Cambridge Analytica公司收集數(shù)百萬(wàn)用戶(hù)資料以利用個(gè)人恐懼并影響2016的美國(guó)總統(tǒng)大選的事件近期持續(xù)升溫，而Facebook公司也因此遭到各方的口誅筆伐。

Cambridge Analytica公司掌握的數(shù)據(jù)還得到另一家廠(chǎng)商Global Science Research（簡(jiǎn)稱(chēng)GSR）的補(bǔ)充——后者對(duì)成千上萬(wàn)名用戶(hù)進(jìn)行了個(gè)性測(cè)試，并要求對(duì)方同意將數(shù)據(jù)用于學(xué)術(shù)用途。

而與此同時(shí)，GSR方面會(huì)收集受測(cè)者的Facebook好友信息，并借此建立起一套極為龐大的用戶(hù)檔案數(shù)據(jù)庫(kù)。Facebook公司的政策只允許收集好友數(shù)據(jù)用以改善用戶(hù)體驗(yàn)，且禁止對(duì)這些數(shù)據(jù)進(jìn)行出售或用于廣告宣傳。

然而遺憾的是，F(xiàn)acebook公司從未證明過(guò)這些數(shù)據(jù)政策是否得到嚴(yán)格遵守，而從現(xiàn)在的情況來(lái)看答案顯然是否定的。

此類(lèi)工作正是大數(shù)據(jù)管理與治理任務(wù)的核心。此次事件向從事大數(shù)據(jù)的企業(yè)發(fā)出警告，即大數(shù)據(jù)的安全性與傳統(tǒng)數(shù)據(jù)系統(tǒng)同樣重要。

遺憾的是，大多數(shù)企業(yè)對(duì)于每天對(duì)其大數(shù)據(jù)造成威脅的各類(lèi)安全漏洞及數(shù)據(jù)違規(guī)問(wèn)題還沒(méi)有做好充分的應(yīng)對(duì)準(zhǔn)備。

那么，首席數(shù)據(jù)官與大數(shù)據(jù)項(xiàng)目經(jīng)理們應(yīng)該如何解決這些日益升級(jí)的大數(shù)據(jù)安全挑戰(zhàn)？

1.確定業(yè)務(wù)風(fēng)險(xiǎn)

作為典型代表，F(xiàn)acebook公司遭遇的問(wèn)題無(wú)疑將嚴(yán)重?fù)p害其品牌形象與收入水平——而這一切都源自過(guò)于松散的大數(shù)據(jù)治理與安全實(shí)踐。盡管實(shí)施保護(hù)手段并防止數(shù)據(jù)泄露問(wèn)題是IT部門(mén)的職責(zé)，但如果CIO、CSO以及CDO無(wú)法以簡(jiǎn)單方式向CEO以及公司董事會(huì)解釋安全隱患以及客戶(hù)信息外泄可能給企業(yè)造成的嚴(yán)重后果，那么這類(lèi)問(wèn)題將很難得到實(shí)際解決。因此，在具體表述時(shí)，請(qǐng)采用“客戶(hù)數(shù)據(jù)泄露會(huì)導(dǎo)致我們的客戶(hù)對(duì)公司失去信任，并轉(zhuǎn)向其它競(jìng)爭(zhēng)對(duì)手”這類(lèi)說(shuō)法，而非“客戶(hù)數(shù)據(jù)泄露會(huì)危害我們的系統(tǒng)，IT部門(mén)需要兩天時(shí)間才能修復(fù)完成。”

2. 獲取正確的助力

企業(yè)之所以在大數(shù)據(jù)安全方面表現(xiàn)得較為滯后，一大原因在于相當(dāng)一部分企業(yè)目前仍缺乏內(nèi)部安全專(zhuān)業(yè)知識(shí)，而人才市場(chǎng)也很難及時(shí)提供這類(lèi)知識(shí)。當(dāng)然，請(qǐng)不要被這樣的現(xiàn)實(shí)所嚇倒。相反，請(qǐng)積極引入外部咨詢(xún)資源，這將幫助大家有效應(yīng)對(duì)持續(xù)存在的系統(tǒng)入侵與信息竊取行為。黑客不會(huì)等待，我們也不能等待。

3.關(guān)注社交工程

如果數(shù)據(jù)負(fù)責(zé)人能夠及時(shí)跟進(jìn)，并確保相關(guān)人員能夠按照約定返還相關(guān)數(shù)據(jù)——而非將其分享給他人，那么Facebook公司遇到的大部分問(wèn)題本應(yīng)得以避免。也許是員工無(wú)意中采取了與數(shù)據(jù)安全實(shí)踐相違背的操作，進(jìn)而造成數(shù)據(jù)泄露。對(duì)于這類(lèi)由企業(yè)內(nèi)部員工所造成的數(shù)據(jù)泄露或安全違規(guī)問(wèn)題，社交工程往往是引發(fā)破壞的罪魁禍?zhǔn)住Ｕ驗(yàn)槿绱耍磺衅髽I(yè)都應(yīng)當(dāng)高度關(guān)注對(duì)員工進(jìn)行數(shù)據(jù)安全實(shí)踐培訓(xùn)。此外，企業(yè)還應(yīng)定期根據(jù)數(shù)據(jù)安全水平實(shí)施補(bǔ)充性培訓(xùn)。

4. 強(qiáng)調(diào)預(yù)防，而非檢測(cè)

檢測(cè)工作能夠幫助我們?cè)谙到y(tǒng)遭受入侵時(shí)快速發(fā)現(xiàn)威脅。但可以肯定的是，完全防止入侵無(wú)疑更為重要。大家可以立足網(wǎng)絡(luò)邊緣篩選入侵文檔、電子郵件及其它形式的大數(shù)據(jù)，從而實(shí)現(xiàn)這項(xiàng)目標(biāo)。通過(guò)這種嚴(yán)格的把控方式，中央網(wǎng)絡(luò)與系統(tǒng)將擁有更為可靠的安全保障。