也许今年最大的国际数据保护问题将是欧盟的GDPR(通用数据保护条例)于5月25日生效。正如Datos IO副总裁Peter Smails告诉eWEEK所说:“数据感知数据管理在2018年已成为赌注。GDPR是过去20年来对数据保护的最彻底的改变。根据新的一套法规,美国和欧洲无论数据集有多庞大,公司在管理,存储和共享数据时都需要证明其合规性;从安全角度而言,公司必须在了解其数据后72小时内报告数据泄露。
“明年最大的问题之一将是GDPR 第17条,这将使用户的权利被遗忘,这将增加对数据感知的存储和数据管理解决方案的需求。无论是针对特定应用程序的备份和恢复,以防止受到攻击勒索软件或基于智能查询的数据移动以支持测试/开发,CI / CD或GDPR计划,组织将需要具有数据感知能力的数据管理解决方案,并使他们能够跨任何云边界保护,移动和货币化他们的数据,邮件说。
GDPR现在对全世界的C级高管产生影响,并使他们争先恐后地了解GDPR的含义,对组织的意义以及如何实现合规。尽管美国有些人可能会认为,该法规将对技术和安全团队的影响(如果不是更大的话),将对法律和隐私部门造成的影响最大。
基础架构数据保护提供商Druva的首席信息安全官Drew Nielsen 是该领域的另一位思想领袖。他与eWEEK读者分享了CISO与GDPR时钟争夺的八个重要技术技巧:
确定您在GDPR中的角色
GDPR影响欧盟以外提供商品和服务(甚至免费)的组织,这些组织处理或监视欧盟公民的数据。第1步是回答某些关键问题,以确定您的组织只是欧盟在GDPR下必须遵守某些其他规定的“数据控制者”还是“处理者”。
问题包括:我的公司是否向欧盟居民提供商品或服务(甚至免费)?我的公司是否监视欧盟居民的行为(从欧盟内部还是外部)?我的公司在欧盟是否有员工或任何其他类型的实体机构(甚至最少)?特殊/部门规则是否适用于我的组织?
可见所有数据
可见性是关键,这就是为什么组织必须首先了解所有数据的位置以保护信息并符合GDPR的原因。这意味着在内部或通过第三方拥有适当的工具和解决方案,可以适当地保护,收集和监视在端点,服务器和云应用程序上跨企业分布的数据。这种广泛的可见性为组织提供了对其整体数据攻击面的切实可行的理解,并提供有关如何最佳部署安全机制以使其符合GDPR的实时信息。
使用云更好地治理
GDPR需要一种整体方法来保护个人数据并向欧盟居民提供对这些数据的访问权限。传统治理集中于强制数据集中化,该集中化仅提供对集中存储的数据的可见性。
随着移动设备和云应用程序上数据创建的分散化,组织需要采取不同的方法来管理数据,这是开发有效管理流程的一部分。CISO可以使用云轻松集中数据源策略的管理和实施,以在GDPR合规性的控制下引入分散的数据。
持续监控所有数据
GDPR要求数据处理者和控制者监视欧盟居民信息的内容,位置和使用情况,无论其身在何处。无论数据是在传统端点上还是在云应用程序中,能够主动监视信息是否合规的流程的组织都将具有更好的控制和访问数据的能力。
保护传输中的数据
使用GDPR,无论数据位于何处,安全性都必须随数据一起移动。CISO应使用基于TLS 1.2和AES 256的行业领先标准,使用针对每个客户的唯一密钥以及简化和集成的密钥管理来加密数据。如果组织尚未建立可接受的传输机制,数据加密还可以防止数据离开欧盟。
制定可靠的事件响应和数据泄露计划
GDPR将个人数据泄露定义为“违反安全规定,导致意外
,非法破坏,丢失,更改,未经授权披露或访问所
传输,存储或以其他方式处理的个人数据。”
如果听起来含糊不清,那您是对的。为了覆盖所有基础,数据控制者和数据处理者应审查并更新其事件响应计划和政策,以确保符合GDPR。IT和IS团队应确保适当的技术和组织保护措施到位,以防在未经授权的情况下使数据难以理解。
不要忘记“被遗忘的权利”
处理GDPR的组织面临的主要挑战之一是如何应数据主体的要求擦除信息,以清除所有数据(包括备份)并防止任何后续处理。根据GDPR,同意并不具有永久约束力,必须有撤回同意的可能性。
尽管有一些关于GDPR规定的警告,但是任何合法的删除要求都必须及时处理。确保您是与备份供应商合作,还是在内部进行处理,都有可辩护的删除功能,可以轻松满足擦除请求,其中包括强大的审核线索,可以明确地证明信息已被删除。
超越GDPR的思考
本质上,GDPR不仅与数据有关,还与保护数据有关,而且实际上知道所有组织数据的存放位置,并能够定位,控制和最终处置信息。任何试图实现GDPR合规性的解决方案都必须使用最先进的技术,同时专注于能够查看所有数据,对所有数据进行分类并保护所有数据。
但这并不仅限于GDPR,CISO还应确保他们随时都有全面的安全和隐私计划,以满足GDPR以及以后的需求。