作为审计过程的一部分，审计人员通常会通过提出一系列有针对性的问题来了解组织的运营情况。在讨论其运营情况时，大多数组织的领导者都会说，数据对他们的组织非常重要，而数据的安全是重中之重。安全领导者也一致同意，仅仅为了符合法规而制定的安全策略并不是有效的安全策略，然而，大多数组织的数据保护仅限于受监管的数据。克服这一矛盾是建立既保护数据又符合法规的有效数据安全计划的必要条件。    

在小事上栽跟头

组织虽已合规但仍然经常被攻破的事件时常发生，这是因为从历史上看，内部和外部审计人员对合规性没有明确要求的能力问题大多避而不谈。此外，当这些问题被提出时，审计人员也往往轻易地接受诸如“我们不知道”的敷衍回答。这种缺乏严谨性的现象是导致许多组织有负责确保法规合规性的员工，但很少有人真正负责数据安全的原因之一。

这种对数据安全漫不经心的态度是不可接受的。如果组织真的认为数据安全是首要任务，就必须能够回答有关数据安全的基本问题。虽然审计人员可以询问的潜在问题有几十个，但几乎所有问题都可以归结为9个关键问题：

1. 数据存储在哪里？

2. 访问了哪些数据？

3. 访问了多少数据？

4. 有没有数据被无意或有意修改？

5. 谁访问了数据？

6. 他们什么时候访问的？

7. 他们是如何访问的？

8. 数据是否以适当的方式被访问？

9. 这些问题的答案综合起来对组织的风险状况意味着什么？

这些问题并不复杂，而且回答这些问题的手段是现成的。数据发现和分类分级等能力是任何数据安全战略的基础，可以通过自动化工具或外部顾问来实现。同样，在发生重大数据泄露或丢失时，没有理由缺乏明确的策略。每个人都应该知道，当发现数据泄露时，谁的电话最先响起，而这个人应该已经掌握了所有的答案和工具，来做出适当的事件响应。

审计性质的变化

在这种情况下，近年来各组织与审计师之间的互动关系开始发生变化，这非常令人鼓舞。此外，审计师越来越多地深入探究组织的能力，提出的问题包括：

• 如何监控个人信息(PII)的访问并确保其安全？

• 使用什么方法检测异常或反常行为？

• 如何确定特定数据集是否发生了重大变化？

• 有哪些流程来处理孤立和未使用的数据用户？

成熟的审计流程至关重要，因为它不仅能促使组织改进其数据安全流程，还能帮助找出其策略中的差距。面对更具体、更实际的问题，组织更有可能认真反思自己在数据安全方面的投入是否合理，以及是否最有效地利用了资源。

“奔牛节”的启示

如果没有明智的策略，数据保护及其与监管合规的共同交叉点很快就会成为一个复杂的长期无效的项目。如前所述，安全领导者一致认为，符合监管要求的计划并不等于有效的数据安全计划。不过，他们同样认为，一个定义明确并已实施的数据安全计划实际上既能保护数据，又能满足监管要求。组织可以通过以下几种方法确保数据受到保护和安全：

• 监控所有数据的访问，而不仅仅是受监管或关键数据的访问。

• 监控访问数据的所有用户（包括应用程序和应用程序接口）的操作，而不仅仅是有权限的用户。

• 监控从保留系统到现代云系统的所有数据存储位置。

• 存储数据的时间（通常为1至3年）满足法规要求，并提供可接受的事件响应。

• 企业内部缺乏数据安全专业人才时，应寻求服务或技术合作伙伴的帮助。

网络安全在不断发展，数据安全也不例外。攻击者一直在改进和完善他们的技术，这意味着组织必须引入更好的工具来维护其安全。这就好比在西班牙潘普洛纳奔牛节中和公牛赛跑。每年，成千上万的人走上街头，被长着锋利牛角的斗牛的追逐，只为在公牛之前抢先到达终点。

与公牛赛跑时，你不必成为最快的，但你绝对不想成为最慢的。你去年的速度可能没有变，但如果你周围的人都在不断地加快速度，你很快就会发现，你不再是舒适的中游者，而是突然变成了最后一名，而且非常危险。审计人员正在加大力度，确保他们的客户不会落在后面---现在轮到组织认识到这一点并迅速做出反应。

编者按：本文于2024年8月27日首次发表于ISACA官网News and Trends。文章内容仅代表作者本人观点。

TERRY RAY是Thales公司Imperva的数据安全GTM高级副总裁、现场首席技术官和Imperva研究员。

翻译：王岩（Liam Wong），CISA、CIA、CDPSE、CISM、CISSP、CZTP、CISP-F、PMP、OCM 11g/12c、PGCA、OBCA、MCDBA、MCSE，ISACA微信公众号特邀通讯员 

校对：王亮（Lionel Wang），CISA，ISACA微信公众号特邀通讯员，致力于网络安全、数据安全、个人信息保护、工控安全以及IT审计方向的研究