CISO與GDPR時鐘爭奪的八個技術(shù)提示

也許今年最大的國際數(shù)據(jù)保護問題將是的GDPR(通用數(shù)據(jù)保護條例)于5月25日生效。正如Datos IO副總裁Peter Smails告訴eWEEK所說：“數(shù)據(jù)感知數(shù)據(jù)管理在2018年已成為賭注。GDPR是過去20年來對數(shù)據(jù)保護的最徹底的改變。根據(jù)新的一套法規(guī)，和歐洲無論數(shù)據(jù)集有多龐大，公司在管理，存儲和共享數(shù)據(jù)時都需要證明其合規(guī)性;從安全角度而言，公司必須在了解其數(shù)據(jù)后72小時內(nèi)報告數(shù)據(jù)泄露。

“明年最大的問題之一將是GDPR 第17條，這將使用戶的權(quán)利被遺忘，這將增加對數(shù)據(jù)感知的存儲和數(shù)據(jù)管理解決方案的需求。無論是針對特定應用程序的備份和恢復，以防止受到攻擊勒索軟件或基于智能查詢的數(shù)據(jù)移動以支持測試/開發(fā)，CI / CD或GDPR計劃，組織將需要具有數(shù)據(jù)感知能力的數(shù)據(jù)管理解決方案，并使他們能夠跨任何云邊界保護，移動和貨幣化他們的數(shù)據(jù)，郵件說。

GDPR現(xiàn)在對全世界的C級高管產(chǎn)生影響，并使他們爭先恐后地了解GDPR的含義，對組織的意義以及如何實現(xiàn)合規(guī)。盡管有些人可能會認為，該法規(guī)將對技術(shù)和安全團隊的影響(如果不是更大的話)，將對法律和隱私部門造成的影響最大。

基礎(chǔ)架構(gòu)數(shù)據(jù)保護提供商Druva的首席信息安全官Drew Nielsen 是該領(lǐng)域的另一位思想領(lǐng)袖。他與eWEEK讀者分享了CISO與GDPR時鐘爭奪的八個重要技術(shù)技巧：

確定您在GDPR中的角色

GDPR影響以外提供商品和服務(甚至免費)的組織，這些組織處理或監(jiān)視公民的數(shù)據(jù)。第1步是回答某些關(guān)鍵問題，以確定您的組織只是在GDPR下必須遵守某些其他規(guī)定的“數(shù)據(jù)控制者”還是“處理者”。

問題包括：我的公司是否向居民提供商品或服務(甚至免費)?我的公司是否監(jiān)視居民的行為(從內(nèi)部還是外部)?我的公司在是否有員工或任何其他類型的實體機構(gòu)(甚至最少)?特殊/部門規(guī)則是否適用于我的組織?

可見所有數(shù)據(jù)

可見性是關(guān)鍵，這就是為什么組織必須首先了解所有數(shù)據(jù)的位置以保護信息并符合GDPR的原因。這意味著在內(nèi)部或通過第三方擁有適當?shù)墓ぞ吆徒鉀Q方案，可以適當?shù)乇Ｗo，收集和監(jiān)視在端點，服務器和云應用程序上跨企業(yè)分布的數(shù)據(jù)。這種廣泛的可見性為組織提供了對其整體數(shù)據(jù)攻擊面的切實可行的理解，并提供有關(guān)如何最佳部署安全機制以使其符合GDPR的實時信息。

使用云更好地治理

GDPR需要一種整體方法來保護個人數(shù)據(jù)并向居民提供對這些數(shù)據(jù)的訪問權(quán)限。傳統(tǒng)治理集中于強制數(shù)據(jù)集中化，該集中化僅提供對集中存儲的數(shù)據(jù)的可見性。

隨著移動設(shè)備和云應用程序上數(shù)據(jù)創(chuàng)建的分散化，組織需要采取不同的方法來管理數(shù)據(jù)，這是開發(fā)有效管理流程的一部分。CISO可以使用云輕松集中數(shù)據(jù)源策略的管理和實施，以在GDPR合規(guī)性的控制下引入分散的數(shù)據(jù)。

持續(xù)監(jiān)控所有數(shù)據(jù)

GDPR要求數(shù)據(jù)處理者和控制者監(jiān)視居民信息的內(nèi)容，位置和使用情況，無論其身在何處。無論數(shù)據(jù)是在傳統(tǒng)端點上還是在云應用程序中，能夠主動監(jiān)視信息是否合規(guī)的流程的組織都將具有更好的控制和訪問數(shù)據(jù)的能力。

保護傳輸中的數(shù)據(jù)

使用GDPR，無論數(shù)據(jù)位于何處，安全性都必須隨數(shù)據(jù)一起移動。CISO應使用基于TLS 1.2和AES 256的行業(yè)領(lǐng)先標準，使用針對每個客戶的唯一密鑰以及簡化和集成的密鑰管理來加密數(shù)據(jù)。如果組織尚未建立可接受的傳輸機制，數(shù)據(jù)加密還可以防止數(shù)據(jù)離開。

制定可靠的事件響應和數(shù)據(jù)泄露計劃

GDPR將個人數(shù)據(jù)泄露定義為“違反安全規(guī)定，導致意外

，非法破壞，丟失，更改，未經(jīng)授權(quán)披露或訪問所

傳輸，存儲或以其他方式處理的個人數(shù)據(jù)。”

如果聽起來含糊不清，那您是對的。為了覆蓋所有基礎(chǔ)，數(shù)據(jù)控制者和數(shù)據(jù)處理者應審查并更新其事件響應計劃和政策，以確保符合GDPR。IT和IS團隊應確保適當?shù)募夹g(shù)和組織保護措施到位，以防在未經(jīng)授權(quán)的情況下使數(shù)據(jù)難以理解。

不要忘記“被遺忘的權(quán)利”

處理GDPR的組織面臨的主要挑戰(zhàn)之一是如何應數(shù)據(jù)主體的要求擦除信息，以清除所有數(shù)據(jù)(包括備份)并防止任何后續(xù)處理。根據(jù)GDPR，同意并不具有永久約束力，必須有撤回同意的可能性。

盡管有一些關(guān)于GDPR規(guī)定的警告，但是任何合法的刪除要求都必須及時處理。確保您是與備份供應商合作，還是在內(nèi)部進行處理，都有可辯護的刪除功能，可以輕松滿足擦除請求，其中包括強大的審核線索，可以明確地證明信息已被刪除。

超越GDPR的思考

本質(zhì)上，GDPR不僅與數(shù)據(jù)有關(guān)，還與保護數(shù)據(jù)有關(guān)，而且實際上知道所有組織數(shù)據(jù)的存放位置，并能夠定位，控制和最終處置信息。任何試圖實現(xiàn)GDPR合規(guī)性的解決方案都必須使用最先進的技術(shù)，同時專注于能夠查看所有數(shù)據(jù)，對所有數(shù)據(jù)進行分類并保護所有數(shù)據(jù)。

但這并不僅限于GDPR，CISO還應確保他們隨時都有全面的安全和隱私計劃，以滿足GDPR以及以后的需求。