信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“GoUpSec”。

隨著全球隱私法規(guī)的日益嚴(yán)格，跨國(guó)企業(yè)在網(wǎng)絡(luò)安全戰(zhàn)略上正面臨前所未有的挑戰(zhàn)。Gartner最新報(bào)告指出，隱私法規(guī)的實(shí)施可能導(dǎo)致全球IT架構(gòu)的解體，并預(yù)測(cè)到2027年，至少25%的跨國(guó)企業(yè)將因數(shù)據(jù)主權(quán)戰(zhàn)略而增加業(yè)務(wù)單位的交付成本，增幅超過(guò)一倍。

地緣政治風(fēng)險(xiǎn)與隱私法規(guī)驅(qū)動(dòng)的數(shù)據(jù)本地化

在歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)、中國(guó)的《個(gè)人信息保護(hù)法》以及巴西的《通用數(shù)據(jù)保護(hù)法》等法規(guī)的推動(dòng)下，跨國(guó)企業(yè)在全球范圍內(nèi)的IT和安全架構(gòu)正變得日益復(fù)雜。這不僅考驗(yàn)了企業(yè)的組織結(jié)構(gòu)和運(yùn)營(yíng)模式，也對(duì)網(wǎng)絡(luò)安全戰(zhàn)略提出了新的要求。

Gartner研究總監(jiān)陳延全指出：“跨國(guó)企業(yè)正在采取多種應(yīng)用和數(shù)據(jù)本地化戰(zhàn)略，以降低合規(guī)風(fēng)險(xiǎn)，并在高度監(jiān)管的市場(chǎng)中建立競(jìng)爭(zhēng)優(yōu)勢(shì)。然而，隨著本地化程度的加深，企業(yè)的全球IT架構(gòu)和安全運(yùn)營(yíng)也變得日趨復(fù)雜。”

圖1：隱私驅(qū)動(dòng)的應(yīng)用和數(shù)據(jù)本地化

跨國(guó)企業(yè)網(wǎng)絡(luò)安全面臨的三大挑戰(zhàn)

Gartner指出，跨國(guó)企業(yè)網(wǎng)絡(luò)安全面臨三大挑戰(zhàn)，企業(yè)安全和風(fēng)險(xiǎn)管理（SRM）領(lǐng)導(dǎo)者必須與法律和合規(guī)領(lǐng)域的專家合作，對(duì)網(wǎng)絡(luò)安全計(jì)劃進(jìn)行調(diào)整，以更好地支持目標(biāo)市場(chǎng)的業(yè)務(wù)運(yùn)營(yíng)。三大挑戰(zhàn)具體如下：

1

地理分布式應(yīng)用和數(shù)據(jù)托管增加數(shù)據(jù)訪問(wèn)管理的復(fù)雜性

隨著合規(guī)風(fēng)險(xiǎn)和數(shù)據(jù)本地化要求的持續(xù)增加，跨國(guó)企業(yè)正在轉(zhuǎn)變其應(yīng)用和數(shù)據(jù)架構(gòu)，從傳統(tǒng)的中心化和單例設(shè)計(jì)模式轉(zhuǎn)向組裝式架構(gòu)。這一轉(zhuǎn)變不僅擴(kuò)大了企業(yè)的攻擊面，也增加了數(shù)據(jù)在不同地區(qū)分散化帶來(lái)的風(fēng)險(xiǎn)。

要求數(shù)據(jù)本地化存儲(chǔ)的地區(qū)擁有較大規(guī)模業(yè)務(wù)的跨國(guó)企業(yè)，正在對(duì)其企業(yè)資源規(guī)劃（ERP）、客戶關(guān)系管理（CRM）以及數(shù)據(jù)和分析平臺(tái)等中心化應(yīng)用進(jìn)行解耦。此舉擴(kuò)大了企業(yè)的攻擊面。數(shù)據(jù)在不同地區(qū)的分散化，增加了攻擊者借助物理或遠(yuǎn)程手段訪問(wèn)數(shù)據(jù)的風(fēng)險(xiǎn)。

2022年Gartner首席信息官（CIO）和技術(shù)高管調(diào)研顯示，7%的受訪者已就打造組裝式企業(yè)展開(kāi)了投資，另有61%的受訪者預(yù)計(jì)將在2024年底之前采取這一行動(dòng)。

2

多樣化的合規(guī)要求將推動(dòng)跨國(guó)企業(yè)協(xié)調(diào)安全標(biāo)準(zhǔn)

數(shù)據(jù)和應(yīng)用的本地化實(shí)施，需要企業(yè)在應(yīng)用開(kāi)發(fā)和部署過(guò)程中，對(duì)不同司法管轄區(qū)的安全標(biāo)準(zhǔn)進(jìn)行協(xié)調(diào)。這要求安全和風(fēng)險(xiǎn)管理（SRM）領(lǐng)導(dǎo)者采取系統(tǒng)化方法，整合各類安全標(biāo)準(zhǔn)，創(chuàng)建統(tǒng)一且適應(yīng)性強(qiáng)的安全框架。

實(shí)施數(shù)據(jù)和應(yīng)用本地化，通常涉及復(fù)制應(yīng)用和數(shù)據(jù)存儲(chǔ)庫(kù)，或者從相應(yīng)國(guó)家/地區(qū)采購(gòu)應(yīng)用。針對(duì)特定地區(qū)的需求對(duì)應(yīng)用進(jìn)行調(diào)整和優(yōu)化，為企業(yè)提供了一個(gè)機(jī)會(huì)，可以將安全要求嵌入應(yīng)用的開(kāi)發(fā)過(guò)程，而不是等開(kāi)發(fā)完成后再行添加。對(duì)于存在解耦需求的應(yīng)用，鑒于不同司法管轄區(qū)采用的安全標(biāo)準(zhǔn)可能并不相同，企業(yè)必須在應(yīng)用開(kāi)發(fā)和部署過(guò)程中，對(duì)不同的安全標(biāo)準(zhǔn)和要求進(jìn)行協(xié)調(diào)。

圖2：系統(tǒng)化協(xié)調(diào)和整合安全標(biāo)準(zhǔn)的方法

3

數(shù)據(jù)隔離和數(shù)據(jù)傳輸管理挑戰(zhàn)

應(yīng)用和數(shù)據(jù)的本地化導(dǎo)致了數(shù)據(jù)的碎片化，引發(fā)數(shù)據(jù)隔離和互操作性的挑戰(zhàn)。SRM領(lǐng)導(dǎo)者需要采取綜合性方法，全面考慮技術(shù)和非技術(shù)因素，以支持信息在不同地區(qū)間的順暢流動(dòng)。

陳延全表示：“數(shù)據(jù)隔離可能會(huì)降低信息的保真度、影響業(yè)務(wù)連續(xù)性并阻礙創(chuàng)新。”

此外，云服務(wù)和API的使用，增加了跨國(guó)企業(yè)數(shù)據(jù)傳輸管理出現(xiàn)缺口的風(fēng)險(xiǎn)。跨國(guó)企業(yè)可以通過(guò)實(shí)施API網(wǎng)關(guān)等安全控制措施來(lái)降低此類風(fēng)險(xiǎn)。