在数据中心这个行业,安全问题无处不在,伴随着安全问题让人们对网络又爱又恨,近期,有不少自称安全方面的专家不断涌现。
显然,这个世界和它的母亲可以使你的GDPR服从各种各样的成本,同时提供各种价值 - 如果有的话。 在每一个方面,都是关于合规性的,组织的大部分噪音是关于遵守GDPR的需要。
GDPR:通用数据保护规范”(GDPR) 究其本质,该条例制定的目的,是想借赋予欧盟公民个人信息保护的基本权利,来增加消费者对在线服务和
电子商务的信心。GDPR的核心,是对个人数据的收集和之后的
存储使用,规定更高的透明度与管控。对GDPR的正面阐释,是公司企业可通过给消费者一种自身数据被合理存储和保护的安全感,来赢得消费者的信任。GDPR不是一个负担,相反,它可被视为在世界第二大贸易集团(欧盟)增加业务的好机会。
如果你收集欧盟公民的数据,你就受到GDPR的管辖。除非你的公司非常严格地排除了欧盟,否则你还是得处理GDPR合规问题。这一宽泛的适用范围,其出发点是好的。要知道,GDPR其实就是《欧盟数据保护指南》的继任者,所以,某种程度上,它将怎样改进现有标准,也是众所瞩目的。
GDPR不仅仅是《欧盟数据保护指南》的范围扩大版,它还是总体上更为严苛的法规,包含更严厉的违规处罚。违规最高罚金可达公司全球总收益的4%或2000万欧元中的高者。说白了,这些后果本就是相当严重的。除了高额罚金,GDPR还加入了以下条款:
· 引入强制数据泄露通告。遭受安全事件并导致个人身份信息泄露的公司,需要在事件发现后72小时内,将事件报告给他们指定的数据保护机构;
· 引入具备数据保护法令专业知识的指定数据保护官员。该角色必须是独立的、自治的,并直接向高层管理汇报。
GDPR提出的要求显然不止这些,仅靠这篇文章也解释不完。这里只是想要说服各位读者尽快去了解更多。如果你脑中有这样的想法:“我得买什么产品才能合规?”赶紧扔掉。购买部署一堆安全产品不能让你达到合规的目的。
该规定特意编写得无关技术,且面向未来——数据和数据安全瞬时万变的情况下这一点尤其恰当。不过,出于
信息安全合规角度,对公司企业必须做些什么,建立起初始有效的解读,还是可以的。数据安全的关键,在于“足够的措施”这句。数据控制者必须实现“足够的措施”,来确保其处理系统和所掌握信息的机密性和完整性。这包括:
· 应用关键安全控制来恰当地检测、管理和缓解数据处理环境中的任何漏洞;
· 根据企业策略配置系统,并维护该配置;
· 主动识别偏离该策略的系统;
· 持续监视日志文件,警惕任何潜在数据泄露或漏洞;
· 维持有效检测、响应和缓解任何安全事件的能力;
· 以安全的方式使用云服务。
如果你将注意力放在合规上,很有可能没有意义,即使一直在关注细节,看起来可能“完全合规”,但也只是在相对的一个时间点。
当然,遵守规定是一件好事,但它并不能保护您免于破坏数据,也不能保证您的业务不会违规。 没有证据支持这样一种观点:遵守规定会减少数据泄露的机会。
切合实际的保护
事实上,你不应该罚款担忧,倒是应该担忧股票价值,潜在的集体诉讼以及客户的信任。 这不是像其他人一样那般带给你的恐惧,而是需要要提供一点切合实际的东西。
你不可能防止每一次可以想象的攻击或事故,你也不应该期望,但是你能否在保护这些数据方面表现出合理的措施? 你能对企业组织的数据做出那些合理的保护措施?企业的目标不是制定规定,而是保护数据。
GDPR的关键,以及这个领域的其他法规,是整个组织数据保护的一个良好的方法。 这不是一个安全或技术问题,而是一个整体的业务问题。
仅仅关注GDPR合规本身就是错误的。
GDPR只是最新的监管主题,它是建立在1998年“数据保护法案”(DPA)的基础上,该法案建立在对个人数据进行处理和依法处理的基础上。
这是一个新的规定,但对数据保护而言,已经不足为奇。保护数据的要求一直存在,但是这又是一个绊脚石,对那些不能证明他们正在认真对待数据保护的组织而言,可能会造成更严重的后果。
现在是时候停止不认真地考虑数据保护这个问题。 您的客户,员工以及高级利益相关方和监管机构要求您保护数据,并且需要认真对待。
合规就是无意义
企业、组织遵守法规,但仍然遭受了损失 - 这怎么可能?因为到目前为止, 大家只关注合规性。这只是一个很小的范围,当数据保护根本不在此范围内的时候。
当然,最初的重点始终是“通过考试”,而不是真正的提高和成熟。 这几乎总是一个时间点评估,只有在法规要求或为了纳入年度报告时才会重新审查。
我们有多久看一次年度报告,董事会是在哪里提到对公司
网络安全的信心和专家的评估? 问问自己,这种评估是多么的静止,调查的范围,调查的彻底性以及其中的局限性?
数据保护的最为有效的方法是将数据保护嵌入到您的业务,战略,转型和商业安排中,按照此方法,这将加速形成数据保护的市场。
灰色地带
今天有相当数量的组织没有向DPA投诉,所以我们不要假装每个人都明天要遵守GDPR,甚至关闭。
然而,对法律的无知从来没有达到很好的防御效果,一旦强制性报告于2018年5月生效,看看有多少企业、组织报告会存在违规。
GDPR的麻烦在于它是一个规定,法规很少是黑白的。 那里有很多灰色的东西,虽然它已经被很好地考虑过了,在大多数情况下,一个外行人可以掌握基本知识。 我们只会通过不可避免的法庭案件和法律挑战的结果来了解一些方面的最终定位。
需要足够的专业知识和业务知识来对此做出合理的判断。 在每一种情况下,这都取决于它,而且这总是一个基于风险的决定,但是如果你盲目的话,你会很纠结。
然而,从DPA下微不足道的数额来看,提高可能的罚款价值 - 高达2000万欧元或者占全球收入的4%可能意味着监管者的意图,而且我担心这些等待的组织 - 看到态度,无意以任何方式符合2018年5月。
市场反应
市场主要是谈判合规,但是有一系列不同的解决方案。
让我们从简单、没有实际意义的评估开始。 当然,并不总是这样,你得到你所付出的东西,但有一个复杂的主题,如数据保护,甚至GDPR,那么你真的会得到你所支付的。
接着,将会面临更全面的咨询活动。 其中有多少涉及常规咨询,以及他们能为数据保护推动多少价值? 我已经看到很多这些报告被放置一个积满灰尘,这就是为什么它通常被称为货架。
没什么不对的,但是我很难确定客户在确定正确的后续步骤和优先级方面的优势。
它需要认真的实践知识,经验和商业上的同情来决定什么是可能的,应该以什么顺序来做什么,以及什么应该被记录和接受的风险。 事实是,顾问没有兴趣赋予你权力。 在许多情况下都是按照你的思路进行评估
有目共睹的方法
另一个常见的方法是在软件系统中寻求解决GDPR /数据保护的某些方面。
例如,对数据进行加密,是许多人提供的灵丹妙药。 这听起来不错,但在实际的数据保护方面却是非常盲目的做法,并且否定了没有系统会发现所有数据的事实。 当然,数据也需要被访问,所以加密不能成为处理开销。
作为一名攻击者,我也许会做出一些妥协,可以合法访问一些数据,这个系统会为我解密,然后我就得到了你的数据, 这是阻力最小的路径。
最终的共同产品可能来自数百家公司,他们认为如果不首先了解您的业务,想要使您的企业符合GDPR规范,是不可能的。
每个企业都各自不一样,独特的处理数据的方式。 数据泄露也是如此 - 我们可以从违规组织中学到什么? 一点都没有。
数据泄露的方式与你所在企业、组织所在领域息息相关,以至于有一些方式适用一些企业,有些方式不适用。
如果你不了解一个组织的细微差别和复杂性,他们的流程和未来愿景,那么你怎么能够提出让他们遵从任何事情呢? 这些现成的,一刀切的系统也是无用的。
很多组织为此花了很多资金,却没达到预期效果。
要DPO还是不要?
我们已经认识到了网络技能的差距 - 或者说是鸿沟。 我们可以争论这个差距的广度,但是确实存在。 如果你正在寻找适当的技术安全资源,那么差距就会扩大。
现在我们有另外一个角色需要一些非常相似的专业知识 - 也许不是那些已经被抛弃的忍者级的例子,但是我们需要一个认识到GDPR规则,数据保护主题,业务,流程和所有 随之而来。
当猎头公司竞相填补技能缺口时,会出现一个很大的就业市场,对GDPR的严格解释表明将需要数以万计的数据保护官员(DPO),许多人员和组织 利用机会赚钱。
从你的角度来看,你怎么知道要寻找什么,或者你正在招聘或承包什么是好的? 大多数情况下,你将如何衡量它将被隐藏起来? 你可能会成为一个可怕的DPO,因为大多数组织都是完全无知的,没有任何办法来测试他们的投资价值。
要找到合适的资源是很困难的,要有适当的权力和报酬才能把握好这一点。 这很难,但如果你做对了,也是非常可行的。
真正的从业者
当你,你可以外包DPO。 这也不错,但,大多数咨询公司将不会提供有丰富经验的人,因为没有那么多人去。
我会建议了解DPO在这个领域以及在哪里做过的外包工作。 如果他们只做过理论,那就不要雇用他们。
寻找一个懂得真正评估一个组织的人,并明白正面的变化 - 一个了解风险和业务流程的人。 他们很难得到,但是为什么你要雇用DPO,除非你认真对待数据保护?
当您查看涵盖DPO要求的GDPR第39条中规定的技能组时,您不认为这个人对您的团队是一个很好的补充吗? 除非你只是勾选了“我有一个DPO”框,在这种情况下,祝你好运。
DPO应该是一个适当的实践者 - 不是一个业余爱好者或刚刚毕业的大学毕业生,而应该是了解数据保护,具有这方面实践经验的人。不要去找只是对理论知识懂得全面的人,而要去找一个在复杂的组织中工作的人,他们仍然能够提供对业务运作透明并支持业务愿景的积极成果。
你做错吗?
如果您试图以低廉的价格实现这一目标,因为您无法看到强大而有弹性的数据保护策略的价值,那么您就错了,而且您正在冒很大的风险。
数据保护不一定很昂贵。 它需要集中在正确的领域,从现在的位置提供明显的回报和显着的改善。 为了获得现在的位置,你必须了解业务。 这不可能发生任何其他的方式。
评估是使组织成为明智的客户并寻求修复具体风险的关键,为法律团队和董事会提供可以辩护的立场。 证明数据保护计划正在产生积极的影响,即使只是为了您的律师,也会有很多快速的胜利。
经营策略
数据保护应该是企业战略和业务转型的核心。 它使您能够默认构建数据保护。 这不是一件容易的事情,但是这是一项商业上的必要措施,它使您能够在数据透明度和维护方面利用您的转变来获得优势。
如果您对程序进行数据保护,则可能会将成本降低大约三分之一。 安全或数据保护的改进是艰难的,繁琐的,昂贵的,并且往往不利于整体业务结果的变化。 预先构建它可以让您构建透明的数据保护,而不会妨碍预期的业务成果。
太频繁改变策略的公司会错过适应或利用变化的机会。 检测“故障线路”对于生存至关重要,而当涉及到保护数据的企业目标时,您可能会认为:作为企业领导者,您在哪里丢失或解散了您的重大故障的所有警告信号 商业?
要知道如何做到这一点,不要只是想“购买”数据保护 - 这是行不通的。
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。