2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
也許今年最大的國(guó)際數(shù)據(jù)保護(hù)問(wèn)題將是的GDPR(通用數(shù)據(jù)保護(hù)條例)于5月25日生效。正如Datos IO副總裁Peter Smails告訴eWEEK所說(shuō):“數(shù)據(jù)感知數(shù)據(jù)管理在2018年已成為賭注。GDPR是過(guò)去20年來(lái)對(duì)數(shù)據(jù)保護(hù)的最徹底的改變。根據(jù)新的一套法規(guī),和歐洲無(wú)論數(shù)據(jù)集有多龐大,公司在管理,存儲(chǔ)和共享數(shù)據(jù)時(shí)都需要證明其合規(guī)性;從安全角度而言,公司必須在了解其數(shù)據(jù)后72小時(shí)內(nèi)報(bào)告數(shù)據(jù)泄露。
“明年最大的問(wèn)題之一將是GDPR 第17條,這將使用戶的權(quán)利被遺忘,這將增加對(duì)數(shù)據(jù)感知的存儲(chǔ)和數(shù)據(jù)管理解決方案的需求。無(wú)論是針對(duì)特定應(yīng)用程序的備份和恢復(fù),以防止受到攻擊勒索軟件或基于智能查詢的數(shù)據(jù)移動(dòng)以支持測(cè)試/開(kāi)發(fā),CI / CD或GDPR計(jì)劃,組織將需要具有數(shù)據(jù)感知能力的數(shù)據(jù)管理解決方案,并使他們能夠跨任何云邊界保護(hù),移動(dòng)和貨幣化他們的數(shù)據(jù),郵件說(shuō)。
GDPR現(xiàn)在對(duì)全世界的C級(jí)高管產(chǎn)生影響,并使他們爭(zhēng)先恐后地了解GDPR的含義,對(duì)組織的意義以及如何實(shí)現(xiàn)合規(guī)。盡管有些人可能會(huì)認(rèn)為,該法規(guī)將對(duì)技術(shù)和安全團(tuán)隊(duì)的影響(如果不是更大的話),將對(duì)法律和隱私部門(mén)造成的影響最大。
基礎(chǔ)架構(gòu)數(shù)據(jù)保護(hù)提供商Druva的首席信息安全官Drew Nielsen 是該領(lǐng)域的另一位思想領(lǐng)袖。他與eWEEK讀者分享了CISO與GDPR時(shí)鐘爭(zhēng)奪的八個(gè)重要技術(shù)技巧:
確定您在GDPR中的角色
GDPR影響以外提供商品和服務(wù)(甚至免費(fèi))的組織,這些組織處理或監(jiān)視公民的數(shù)據(jù)。第1步是回答某些關(guān)鍵問(wèn)題,以確定您的組織只是在GDPR下必須遵守某些其他規(guī)定的“數(shù)據(jù)控制者”還是“處理者”。
問(wèn)題包括:我的公司是否向居民提供商品或服務(wù)(甚至免費(fèi))?我的公司是否監(jiān)視居民的行為(從內(nèi)部還是外部)?我的公司在是否有員工或任何其他類(lèi)型的實(shí)體機(jī)構(gòu)(甚至最少)?特殊/部門(mén)規(guī)則是否適用于我的組織?
可見(jiàn)所有數(shù)據(jù)
可見(jiàn)性是關(guān)鍵,這就是為什么組織必須首先了解所有數(shù)據(jù)的位置以保護(hù)信息并符合GDPR的原因。這意味著在內(nèi)部或通過(guò)第三方擁有適當(dāng)?shù)墓ぞ吆徒鉀Q方案,可以適當(dāng)?shù)乇Wo(hù),收集和監(jiān)視在端點(diǎn),服務(wù)器和云應(yīng)用程序上跨企業(yè)分布的數(shù)據(jù)。這種廣泛的可見(jiàn)性為組織提供了對(duì)其整體數(shù)據(jù)攻擊面的切實(shí)可行的理解,并提供有關(guān)如何最佳部署安全機(jī)制以使其符合GDPR的實(shí)時(shí)信息。
使用云更好地治理
GDPR需要一種整體方法來(lái)保護(hù)個(gè)人數(shù)據(jù)并向居民提供對(duì)這些數(shù)據(jù)的訪問(wèn)權(quán)限。傳統(tǒng)治理集中于強(qiáng)制數(shù)據(jù)集中化,該集中化僅提供對(duì)集中存儲(chǔ)的數(shù)據(jù)的可見(jiàn)性。
隨著移動(dòng)設(shè)備和云應(yīng)用程序上數(shù)據(jù)創(chuàng)建的分散化,組織需要采取不同的方法來(lái)管理數(shù)據(jù),這是開(kāi)發(fā)有效管理流程的一部分。CISO可以使用云輕松集中數(shù)據(jù)源策略的管理和實(shí)施,以在GDPR合規(guī)性的控制下引入分散的數(shù)據(jù)。
持續(xù)監(jiān)控所有數(shù)據(jù)
GDPR要求數(shù)據(jù)處理者和控制者監(jiān)視居民信息的內(nèi)容,位置和使用情況,無(wú)論其身在何處。無(wú)論數(shù)據(jù)是在傳統(tǒng)端點(diǎn)上還是在云應(yīng)用程序中,能夠主動(dòng)監(jiān)視信息是否合規(guī)的流程的組織都將具有更好的控制和訪問(wèn)數(shù)據(jù)的能力。
保護(hù)傳輸中的數(shù)據(jù)
使用GDPR,無(wú)論數(shù)據(jù)位于何處,安全性都必須隨數(shù)據(jù)一起移動(dòng)。CISO應(yīng)使用基于TLS 1.2和AES 256的行業(yè)領(lǐng)先標(biāo)準(zhǔn),使用針對(duì)每個(gè)客戶的唯一密鑰以及簡(jiǎn)化和集成的密鑰管理來(lái)加密數(shù)據(jù)。如果組織尚未建立可接受的傳輸機(jī)制,數(shù)據(jù)加密還可以防止數(shù)據(jù)離開(kāi)。
制定可靠的事件響應(yīng)和數(shù)據(jù)泄露計(jì)劃
GDPR將個(gè)人數(shù)據(jù)泄露定義為“違反安全規(guī)定,導(dǎo)致意外
,非法破壞,丟失,更改,未經(jīng)授權(quán)披露或訪問(wèn)所
傳輸,存儲(chǔ)或以其他方式處理的個(gè)人數(shù)據(jù)。”
如果聽(tīng)起來(lái)含糊不清,那您是對(duì)的。為了覆蓋所有基礎(chǔ),數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)審查并更新其事件響應(yīng)計(jì)劃和政策,以確保符合GDPR。IT和IS團(tuán)隊(duì)?wèi)?yīng)確保適當(dāng)?shù)募夹g(shù)和組織保護(hù)措施到位,以防在未經(jīng)授權(quán)的情況下使數(shù)據(jù)難以理解。
不要忘記“被遺忘的權(quán)利”
處理GDPR的組織面臨的主要挑戰(zhàn)之一是如何應(yīng)數(shù)據(jù)主體的要求擦除信息,以清除所有數(shù)據(jù)(包括備份)并防止任何后續(xù)處理。根據(jù)GDPR,同意并不具有永久約束力,必須有撤回同意的可能性。
盡管有一些關(guān)于GDPR規(guī)定的警告,但是任何合法的刪除要求都必須及時(shí)處理。確保您是與備份供應(yīng)商合作,還是在內(nèi)部進(jìn)行處理,都有可辯護(hù)的刪除功能,可以輕松滿足擦除請(qǐng)求,其中包括強(qiáng)大的審核線索,可以明確地證明信息已被刪除。
超越GDPR的思考
本質(zhì)上,GDPR不僅與數(shù)據(jù)有關(guān),還與保護(hù)數(shù)據(jù)有關(guān),而且實(shí)際上知道所有組織數(shù)據(jù)的存放位置,并能夠定位,控制和最終處置信息。任何試圖實(shí)現(xiàn)GDPR合規(guī)性的解決方案都必須使用最先進(jìn)的技術(shù),同時(shí)專注于能夠查看所有數(shù)據(jù),對(duì)所有數(shù)據(jù)進(jìn)行分類(lèi)并保護(hù)所有數(shù)據(jù)。
但這并不僅限于GDPR,CISO還應(yīng)確保他們隨時(shí)都有全面的安全和隱私計(jì)劃,以滿足GDPR以及以后的需求。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。