也許今年最大的國(guó)際數(shù)據(jù)保護(hù)問(wèn)題將是歐盟的GDPR(通用數(shù)據(jù)保護(hù)條例)于5月25日生效。正如Datos IO副總裁Peter Smails告訴eWEEK所說(shuō)：“數(shù)據(jù)感知數(shù)據(jù)管理在2018年已成為賭注。GDPR是過(guò)去20年來(lái)對(duì)數(shù)據(jù)保護(hù)的最徹底的改變。根據(jù)新的一套法規(guī)，美國(guó)和歐洲無(wú)論數(shù)據(jù)集有多龐大，公司在管理，存儲(chǔ)和共享數(shù)據(jù)時(shí)都需要證明其合規(guī)性;從安全角度而言，公司必須在了解其數(shù)據(jù)后72小時(shí)內(nèi)報(bào)告數(shù)據(jù)泄露。

“明年最大的問(wèn)題之一將是GDPR 第17條，這將使用戶的權(quán)利被遺忘，這將增加對(duì)數(shù)據(jù)感知的存儲(chǔ)和數(shù)據(jù)管理解決方案的需求。無(wú)論是針對(duì)特定應(yīng)用程序的備份和恢復(fù)，以防止受到攻擊勒索軟件或基于智能查詢的數(shù)據(jù)移動(dòng)以支持測(cè)試/開(kāi)發(fā)，CI / CD或GDPR計(jì)劃，組織將需要具有數(shù)據(jù)感知能力的數(shù)據(jù)管理解決方案，并使他們能夠跨任何云邊界保護(hù)，移動(dòng)和貨幣化他們的數(shù)據(jù)，郵件說(shuō)。

GDPR現(xiàn)在對(duì)全世界的C級(jí)高管產(chǎn)生影響，并使他們爭(zhēng)先恐后地了解GDPR的含義，對(duì)組織的意義以及如何實(shí)現(xiàn)合規(guī)。盡管美國(guó)有些人可能會(huì)認(rèn)為，該法規(guī)將對(duì)技術(shù)和安全團(tuán)隊(duì)的影響(如果不是更大的話)，將對(duì)法律和隱私部門(mén)造成的影響最大。

基礎(chǔ)架構(gòu)數(shù)據(jù)保護(hù)提供商Druva的首席信息安全官Drew Nielsen 是該領(lǐng)域的另一位思想領(lǐng)袖。他與eWEEK讀者分享了CISO與GDPR時(shí)鐘爭(zhēng)奪的八個(gè)重要技術(shù)技巧：

確定您在GDPR中的角色

GDPR影響歐盟以外提供商品和服務(wù)(甚至免費(fèi))的組織，這些組織處理或監(jiān)視歐盟公民的數(shù)據(jù)。第1步是回答某些關(guān)鍵問(wèn)題，以確定您的組織只是歐盟在GDPR下必須遵守某些其他規(guī)定的“數(shù)據(jù)控制者”還是“處理者”。

問(wèn)題包括：我的公司是否向歐盟居民提供商品或服務(wù)(甚至免費(fèi))?我的公司是否監(jiān)視歐盟居民的行為(從歐盟內(nèi)部還是外部)?我的公司在歐盟是否有員工或任何其他類(lèi)型的實(shí)體機(jī)構(gòu)(甚至最少)?特殊/部門(mén)規(guī)則是否適用于我的組織?

可見(jiàn)所有數(shù)據(jù)

可見(jiàn)性是關(guān)鍵，這就是為什么組織必須首先了解所有數(shù)據(jù)的位置以保護(hù)信息并符合GDPR的原因。這意味著在內(nèi)部或通過(guò)第三方擁有適當(dāng)?shù)墓ぞ吆徒鉀Q方案，可以適當(dāng)?shù)乇Ｗo(hù)，收集和監(jiān)視在端點(diǎn)，服務(wù)器和云應(yīng)用程序上跨企業(yè)分布的數(shù)據(jù)。這種廣泛的可見(jiàn)性為組織提供了對(duì)其整體數(shù)據(jù)攻擊面的切實(shí)可行的理解，并提供有關(guān)如何最佳部署安全機(jī)制以使其符合GDPR的實(shí)時(shí)信息。

使用云更好地治理

GDPR需要一種整體方法來(lái)保護(hù)個(gè)人數(shù)據(jù)并向歐盟居民提供對(duì)這些數(shù)據(jù)的訪問(wèn)權(quán)限。傳統(tǒng)治理集中于強(qiáng)制數(shù)據(jù)集中化，該集中化僅提供對(duì)集中存儲(chǔ)的數(shù)據(jù)的可見(jiàn)性。

隨著移動(dòng)設(shè)備和云應(yīng)用程序上數(shù)據(jù)創(chuàng)建的分散化，組織需要采取不同的方法來(lái)管理數(shù)據(jù)，這是開(kāi)發(fā)有效管理流程的一部分。CISO可以使用云輕松集中數(shù)據(jù)源策略的管理和實(shí)施，以在GDPR合規(guī)性的控制下引入分散的數(shù)據(jù)。

持續(xù)監(jiān)控所有數(shù)據(jù)

GDPR要求數(shù)據(jù)處理者和控制者監(jiān)視歐盟居民信息的內(nèi)容，位置和使用情況，無(wú)論其身在何處。無(wú)論數(shù)據(jù)是在傳統(tǒng)端點(diǎn)上還是在云應(yīng)用程序中，能夠主動(dòng)監(jiān)視信息是否合規(guī)的流程的組織都將具有更好的控制和訪問(wèn)數(shù)據(jù)的能力。

保護(hù)傳輸中的數(shù)據(jù)

使用GDPR，無(wú)論數(shù)據(jù)位于何處，安全性都必須隨數(shù)據(jù)一起移動(dòng)。CISO應(yīng)使用基于TLS 1.2和AES 256的行業(yè)領(lǐng)先標(biāo)準(zhǔn)，使用針對(duì)每個(gè)客戶的唯一密鑰以及簡(jiǎn)化和集成的密鑰管理來(lái)加密數(shù)據(jù)。如果組織尚未建立可接受的傳輸機(jī)制，數(shù)據(jù)加密還可以防止數(shù)據(jù)離開(kāi)歐盟。

制定可靠的事件響應(yīng)和數(shù)據(jù)泄露計(jì)劃

GDPR將個(gè)人數(shù)據(jù)泄露定義為“違反安全規(guī)定，導(dǎo)致意外

，非法破壞，丟失，更改，未經(jīng)授權(quán)披露或訪問(wèn)所

傳輸，存儲(chǔ)或以其他方式處理的個(gè)人數(shù)據(jù)。”

如果聽(tīng)起來(lái)含糊不清，那您是對(duì)的。為了覆蓋所有基礎(chǔ)，數(shù)據(jù)控制者和數(shù)據(jù)處理者應(yīng)審查并更新其事件響應(yīng)計(jì)劃和政策，以確保符合GDPR。IT和IS團(tuán)隊(duì)?wèi)?yīng)確保適當(dāng)?shù)募夹g(shù)和組織保護(hù)措施到位，以防在未經(jīng)授權(quán)的情況下使數(shù)據(jù)難以理解。

不要忘記“被遺忘的權(quán)利”

處理GDPR的組織面臨的主要挑戰(zhàn)之一是如何應(yīng)數(shù)據(jù)主體的要求擦除信息，以清除所有數(shù)據(jù)(包括備份)并防止任何后續(xù)處理。根據(jù)GDPR，同意并不具有永久約束力，必須有撤回同意的可能性。

盡管有一些關(guān)于GDPR規(guī)定的警告，但是任何合法的刪除要求都必須及時(shí)處理。確保您是與備份供應(yīng)商合作，還是在內(nèi)部進(jìn)行處理，都有可辯護(hù)的刪除功能，可以輕松滿足擦除請(qǐng)求，其中包括強(qiáng)大的審核線索，可以明確地證明信息已被刪除。

超越GDPR的思考

本質(zhì)上，GDPR不僅與數(shù)據(jù)有關(guān)，還與保護(hù)數(shù)據(jù)有關(guān)，而且實(shí)際上知道所有組織數(shù)據(jù)的存放位置，并能夠定位，控制和最終處置信息。任何試圖實(shí)現(xiàn)GDPR合規(guī)性的解決方案都必須使用最先進(jìn)的技術(shù)，同時(shí)專注于能夠查看所有數(shù)據(jù)，對(duì)所有數(shù)據(jù)進(jìn)行分類(lèi)并保護(hù)所有數(shù)據(jù)。

但這并不僅限于GDPR，CISO還應(yīng)確保他們隨時(shí)都有全面的安全和隱私計(jì)劃，以滿足GDPR以及以后的需求。