Gartner发布应用和数据本地化战略对网络安全的三大影响

Gartner发布应用和数据本地化战略对跨国企企业网络安全方面的三大影响。根据Gartner预测，到2027年，至少25%的跨国企业将拥有一个或多个受数据主权战略约束的业务单位，从而使其交付价值的成本增加一倍以上。

当前，复杂的地缘政治风险，以及不同国家和地区围绕数据隐私出台的法规，如欧盟的《通用数据保护条例》(GDPR)、中国的《中华人民共和国个人信息保护法》(GDPR)和巴西的《通用数据保护法》，给跨国企业带来了挑战。这不仅导致跨国企业很难在全球采用一致的IT和安全架构，并且使企业既有的组织结构和运营模式面临考验。

Gartner研究总监陈延全表示：“当前，跨国企业正在实施多种不同的应用和数据本地化战略，以减少合规风险，并在受到高度监管的市场建立竞争优势。然而，本地化程度的加深使企业的全球IT架构和安全运营也日趋复杂。为应对这些潜在的问题，跨国企业必须积极采用稳健并且能够适应监管环境变化的数据管理、安全和合规解决方案。”

安全和风险管理（SRM）领导者必须与法律和合规领域的专家合作，根据以下三大影响对网络安全计划进行调整，以更好地支持目标市场的业务运营。

图1：隐私驱动的应用和数据本地化

地理分布式应用和数据托管增加了中心化数据访问和威胁管理的复杂度

持续增加的数据本地化要求和合规风险，推动应用和数据的托管方式快速演变。跨国企业正在转变其应用和数据架构，以组装式架构取代传统的中心化和单例设计模式。在要求数据本地化存储的地区拥有较大规模业务的跨国企业，正在对其企业资源规划（ERP）、客户关系管理（CRM）以及数据和分析平台等中心化应用进行解耦。此举扩大了企业的攻击面。数据在不同地区的分散化，增加了攻击者借助物理或远程手段访问数据的风险。

2022年Gartner首席信息官（CIO）和技术高管调研显示，7%的受访者已就打造组装式企业展开了投资，另有61%的受访者预计将在2024年底之前采取这一行动。陈延全表示：“在实施分布式数据存储和组装式应用架构时，SRM领导者应仔细考虑相关的网络安全风险，并积极制定风险补救计划。”

多样化的合规要求将推动跨国企业协调安全标准

实施数据和应用本地化，通常涉及复制应用和数据存储库，或者从相应国家/地区采购应用。针对特定地区的需求对应用进行调整和优化，为企业提供了一个机会，可以将安全要求嵌入应用的开发过程，而不是等开发完成后再行添加。对于存在解耦需求的应用，鉴于不同司法管辖区采用的安全标准可能并不相同，企业必须在应用开发和部署过程中，对不同的安全标准和要求进行协调。

陈延全表示：“SRM领导者应采取系统化方法，协调并整合各类安全标准涉及的安全要求。通过创建统一、具备适应性的安全框架，SRM领导者可以改善部署在受高度监管市场中的应用和数据存储库的安全态势。”

图2：系统化协调和整合安全标准的方法

实施应用和数据本地化，必须有效应对数据隔离和数据传输管理挑战

应用和数据本地化涉及在不同国家/地区分别建立整体应用和数据存储的独立实例。这会导致数据的碎片化，进而引发与数据隔离和互操作性相关的挑战。

陈延全表示：“数据隔离可能会降低信息的保真度、影响业务连续性并阻碍创新。为支持信息在不同地区间的顺畅流动，SRM领导者需要采取综合性方法，全面考虑遵守数据驻留法规涉及的技术和非技术因素。”

同时，云服务和API（用于应用间数据访问）的使用，增加了跨国企业数据传输管理出现缺口的风险。跨国企业可以通过实施API网关等安全控制措施来降低此类风险。