隨著用戶數(shù)據(jù)安全意識的逐步提升，用戶對于企業(yè)在數(shù)據(jù)安全與隱私方面所做的工作有著更高要求，這一點也決定了用戶對企業(yè)的信任度。然而，有效的數(shù)據(jù)保護戰(zhàn)略必須建立在堅實的業(yè)務基礎(chǔ)上，企業(yè)可以遵循“救生筏”（RAFT）原則——風險意識（RiskAwareness）、靈活性（Flexibility）和信任（Trust），以應對網(wǎng)絡(luò)威脅。

1.提升風險意識

企業(yè)管理層通常使用投資回報率（ROI）來衡量團隊績效，然而ROI結(jié)構(gòu)很少納入風險識別的考量，唯獨首席信息安全官（CISO）在關(guān)注企業(yè)的風險回報率（ROR）。要將ROR目標納入企業(yè)管理層的優(yōu)先考量需要企業(yè)文化的轉(zhuǎn)變。

2008年金融危機、今年的新冠疫情以及包括《通用數(shù)據(jù)保護條例（GDPR）》在內(nèi)的各項法規(guī)，凸顯了風險意識在企業(yè)經(jīng)營中的重要性。缺乏風險意識的企業(yè)通常會不自知地面臨風險，而風險意識較強的企業(yè)將安全視為跨部門流程要求的重要組成部分，從云中數(shù)據(jù)管理到勒索軟件檢測相關(guān)的購買決策也會更多考慮風險問題。

關(guān)鍵要點：

1.企業(yè)關(guān)注的焦點應當從純ROI考量轉(zhuǎn)變?yōu)镽OI與ROR的平衡

2.發(fā)揮首席信息安全官在企業(yè)管理層中的風險識別和提示作用

2.增強靈活性

置身于復雜多變的社會經(jīng)濟條件下，靈活性將成為企業(yè)競爭優(yōu)勢的源泉，幫助企業(yè)應對危機并抓住重要機遇?！锻ㄓ脭?shù)據(jù)保護條例（GDPR）》第32條規(guī)定，企業(yè)需要從技術(shù)和組織層面滿足以下要求：

• 有能力確保系統(tǒng)和服務的保密性、完整性、可用性和恢復力；
• 在發(fā)生物理或技術(shù)事件時，能夠及時恢復個人數(shù)據(jù)的可用性和可訪問性；
• 定期測試和評估企業(yè)技術(shù)和組織層面措施的有效性，以確保處理過程的安全性。

GDPR要求涉及歐盟公民數(shù)據(jù)的企業(yè)必須擁有用于恢復系統(tǒng)和保持業(yè)務連續(xù)性的有效備份。實際上，有效的數(shù)據(jù)備份和定期的網(wǎng)絡(luò)安全流程測試與評估應該成為全球所有企業(yè)的一項常識，而不僅僅是法規(guī)要求。同時，企業(yè)應當通過沉浸式的模擬演習而非講座培訓的方式，來測試其危機團隊（包括負責技術(shù)、法務、企業(yè)聲譽和社交媒體等方面的人員）的響應能力。這種模擬演習也有助于管理層識別網(wǎng)絡(luò)風險并更好地意識到危機準備的必要性。

關(guān)鍵要點：

3.定期測試并評估企業(yè)的網(wǎng)絡(luò)安全流程，包括企業(yè)備份

4.為企業(yè)建立完善的網(wǎng)絡(luò)安全事件應對計劃，并通過沉浸式模擬演習對其進行驗證

3.鞏固公眾信任

勒索軟件是一種典型的網(wǎng)絡(luò)安全威脅，如今即使企業(yè)支付贖金，也無法保證能夠贖回其被加密的數(shù)據(jù)，更無法確定勒索軟件是否在企業(yè)系統(tǒng)中留有后門，用于下一次的勒索。更甚的是，勒索方式從原本的拒絕企業(yè)訪問數(shù)據(jù)，轉(zhuǎn)為了威脅公開企業(yè)的敏感數(shù)據(jù)。近幾年，勒索事件的數(shù)量呈增長趨勢，平均勒索金額不斷上漲， 由此引發(fā)的宕機、企業(yè)聲譽損失、追償成本、監(jiān)管罰款和訴訟等都將給企業(yè)帶來更加不可估量的損失。

危機管理理論提到，危機事件發(fā)生后將有一段“黃金時期”，企業(yè)可以通過迅速響應并對用戶展現(xiàn)共情來贏得輿論支持。然而在網(wǎng)絡(luò)安全危機中，“黃金時期”并不存在，媒體和公眾只會將數(shù)據(jù)丟失泄露歸咎于企業(yè)而非黑客。危機發(fā)生后的迅速取證以及定損，有助于企業(yè)修復漏洞，同時建立必要的法律陳述及品牌策略。此時，品牌信任度是重中之重，企業(yè)應當努力保持公眾對其品牌的信任度，再通過長期的輿論影響與控制來修復其聲譽。

關(guān)鍵要點：

5.建立品牌信任，并在危機發(fā)生后進行快速響應

6.不能以對待其他危機的方式來應對網(wǎng)絡(luò)安全危機，企業(yè)必須在法律以及企業(yè)聲譽取證方面做好充分準備

有備方能無患。將市場比作汪洋大海，通過增加風險意識、靈活性和公眾信任方面的投入，為企業(yè)打造數(shù)據(jù)保護“救生筏”，不僅能在危機出現(xiàn)時為企業(yè)及其用戶提供有效保護，更能為企業(yè)的長遠發(fā)展保駕護航。

關(guān)于Commvault

Commvault是面向全球的數(shù)據(jù)備份和恢復領(lǐng)域服務提供商。Commvault數(shù)據(jù)管理解決方案通過保護、管理并使用企業(yè)的核心資產(chǎn)——數(shù)據(jù)，重新定義了備份對于現(xiàn)代化企業(yè)的意義。Commvault為客戶提供先進的軟件、解決方案和相關(guān)服務，同時借助其龐大的全球合作伙伴生態(tài)系統(tǒng)，將觸角延伸至全球范圍。Commvault在全球市場擁有超過2,300名高技能員工，公司在納斯達克股票市場上市（CVLT），總部位于美國新澤西州Tinton Falls。欲了解Commvault的更多信息，請訪問：www.commvault.com/www.commvault.com.cn(中文)。