作者:Gartner高级研究总监 陈延全
中国企业对全球增长的追求与日俱增。2024年前10个月,中国出口总值达20.8万亿元,同比增长6.7%。2024年,中国对外非金融类直接投资(ODI)达1438.5亿美元,较上年增长10.5%。然而,面对不同的监管、技术及文化环境,企业运营面临着复杂的数据安全挑战,包括了解不同的数据保护法规、管理数据跨境传输安全,以及调整安全实践以适应不同的文化规范。忽视这些挑战可能会导致代价高昂的违规和极具破坏性的安全漏洞,还会降低运营效率。首席信息官(CIO)及其安全团队可以利用基于风险的结构化方法(见图1),主动应对监管风险,加 强安全态势,适应多样的国际环境。
图1:加强中国企业出海的数据安全计划
建立全球网络安全监管情报计划
面对不断变化且经常相互矛盾的全球数据保护监管法规,网络安全领导者要确保合规就变得十分复杂。根据“2024年Gartner调研:AI进步时代下的数据安全”,70%的企业在运营中面临多重监管要求,对数据安全造成极大影响。此外,在监管要求发生变化时,75%的企业会重新评估其数据安全方法。各种关于数据本地化、传输机制和数据使用模式的要求会极大加重合规负担,增加了企业受到严重法律处罚的可能性。
建立积极主动的全球网络安全监管情报计划,使网络安全领导者能够持续观测不断变化的监管环境,设定合规实践基准,并迅速调整安全政策,以满足各种监管需求。采用系统化的方法整合和协调来自不同监管法规的数据保护要求。创建统一且适应性强的方法,改善部署在受高度监管市场中的数据存储和交易的安全态势(见图2)。
图2:系统化协调和整合数据保护监管要求的方法
实施分层式端到端数据保护方法
安全管理数据的跨境传输是一项关键的业务挑战。各地区数据本地化要求和技术基础设施水平的差异,可能会扩大攻击面、增加跨境传输中的数据暴露风险以及导致安全控制应用的不一致。分层的端到端数据保护方法意味着在数据传输的每个阶段(从创建、存储到传输和使用)部署多个相互关联的安全措施。这种方法通常包括静态和传输中的加密、实时异常检测、严格的访问控制和自动策略实施。通过实施多层保护,中国企业在全球范围内扩大业务规模时,可以降低跨境数据传输中的数据暴露风险,确保其安全控制始终有效,无论本地基础设施如何变化。
中国企业CIO及网络安全领导者需要认识到以下关键要素:
• 跨地区部署分布式数据存储的常见风险:数据碎片化,访问管理的复杂度上升,以及攻击面扩大。
• 对数据安全技术进行排序和协调:跨区域部署多种数据安全技术往往会导致控制分散、职责重叠和策略执行不一致。
• 在跨境数据共享和协作中平衡数据安全风险和价值:要在保持合规的同时实现跨境数据共享的价值,就需要在降低风险和数据效用之间寻求切实的平衡状态。
将文化敏感性纳入地方数据安全计划
中国企业向全球市场的扩张需要适应多样化的监管环境和文化背景。仅仅将数据安全策略翻译成当地语言是不够的--要深入了解当地的规范和实践方法,才能真正有效地实施数据安全策略。
• 数据安全计划中的文化适应:成功的全球数据安全计划必须认识到,不同文化对隐私、数据所有权和安全的看法差异很大。
• 综合文化评估:有效的数据安全计划必须建立在文化理解的基础上,因为不同国家对数据使用的接受程度或道德规范有所不同,这对风险敞口和策略效力均有影响。
• 培养文化意识的培训计划:认同当地文化规范的培训至关重要,有利于确保数据安全控制实施的一致性。
• 基于文化的事件响应计划:应对数据泄露必须考虑文化背景,因为沟通基调、透明度预期和监管反应在不同地区差异很大。
