CISO與GDPR時鐘爭奪的八個技術提示

也許今年最大的國際數據保護問題將是的GDPR(通用數據保護條例)于5月25日生效。正如Datos IO副總裁Peter Smails告訴eWEEK所說：“數據感知數據管理在2018年已成為賭注。GDPR是過去20年來對數據保護的最徹底的改變。根據新的一套法規(guī)，和歐洲無論數據集有多龐大，公司在管理，存儲和共享數據時都需要證明其合規(guī)性;從安全角度而言，公司必須在了解其數據后72小時內報告數據泄露。

“明年最大的問題之一將是GDPR 第17條，這將使用戶的權利被遺忘，這將增加對數據感知的存儲和數據管理解決方案的需求。無論是針對特定應用程序的備份和恢復，以防止受到攻擊勒索軟件或基于智能查詢的數據移動以支持測試/開發(fā)，CI / CD或GDPR計劃，組織將需要具有數據感知能力的數據管理解決方案，并使他們能夠跨任何云邊界保護，移動和貨幣化他們的數據，郵件說。

GDPR現在對全世界的C級高管產生影響，并使他們爭先恐后地了解GDPR的含義，對組織的意義以及如何實現合規(guī)。盡管有些人可能會認為，該法規(guī)將對技術和安全團隊的影響(如果不是更大的話)，將對法律和隱私部門造成的影響最大。

基礎架構數據保護提供商Druva的首席信息安全官Drew Nielsen 是該領域的另一位思想領袖。他與eWEEK讀者分享了CISO與GDPR時鐘爭奪的八個重要技術技巧：

確定您在GDPR中的角色

GDPR影響以外提供商品和服務(甚至免費)的組織，這些組織處理或監(jiān)視公民的數據。第1步是回答某些關鍵問題，以確定您的組織只是在GDPR下必須遵守某些其他規(guī)定的“數據控制者”還是“處理者”。

問題包括：我的公司是否向居民提供商品或服務(甚至免費)?我的公司是否監(jiān)視居民的行為(從內部還是外部)?我的公司在是否有員工或任何其他類型的實體機構(甚至最少)?特殊/部門規(guī)則是否適用于我的組織?

可見所有數據

可見性是關鍵，這就是為什么組織必須首先了解所有數據的位置以保護信息并符合GDPR的原因。這意味著在內部或通過第三方擁有適當的工具和解決方案，可以適當地保護，收集和監(jiān)視在端點，服務器和云應用程序上跨企業(yè)分布的數據。這種廣泛的可見性為組織提供了對其整體數據攻擊面的切實可行的理解，并提供有關如何最佳部署安全機制以使其符合GDPR的實時信息。

使用云更好地治理

GDPR需要一種整體方法來保護個人數據并向居民提供對這些數據的訪問權限。傳統(tǒng)治理集中于強制數據集中化，該集中化僅提供對集中存儲的數據的可見性。

隨著移動設備和云應用程序上數據創(chuàng)建的分散化，組織需要采取不同的方法來管理數據，這是開發(fā)有效管理流程的一部分。CISO可以使用云輕松集中數據源策略的管理和實施，以在GDPR合規(guī)性的控制下引入分散的數據。

持續(xù)監(jiān)控所有數據

GDPR要求數據處理者和控制者監(jiān)視居民信息的內容，位置和使用情況，無論其身在何處。無論數據是在傳統(tǒng)端點上還是在云應用程序中，能夠主動監(jiān)視信息是否合規(guī)的流程的組織都將具有更好的控制和訪問數據的能力。

保護傳輸中的數據

使用GDPR，無論數據位于何處，安全性都必須隨數據一起移動。CISO應使用基于TLS 1.2和AES 256的行業(yè)領先標準，使用針對每個客戶的唯一密鑰以及簡化和集成的密鑰管理來加密數據。如果組織尚未建立可接受的傳輸機制，數據加密還可以防止數據離開。

制定可靠的事件響應和數據泄露計劃

GDPR將個人數據泄露定義為“違反安全規(guī)定，導致意外

，非法破壞，丟失，更改，未經授權披露或訪問所

傳輸，存儲或以其他方式處理的個人數據。”

如果聽起來含糊不清，那您是對的。為了覆蓋所有基礎，數據控制者和數據處理者應審查并更新其事件響應計劃和政策，以確保符合GDPR。IT和IS團隊應確保適當的技術和組織保護措施到位，以防在未經授權的情況下使數據難以理解。

不要忘記“被遺忘的權利”

處理GDPR的組織面臨的主要挑戰(zhàn)之一是如何應數據主體的要求擦除信息，以清除所有數據(包括備份)并防止任何后續(xù)處理。根據GDPR，同意并不具有永久約束力，必須有撤回同意的可能性。

盡管有一些關于GDPR規(guī)定的警告，但是任何合法的刪除要求都必須及時處理。確保您是與備份供應商合作，還是在內部進行處理，都有可辯護的刪除功能，可以輕松滿足擦除請求，其中包括強大的審核線索，可以明確地證明信息已被刪除。

超越GDPR的思考

本質上，GDPR不僅與數據有關，還與保護數據有關，而且實際上知道所有組織數據的存放位置，并能夠定位，控制和最終處置信息。任何試圖實現GDPR合規(guī)性的解決方案都必須使用最先進的技術，同時專注于能夠查看所有數據，對所有數據進行分類并保護所有數據。

但這并不僅限于GDPR，CISO還應確保他們隨時都有全面的安全和隱私計劃，以滿足GDPR以及以后的需求。