公司正淹没在数据中。这是一个膨胀的趋势,企业别无选择,只能采取行动,而安全团队可能会感受到向前发展的最大后果。有无数闪亮的解决方案和思想流派试图弄清数据涌入的意义,但领导者必须首先确保正确理解其数据的“原因”。换句话说,除非整个组织的团队拥有从数据摄取到数据应用的清晰路线图,否则数据安全问题肯定会随之而来。
不理解数据的“原因”源于不良数据素养. 这会导致滚雪球效应,欢迎漏洞和破坏性破坏。一旦团队了解了他们的数据的含义、如何访问重要的内容以及如何最终简化关键流程,他们将有一条更清晰的路径来实现洞察力驱动的决策和成功。
建立数据素养文化
根据一个 最近的调查,尽管 99% 的企业知道数据至关重要,但只有 26% 的企业相信所有员工都了解他们使用的数据以及如何有效地使用这些数据。这就是现代安全团队面临的最大障碍之一,也是技术领域领导者无法接受的疏忽:数据素养严重孤立,许多迫切需要这些技能的团队被晾在一边。
这种疏忽的威胁可以归结为危险的无知。如果不了解正在使用的数据及其用途,就不可能进行适当的风险管理。数据的有害组合——除其他外——导致无意的冒险,使企业容易受到威胁。无论这种威胁与隐私、知识产权损失还是竞争损害有关,数据素养都是保护难题的重要组成部分。
随着围绕数据素养的战略对话的增加,数据安全必须放在首位。网络弹性取决于真正相信成熟的团队数据策略– 领导者有责任确保在文化和行动驱动的层面上实施纪律。
提升内部技能并引进主题专家
通常,数据素养不佳是内部教育的失败和对一两个人的过度依赖。作为解决方案,领导者必须做出有针对性的努力,将他们的非技术劳动力提升为“公民”数据分析师。数据科学家在 供不应求,这意味着需要削减脂肪的团队将降低数据专业知识的优先级。这对网络风险尤其不利——CISO 不能成为数据安全的唯一堡垒,因此领导者必须确保每个团队中的一些人都有权根据需要解决相关数据问题。
此外,如果组织对数据的生成、编目、存储和访问采取一致且有条不紊的方法,团队就不需要大量资源来正确管理数据。如果方法是一致的,那么它最终可以可靠地自动化以降低风险,同时增加访问。如果不满足这些要求并且手动管理数据,则需要更大的团队来管理保护数据的手工过程。
许多领导者没有从内部审视,而是陷入了“沉没成本”的谬论,并认为由于在闪亮的解决方案上花费了大量资金,因此最终会带来积极的投资回报率。没有“银弹”技术或个人可以将数据故事整合在一起。相反,在这方面的成功需要合作和信任,即每个角落都掌握了他们的数据以及数据所依赖的最终游戏。
幸运的是,大多数公司都在朝着正确的方向前进。上述调查显示,65% 的组织已经启动了数据素养计划,以提高全面的理解,而且随着培训的价值变得更加明显,这一数字肯定会增加。
遵循数据成功的三大支柱路径
在最高级别,数据问题通常可以归结为讲故事的失败。收集数据时,团队没有故意对齐,导致混乱和资源浪费。如果安全团队不了解正在讲述的故事,就不可能有效地评估风险,因为数据生命周期不明确。
因此,领导者在处理数据时应着眼于三个具体支柱——知识、观察和自动化——来一一解决。知识管理是最关键(也是最被掩盖的)步骤。如果团队不同意数据的来源、每个部分的所有者以及数据的去向,那么就没有通向成功的可理解途径,安全风险也会变得无法控制。
建立上下文后,启用观察。可以通过任何必要的镜头来处理数据,以找到模式并删除不必要的步骤。
观察完成后,团队可以利用数据来自动执行手动任务和警报,这些任务和警报以前会消耗大量资源。这是数据收集的最终目标,并将为安全团队提供必要的情报,以提供明智的、经过验证的弹性策略。
讲故事和组织=成功
就像在任何学科中一样,杂乱无章和不一致的方法会导致无效的结果。没有一致的协调和共同的目标,可能会解决错误的问题或得出错误的结论。在安全及其他方面,至关重要的是每个人都保持在同一页面上,并对正在处理的内容有共同的理解。
安全性通过链接数据集、将事件链接在一起并讲述故事来取得成功。无论是在调查中还是讲述风险故事,安全团队都必须使用数据作为外部人员的翻译——那些在企业内部做出关键决策的人员。一旦在整个组织中应用了正确的技能,数据就会成为通用语言,风险会大大降低,并且最终可以实现更高的目标。