全球1/4的数据发生在中国，全球1/5的安全投资够吗？( 二 ) _经验知识

很多IT项目，无论是企业端还是政府侧，其实并没有相对应的安全解决方案，去保护企业的数字核心资产，这是CIO们需要考虑的事情，也面临着一些挑战。对于如何减少数据泄露事件发生的频次，我个人建议，一是企业内部安全意识的提升，二是真正要把安全当做企业的核心战略，而不是做完系统后，再去思考如何弥补安全漏洞。很多厂商将来可能会提到原生安全或者内生安全的概念，就是真正把安全当做企业数字化转型的核心组件，这样才能降低数据安全的风险。
问：提升数据安全意识，把数据安全当做核心，我们需要去做哪些工作？
钟振山：刚才也提到一些，企业在做项目设计和规划时，首先就要把安全当做项目核心的一部分，而不是等项目上马之后，再去想安全怎么办。其次，国内很多企业或政府机构，安全是放在IT内部的。也就是说，可能安全经理或CSO需要向CIO汇报。我个人认为，这本身就是矛盾的。因为CIO的职责是项目越快上马越好，而安全可能是越慢越好，因为需要把很多安全机制补全。所以CSO向CIO汇报并不是非常完美的状态，CSO应该独立于CIO，才能真正在企业内部发挥建设整体安全能力的作用。
问：这是不是意味着，企业内部流程可能需要重置，把保护数据安全的功能分离出来？
霍锦洁：是这样的。大家以前谈到安全的时候，认为这是一项技术活，甚至包括很多安全从业者，也是从技术角度去看安全。但在企业内部，安全是一个业务层面的事情，不能只去看这套IT系统有多安全，还要看员工的行为会不会对企业核心资产带来一定风险。因此，CSO是一个技术和业务相结合的角色，他在考虑安全机制的同时，也需要去考虑业务如何去转变，才能提升公司内部整体安全的能力。
问：您刚才讲到，随着数字经济的发展，企业对数据安全越来越重视。那么在您看来，未来三到五年在数据安全领域，有哪些技术或趋势比较值得关注？
钟振山：我们发布的TechScape报告中列出了10多个新技术点，如果真要选一个，我觉得隐私计算是未来值得关注的领域。较近几年，我国也出台了很多和数据安全相关的法律，除了《网络安全法》《数据安全法》之外，还有《个人信息保***》，都是和数据保护以及如何使用数据相关的。大家可能都有过这样的经历，如果给一个中介打电话说想租房子，可能第二天会收到十几个不同中介打来的电话。
作为数据安全从业者，我当时就会想数据是怎么被传出去的。从监管的角度来讲，法律法规约束了我们应该如何使用法律。但如何约束员工，或者说企业内部如何确保合规性，这其实是企业的责任。隐私计算这项技术，可以从很大程度上帮助企业规避一些个人信息泄露方面的风险。虽然隐私计算市场目前还处于非常初级的阶段，市场规模也不大，但未来五年的增速可能是TechScape十几个技术点当中较快的一个。
问：您刚才讲到的隐私计算是近年来比较热的数据安全技术，无论是大厂还是创业公司均在布局这项技术，像隐私算法的落地也推动了隐私计算的发展。您刚才讲到这项技术还处在初级阶段，那隐私计算在商业模式方面有没有什么瓶颈？
钟振山：我觉得不一定是商业瓶颈。无论大厂还是小厂，目前产品的完整度或成熟度已足够支撑现有市场的一些需求。但隐私计算是一个比较难理解的概念，企业较终去看这项技术的时候，可能会考虑这项技术到底用在哪里，或者这项技术是不是真正能产生足够大的价值。这可能是CIO的视角，如果一项技术的价值无法量化，CIO或CSO们就会面临很大压力，CEO会询问为何要付出这么大的成本去引进这项技术。但无论是从IDC的角度还是厂商的角度，包括隐私计算在内的任何一项技术，给企业带来的价值都能量化出来。