转型中追求数据保护，它并不是一个绝对安全的概念，而是一个相对安全的概念，安全问题是攻防双方展开的一场永恒博弈。你只要比别人快半步，就可以为自己争取很大的时间，然后利用这段时间把未知的风险转变为已知的风险，再去寻找抵御风险和提升防御能力的方法。