2025年的数据安全战略成功的五个步骤

2025年，信息技术安全领域的领导者和企业高管们将面临又一个充满挑战的年份。从长远来看，经济的不确定性和地缘政治的不稳定似乎还会持续，这给网络攻击者创造了条件。他们将越来越多地拥有各种工具，从而能够发动数量更多、影响更大的网络攻击。与此同时，公司董事会将希望推进重要的数字化转型计划，而在此过程中可能会扩大自身的攻击面。

企业数据处于这一切的核心位置：它是竞争优势、运营效率提升和决策优化的关键驱动力，也是大多数网络攻击者觊觎的企业资产。考虑到这一点，以下是五条建议，有助于在未来一年制定数据安全策略。

1. 规范合规工作

2024年这一年出台了许多新的监管规则，2025 年也不会例外。我们将看到欧盟《数字运营弹性法案》（DORA）的合规截止日期在 1 月份到来，而许多组织仍将在推行他们的《网络与信息系统安全指令 2.0》（NIS 2）计划，并调整他们的《支付卡行业数据安全标准 4.0》（PCI DSS 4.0）策略。贯穿始终需要记住的最重要一点是，合规绝不应是一次性的工作。当合规计划遵循风险评估、实施、审计和审查的循环流程时，才最为有效。通过关注以数据为中心的安全，组织可能会发现，他们实际上可以降低一些合规项目的成本和范围。

2. 采取措施减轻供应链风险

自 2018 年以来，受供应链攻击影响而遭数据泄露的美国组织数量惊人地增长了 2600 个百分点。仅去年一年，就有超过 2700 个实体受到影响，超过 5400 万人成为受害者。随着数字供应链和传统供应链在 2025 年继续发展，各组织需要更好地梳理其依赖关系和数据流动情况，并对供应商进行审计。通过保护最重要的数据本身，许多潜在的供应链风险是可以减轻的。

3. 安全利用人工智能的力量

在过去两年里，人工智能一直是科技领域的焦点话题。预计到 2040 年，这项技术将在全球创造高达 23 万亿美元的价值，有雄心的企业将渴望在来年利用这一技术开拓新的商业机会。但是，支撑这些增值项目的数据本身将越来越成为攻击目标，可能会遭遇信息被盗，或是旨在篡改和破坏人工智能输出结果的攻击。

这就是为什么在此类项目中使用的数据从一开始就必须得到保护，同时又要以一种不影响其使用的方式进行保护。例如，数据令牌化在不损害安全性的前提下保留了数据的可用性，这样数据就可以输入到基于云的分析工具中。

4. 规划零信任数据安全策略

如今，零信任应该已经进入了所有人的视野。根据Gartner的数据，目前全球 63% 的组织已经全面或部分实施了零信任策略。然而，对于大多数组织来说，这只覆盖了其环境的不到一半。不可否认，零信任需要投入大量的时间、资金和精力。但在数据安全方面（这是任何零信任方法的基础部分），现在有了新的可用资源。美国联邦零信任数据安全指南可能会为 2025 年的成功提供一个蓝图。

5. 加强云环境的透明度

2025 年，云技术的应用将继续增长。高德纳公司预测，云技术的年度支出将增长超过 20%，明年全球云服务支出将接近 8250 亿美元。但这些云环境常常像是黑匣子。当不法分子虎视眈眈，而配置错误又常常导致数据存储暴露时，这可不是什么好消息。简而言之，组织无法保护他们看不到的东西。因此，企业信息技术安全领导者必须寻找能够对组织的各个方面（包括第三方云环境）进行监控的数据保护平台，这样他们就能够持续发现、分类并保护敏感数据。