一家公司的数据保护与安全政策，不仅要满足合规要求；事实上，还应当成为企业商业价值主张及企业文化的核心组成部分，并且需要具备全球视野。那么，企业到底应该怎么做呢？数据保护已经步入一个分水岭。一方面，一些领先企业，特别是欧洲和北美地区的企业，在保障敏感数据安全性方面已经取得了重大进步；另一方面，其他很多企业反应相对迟缓，尚未意识到自己在数据保护方面的努力还不够。 
    机密数据—包括客户信息、商业计划以及财务数据—已经成为所有企业最重要的资产之一。可是，在技术进步、新商业模式崛起以及日趋复杂和全球互联的业务流程背景下，不仅用以保护隐私、个人及其他数据安全的法律很容易过时，而且，不少企业保护敏感商业信息的能力也已经相形见绌。
    从员工培训到技术基础设施等关键领域的缺陷，使得无论是私营部门还是公共部门的组织，在安全事故以及敏感数据滥用等问题面前都显得极端脆弱，尽管数据保护与安全意识在企业领导人、监管当局以及消费者心目中已经有了很大提高。而且，对于这些组织来说，维护数据安全的价值已经超越了单纯的合规经营；正如过去一些年里暴露出来的多起轰动性数据安全事故揭示的那样，企业的声誉和生意可能会因为客户信息或者其他机密数据的疏忽泄露而毁于一旦。
    随着企业数据搜集、存储及分析规模的急速扩大，很多管理团队发现自己已经处在一个艰难的境地：他们无法向客户保证其信息不会被滥用。正如伯尼曼研究所（Ponemon Institute，一家美国机密与信息安全研究组织）创办人兼主席拉里·伯尼曼指出的那样，“不管一家企业（在数据保护方面）有多么优秀，也总会存在数据泄露的可能性。企业无法确保它们搜集的数据会百分之百地安全；但是，它们至少可以有效管理或者降低这种风险。”
    意愿VS实际
    鉴于这个问题的重要性，埃森哲启动了一项针对当前企业数据保护与安全情况的研究。在两项相互独立的全球调研中，我们一共对19个国家的5500名企业负责人以及超过15000名成年消费者进行了问卷调查。我们的目的是要弄清人们（包括企业领导人和普通个人）的数据保护与安全意识是如何影响到数据保护实践的。我们的研究在五个关键领域都有重大发现。
    1、信任
    企业对于数据保护的意愿与它们实际采取的保护措施之间有着很大的差距。这种差距破坏了社会的信任格局，使企业很难相信与自己有关的数据会被同行用在恰当的地方。
    在我们的调查中，尽管有近70%的企业负责人都同意企业有义务采取合理手段保护消费者个人信息，但它们的实际行动并不到位。
    例如，45%的企业受访者无法确定或者不同意客户有权决定提供给企业的信息种类，47%的受访者无法确定或者不同意客户拥有决定信息使用范围的权利。近一半人并不认为限制敏感个人客户信息的搜集和共享范围、保护消费者隐私权、防止将个人信息跨境转移到那些缺乏秘密保护法律的国家、以及防范针对消费者的网络犯罪、数据遗失或者盗窃很重要。
    造成这种意愿与做法的不一致的现象有多方面的原因，包括不同行业数据保护方法的差异，文化或地区差异，组织内部缺乏落实安全政策的责任机制，以及一些企业仅仅满足于达到合规要求、而非致力于实施全面的数据保护与安全项目。
    2、责任机制
    大多数企业都发生过遗失敏感个人信息的事件，其中，最主要的原因其实都是内部工作失误以及其他企业有能力控制的问题。这说明在很多企业，关于敏感数据的责任机制没有得到合理的确立。
    58%的受访企业承认遗失过敏感个人信息；而且，在发生过类似事件的企业当中，有近60%承认这种事情曾多次发生；31%的企业表示在过去的24个月中，它们发生过三次及以上的数据遗失事件。
    在这些企业中，造成数据遗失的最主要原因都在内部，而且是企业有能力检测到和改正的问题。例如，在给出的原因当中，业务或系统故障（57%）和员工行为不当或过错（48%）是最常见的；而网络犯罪则只占到安全事件起因的18%。
    这一发现说明，通常认为外部因素是商业秘密与数据安全的最大威胁的想法，其实是错误的。同时，它也印证了那些有关雇员行为导致重大安全事故的报道。例如，一家移动电话运营商曾遗失了一个存储着1700万客户信息的硬盘；另一个例子是，欧洲某国家税务部门错误地将存储着近400万人的机密信息的CD寄给该国的报纸、广播和电视台。
    导致这些内部问题的原因是多方面的，其中包括缺乏相关培训、内控缺陷以及内部数据流动不规范（见边栏）。它们看起来都没有恶意、但却足以令人头疼不已。
    此外，数据存储与移动等技术领域的不断创新令这一问题更加复杂。可移动设备越来越小、存储空间越来越大，而且可以方便地与服务器、网络以及其他移动设备连接……从理论上讲，这一现实赋予了个人用户更大的权力和更多的数据。
    “人们希望能随时连接到任何他们想要连接的东西，而且这种连接应当是绝对有保障的、立刻就能实现的，”数据安全专家伯尼曼指出，“这就意味着安全措施必须是近于无形的。任何可能让人们等待的安全措施都令人无法接受；很多人会尽力避免这种延迟。适当的数据保护流程、控制和技术可以在第一时间防止延迟的出现，提供有效安全保障的同时推动企业效率、而不是妨碍效率。”
    3、合规
    很多组织认为，只要满足了现有法律法规的要求，就足以保护它们的数据。然而，在目前的商业环境下，由于相关法律法规通常都不够精细，上述想法具有很大风险。而且，在不同行业和不同国家，相关的规定也不尽相同。
    虽然有近70%的受访者表示它们会定期检查隐私与数据安全方面的合规政策，但仍然有58%的受访企业发生过数据安全事故。
    更引人注意，或者说令人担忧的现实是，超过三分之二的欧洲企业（欧洲的数据保护规定是世界上最为严格的）承认在过去24个月中发生过一起或以上的数据安全事件，近一半企业发生过两起或两起以上。
    这一发现说明，仅仅达到现行法律法规的要求，并不足以保护敏感数据的安全。由于企业搜集的数据规模正在飞速增加，加之这些数据的获取和应用具有与生俱来的复杂性，现有的法律法规显然无法应对所有可能发生的问题。
    4、第三方
    企业应当审慎选择合作伙伴。它们必须掌握第三方合作伙伴对于数据保护和秘密信息的态度和做法。
    在我们的调查中，55%的企业将客户个人信息的搜集与或处理工作外包给了合作伙伴。由于保护客户信息是所有企业最基本、最重要的责任之一，所以，确保企业与外包服务商之间的高度信任关系，至关重要。
    企业必须对外包伙伴进行全方位的评估，不仅要分析供应商的数据保护与安全项目、确保其达到或者（如果可以的话）超过企业自己的水平，而且还要了解其管理国内和跨国数据方面经验和技能。
    应当采取综合性的全球客户数据保护项目，以提供标准的、统一的客户数据保护服务。该项目必须覆盖到数据保护与安全的所有关键要素，包括员工培训、定期检查与审计、监督、针对安全事故的适当且及时的回应、针对不当行为的纪律和强制措施、以及防止安全事故蔓延的强有力控制手段。而且，它还必须了解和遵守企业与客户所在国家的行业规范以及数据安全规定。
     
    
    5、文化
    那些在数据保护与安全方面表现出“审慎文化”的企业发生安全事故的几率要低得多。
    31%的受访企业表示在过去两年里没有发生过任何安全事故，与那些发生过安全事故的企业相比，它们对待数据保护和安全的态度和政策、以及它们认为可以接受的个人数据的应用方式存在显著差异。
    我们的分析显示，一般地，未发生过安全事故的企业都有一种“审慎文化”，它们认为自己并不是敏感数据的所有者、而是有义务保护这些数据的受托管理人。这些企业更倾向于认同消费者有权管理、修改和控制企业所搜集到的关于他们的个人信息，认为他们对这些信息的应用范围拥有知情权。
    而且，“无事故”企业具有更强的责任意识来强化数据保护和安全。
    
    如采取合理措施确保消费者个人信息的安全、限制有权接触到该信息的人员范围、告知消费者个人信息的应用情况、并且在企业遗失有关信息的情况下为消费者提供帮助。
    此外，与发生过事故的企业相比，更多的“无事故”企业制订了有关保护敏感信息以及规范数据使用的政策，如明确客户个人信息及员工信息应当由IT部门的哪个存储区域负责保存（前者这一比例为66%，而后者则占到75%）。这些规定使企业能够更有效地在全企业范围内保护信息。
    显然，今天的企业都迫切需要采取积极措施来强化数据保护和安全。这不只是为了尽可能减少不合规操作导致受罚的风险，而且也是为了防止发生敏感个人数据泄露等安全事故，因为这些事故会降低客户对企业的信任，令企业声誉蒙尘。
    全球标准
    政府和企业领导人应当携起手来，在全面了解数据保护与安全生态系统的基础上制订一个全球标准，并且为各个主要利益相关者——组织、个人以及监管当局——分配相应的责任。这个标准应当对哪些数据需要得到保护、哪些人在什么情况下可以接触到这些敏感数据、以及如何根据数据的敏感程度与类别进行保护等等提供规范性指导。
    作为单个组织，企业应当营造一种数据保护和安全的“审慎文化”。这样做不仅有助于达到合规标准，而且对于企业的业务发展也是有利的。伯尼曼说：“我们发现一些企业将数据保护与安全作为自己的一项战略行动，数据保护在它们那里成为一种调动消费者积极性、增强企业声誉以及市场品牌的途径。”
     
    
    为了营造此种文化，企业可以采取六个可行的步骤。
    1、确定数据保护与安全的职责分配。将数据保护和安全责任分散到多个部门的做法，容易助长失误或者安全事故的发生。如果企业希望成为好的敏感数据管理人，就必须把那些负责具体数据保护与安全问题的技术、政策、流程、规定以及法律人员或者部门集中起来，以确保企业在处理该问题时能够采取全面、协调的措施。有时候，企业可以考虑召集利益相关者，设立一个数据保护与安全委员会，用以监督敏感数据的管理和使用、确保企业安全能力的持续改进。
    2、设计一个更有效、更全面的数据保护与安全管理项目。一个强有力的、全面的数据保护与安全管理项目，可以帮助企业明确数据搜集、存储、管理和使用的方法，有权接触到相关数据的人员范围，以及可使用的数据内容。
    3、评估现行数据保护与安全技术，以确定企业达到了必要的保护水平。由于目前的计算机应急响应技术常常导致无法从以往的安全事故中汲取到足够的经验教训，从而不利于积极的风险管理工作；所以，企业应当对现有的技术设备进行再评估，进而考虑升级或者更换它们。更重要的是，由于技术本身无法阻止信息泄露，因此它还必须与数据管理框架及标准结合起来发生作用。
    
    4、让员工时刻意识到数据保护与安全的重要性。为此，企业需要制订更全面、有效的员工教育和培训项目，让所有雇员对企业现行的数据保护和安全政策、流程具备系统的认识，为员工遵守相关规定提供具体指引。
    5、重新审视数据保护与安全投资。事实上，真正拥有企业级安全投资视野的企业并不多。这一现实不仅会妨碍他们认识安全保护的“真实成本”，而且也不利于对投资结构进行再分配，将必要资金投入到重要领域。企业在数据保护与安全方面应当保持平衡的投资结构，顾及到所有的关键要素：人员、流程以及技术。
    6、慎重选择商业伙伴。企业应当与那些对数据保护和安全具有相同或者更高重视程度的伙伴合作。认真分析合作伙伴管理敏感数据的经验、技术和能力，了解其在不同国家遵守本地安全法律及行业规范的情况。记住：你的客户会根据你所选择的合作伙伴来评判你。
    企业的日常经营将越来越离不开各种数据。然而，随着数据规模的快速增长，用以确保相关信息安全和保密的政策与措施可能已经跟不上形势。在数据保护和安全领域，企业需要一套综合性的举措，以缩小与企业战略、风险管理、合规报告与IT安全之间的差距。
    一家公司的数据保护与安全政策，不仅要满足合规性要求；事实上，还应当成为企业商业价值主张及企业文化的核心组成部分，并且需要具备全球视野。所有员工都要理解这种“审慎文化”，并且意识到自己负有保护信息安全的责任。企业在大力创新商业模式与技术、积聚和维持竞争优势的同时，也同样要加强在相应的数据安全领域的创新努力。
    作者简介：阿拉斯代尔 · 迈克维尔森是埃森哲安全部门全球董事总经理，他还撰写了多篇安全方面的文章和论文，经常参加各种大型行业会议并就安全与风险议题发表演讲。在进入咨询领域前，迈克维尔森博士在英国外交部门服务了16年，先后在中东、莫斯科、华盛顿等地任职。他常驻伦敦。alastair.macwillson@accenture.com
      
    本文由埃森哲授权刊登。