马来西亚组织在实践中表现更好 整体数据保护 和合规性政策,但据一些行业人士称,在提高游戏水平方面仍需要克服挑战。
这包括需要对数据保护框架进行更具战略性的实施,在组织的各个级别上都应采用数据保护和安全文化,并利用更好的数据保护IT技能。
普华永道马来西亚网络安全和隐私总监Tanvinder Singh在接受《计算机周刊》评估马来西亚数据保护和法规遵从性的成熟度时说,不可能使用该工具来描绘该国数据保护状况的概况。 1到10的规模,一个最贫穷,10个最好。
他说:“有些组织可以使用因人为错误而遭受数据泄露的最佳工具。” “数据保护是一段旅程,而不是目的地,因此是目标合规性等级 [of one to 10] 将会继续波动。”
辛格说,比绝对分数更重要的是组织如何评估违规的影响,发生违规的可能性以及他们为改善自身状况所做的工作 总体安全态势。
他补充说,这包括让组织识别资产,检测异常,保护关键服务以及响应并从数据泄露中恢复。
埃森哲马来西亚公司安全咨询高级经理Arivindran Saidoo同意这种观点,他说该国在保护数据和确保各种规模和行业的组织之间的合规性方面具有广泛的能力水平。
Saidoo指出,有些组织拥有正确的工具和流程,但并未充分利用它们,而有些组织仍然缺乏文化意识。
“但是, 最近发生的重大数据泄露事件 在该地区,埃森哲观察到组织采取积极措施解决数据安全问题的积极趋势。”他说。
Veeam Software亚太和日本地区系统工程主管Raymond Goh表示,有两个方面影响了马来西亚当前的数据保护状态。
首先是组织是否将数据保护视为事后的想法,其次是改善数据保护所需的运营变化。
Goh表示,许多组织仅在遭受数据丢失后才考虑数据保护,但是一旦发生这种情况,采取行动就为时已晚。这就带来了影响数据保护的运营挑战。
他说:“当组织进入数据保护计划时,他们常常急于实施策略,而没有彻底分析其整体需求。”
“组织需要与任何IT计划一起考虑数据保护,以便其数据保护策略涵盖当前和未来,所有这些都将改善数据保护和合规性。”
人民挑战
格言是,许多马来西亚组织面临的挑战是,数据保护和法规遵从性与其最薄弱的环节一样强大,这无可避免地导致了普华永道辛格所说的“人员组成部分”。
辛格说,组织需要保持高度警惕,以保持对员工和其他利益相关者的高度了解和参与,以确保采用并始终遵循最佳实践和政策。
他说:“这适用于所有员工,不仅是我们倾向于认为对数据安全负责的员工,例如IT或法律职能部门。”
Veeam的Goh同意许多马来西亚组织在人员组成方面的努力,并建议他们开始灌输一种思维方式,即任何人随时随地都可能发生数据泄露,以应对这一挑战。
然后,组织需要放置工具和系统以提供给他们 完全可见的数据 他说,以便他们可以建立清晰的数据配置文件,这可以帮助他们制定保护策略并发现可能存在的差距。
Goh说:“最后,审查当前的数据保护策略,实施填补空白的必要变更,并在进行任何变更时规划出理想的业务成果。”
埃森哲的赛义德(Saidoo)补充说:“组织需要在员工队伍中扎根 安全意识文化 将建立在持续教育计划和对所有员工进行强制性安全培训的基础上。”
立法有帮助吗?
马来西亚已经以《个人数据保护法》(PDPA)的形式制定了有关数据保护的法规,该法于2010年在宪报上公布,但仅在2013年生效。
PDPA影响组织内部数据生命周期的管理方式。这包括所有个人数据(包括员工,客户和第三方供应商)的数据存储,处理,收集,销毁和保留。
当被问及诸如PDPA之类的立法是否有助于减少对数据保护和法规遵从性的态度不足时,赛义德说,许多组织将法规遵从性放在优先于优化其能力上。
Saidoo认为,尽管遵守数据隐私法是在组织内保护数据安全的基础,但必须采取结构化,自上而下的方法来真正满足数据保护需求。
他说:“每个组织都应有符合法律要求的定义明确的数据安全策略,以作为所有数据安全要求和控制的基础。”
“然后,组织的安全政策应推动数据所有者和数据用户的责任和责任。”
但是,尽管PDPA等立法具有其价值,但Veeam的Goh指出,组织的高层管理人员最终将在确保完全保护员工数据中发挥重要作用。
他说:“组织不仅要遵守规则和规定,还应将其视为准则。” “有了这种思维方式,他们将能够考虑更大的前景,并采取立法之外的步骤来保护数据。”
云中的数据
马来西亚组织面临的有关数据保护和合规性的一个问题是,由于以下原因,采用云计算的压力很大。 正在进行的数字化转型 努力。
根据戴尔技术公司的 全球数据保护指数 到2020年(GDPI),亚太地区和日本有64%的组织在云原生应用程序上进行投资,而58%的组织则热衷于软件即服务应用程序。
戴尔技术南亚地区数据保护解决方案总监Saravanan Krishnan表示,在公共云中(尤其是在本国以外)移动和保护敏感数据时,组织可能会遇到限制。
克里希南说,首席数据官(CDO)需要将敏感和关键任务数据与他们的最不敏感或非关键任务数据进行分类和分离。
他补充说:“这需要发生,以便充分解决用于数据保护和数据主权的具有成本效益,规避风险的云运营模型,”
克里希南还指出,在当今的多平台,多云环境中管理数据对于许多组织,甚至是大型组织而言,都是一个挑战。
他说:“因此,组织不能仅仅承担起“开灯”的职责,而是需要了解管理数据保护流程和确保数据完整性需要整个组织的统一。”
Veeam的Goh认为,组织将必须对数据的收集,存储和管理方式进行重大更改。
“这涉及更新他们的IT设计和基础架构,设置本地服务器并任命 数据保护人员,“ 他说。 “他们还需要采取紧急措施,以确保他们充分理解并清楚了解所有网络活动。”
普华永道的辛格(Singh)说,处理云中的数据时要牢记的最重要的一点是,隐私和安全方面的考虑应成为任何组织机构的关键部分。 云采用策略 在任何数据迁移工作开始之前。
“组织需要考虑花费资源来围绕“安全采用”建立战略,并拥有相关的工具包,例如 云采用框架,策略,标准或控制蓝图,以根据具体情况进行安全的云迁移。”他说。
埃森哲的赛义德说,尽管如此,并非所有组织都不必担心数据存储在马来西亚以外的地方。
Saidoo指出,大多数主要的云供应商都为组织提供了选择其首选区域的选项,这些选项指定了将其数据存储在何处,并通过一个法律来约束它们。 服务水平协议 (SLA)进行相应投放。
他补充说,马来西亚的PDPA为组织迁移到云中提出了重要的考虑因素,尤其是与国家间限制有关的方面。
他说:“无论如何,我们建议采用分阶段的方法。” “组织应该进行彻底的评估,然后才能将应用程序和数据分阶段从旧有基础架构迁移到云中。
“与此同时,组织可以继续在内部,私有和公共云基础架构的混合环境中运行其服务。”
技能足够吗?
鉴于马来西亚在上述所有方面的发展,业界观察家对马来西亚是否具有合适的IT技能来胜任处理数据保护和合规性的意见不一。
戴尔的Krishnan引用了马来西亚的总部 领英研究,这表明组织希望填补的头等大事是数据科学家,数据工程师和网络安全分析师。
他说,这表明社会发生了转变,并反映出马来西亚的企业正在意识到数据驱动型经济的现实,这对马来西亚来说是个好兆头。
普华永道的辛格认为,马来西亚的数据保护技能将在一段时间内得到发展,并且该国处于上升趋势。
他说:“但是,这种扩散是不平等的,并且数据隐私领域的人才普遍匮乏,可以与组织合作设计和改进减轻相关风险所需的控制措施。”
辛格还提倡大型和小型组织之间更多的合作,以分享不同的方法和他们的经验。
同时,Veeam的Goh将马来西亚组织描述为仅具有最低限度的技能,例如那些能够管理数据备份和恢复的组织,他说这当然不是最佳选择。
他说:“备份管理员应从对备份和还原作业的常规监视过渡到更具战略意义的计划,如云,移动和边缘计算以及多云部署。” “除了接受课堂培训之外,组织还应该研究基于项目的在职培训,以增强技能。”
阅读更多
