也許今年最大的國際數據保護問(wèn)題將是歐盟的GDPR(通用數據保護條例)于5月25日生效。正如Datos IO副總裁Peter Smails告訴eWEEK所說(shuō)：“數據感知數據管理在2018年已成為賭注。GDPR是過(guò)去20年來(lái)對數據保護的最徹底的改變。根據新的一套法規，美國和歐洲無(wú)論數據集有多龐大，公司在管理，存儲和共享數據時(shí)都需要證明其合規性;從安全角度而言，公司必須在了解其數據后72小時(shí)內報告數據泄露。

“明年最大的問(wèn)題之一將是GDPR 第17條，這將使用戶(hù)的權利被遺忘，這將增加對數據感知的存儲和數據管理解決方案的需求。無(wú)論是針對特定應用程序的備份和恢復，以防止受到攻擊勒索軟件或基于智能查詢(xún)的數據移動(dòng)以支持測試/開(kāi)發(fā)，CI / CD或GDPR計劃，組織將需要具有數據感知能力的數據管理解決方案，并使他們能夠跨任何云邊界保護，移動(dòng)和貨幣化他們的數據，郵件說(shuō)。

GDPR現在對全世界的C級高管產(chǎn)生影響，并使他們爭先恐后地了解GDPR的含義，對組織的意義以及如何實(shí)現合規。盡管美國有些人可能會(huì )認為，該法規將對技術(shù)和安全團隊的影響(如果不是更大的話(huà))，將對法律和隱私部門(mén)造成的影響最大。

基礎架構數據保護提供商Druva的首席信息安全官Drew Nielsen 是該領(lǐng)域的另一位思想領(lǐng)袖。他與eWEEK讀者分享了CISO與GDPR時(shí)鐘爭奪的八個(gè)重要技術(shù)技巧：

確定您在GDPR中的角色

GDPR影響歐盟以外提供商品和服務(wù)(甚至免費)的組織，這些組織處理或監視歐盟公民的數據。第1步是回答某些關(guān)鍵問(wèn)題，以確定您的組織只是歐盟在GDPR下必須遵守某些其他規定的“數據控制者”還是“處理者”。

問(wèn)題包括：我的公司是否向歐盟居民提供商品或服務(wù)(甚至免費)?我的公司是否監視歐盟居民的行為(從歐盟內部還是外部)?我的公司在歐盟是否有員工或任何其他類(lèi)型的實(shí)體機構(甚至最少)?特殊/部門(mén)規則是否適用于我的組織?

可見(jiàn)所有數據

可見(jiàn)性是關(guān)鍵，這就是為什么組織必須首先了解所有數據的位置以保護信息并符合GDPR的原因。這意味著(zhù)在內部或通過(guò)第三方擁有適當的工具和解決方案，可以適當地保護，收集和監視在端點(diǎn)，服務(wù)器和云應用程序上跨企業(yè)分布的數據。這種廣泛的可見(jiàn)性為組織提供了對其整體數據攻擊面的切實(shí)可行的理解，并提供有關(guān)如何最佳部署安全機制以使其符合GDPR的實(shí)時(shí)信息。

使用云更好地治理

GDPR需要一種整體方法來(lái)保護個(gè)人數據并向歐盟居民提供對這些數據的訪(fǎng)問(wèn)權限。傳統治理集中于強制數據集中化，該集中化僅提供對集中存儲的數據的可見(jiàn)性。

隨著(zhù)移動(dòng)設備和云應用程序上數據創(chuàng )建的分散化，組織需要采取不同的方法來(lái)管理數據，這是開(kāi)發(fā)有效管理流程的一部分。CISO可以使用云輕松集中數據源策略的管理和實(shí)施，以在GDPR合規性的控制下引入分散的數據。

持續監控所有數據

GDPR要求數據處理者和控制者監視歐盟居民信息的內容，位置和使用情況，無(wú)論其身在何處。無(wú)論數據是在傳統端點(diǎn)上還是在云應用程序中，能夠主動(dòng)監視信息是否合規的流程的組織都將具有更好的控制和訪(fǎng)問(wèn)數據的能力。

保護傳輸中的數據

使用GDPR，無(wú)論數據位于何處，安全性都必須隨數據一起移動(dòng)。CISO應使用基于TLS 1.2和AES 256的行業(yè)領(lǐng)先標準，使用針對每個(gè)客戶(hù)的唯一密鑰以及簡(jiǎn)化和集成的密鑰管理來(lái)加密數據。如果組織尚未建立可接受的傳輸機制，數據加密還可以防止數據離開(kāi)歐盟。

制定可靠的事件響應和數據泄露計劃

GDPR將個(gè)人數據泄露定義為“違反安全規定，導致意外

，非法破壞，丟失，更改，未經(jīng)授權披露或訪(fǎng)問(wèn)所

傳輸，存儲或以其他方式處理的個(gè)人數據。”

如果聽(tīng)起來(lái)含糊不清，那您是對的。為了覆蓋所有基礎，數據控制者和數據處理者應審查并更新其事件響應計劃和政策，以確保符合GDPR。IT和IS團隊應確保適當的技術(shù)和組織保護措施到位，以防在未經(jīng)授權的情況下使數據難以理解。

不要忘記“被遺忘的權利”

處理GDPR的組織面臨的主要挑戰之一是如何應數據主體的要求擦除信息，以清除所有數據(包括備份)并防止任何后續處理。根據GDPR，同意并不具有永久約束力，必須有撤回同意的可能性。

盡管有一些關(guān)于GDPR規定的警告，但是任何合法的刪除要求都必須及時(shí)處理。確保您是與備份供應商合作，還是在內部進(jìn)行處理，都有可辯護的刪除功能，可以輕松滿(mǎn)足擦除請求，其中包括強大的審核線(xiàn)索，可以明確地證明信息已被刪除。

超越GDPR的思考

本質(zhì)上，GDPR不僅與數據有關(guān)，還與保護數據有關(guān)，而且實(shí)際上知道所有組織數據的存放位置，并能夠定位，控制和最終處置信息。任何試圖實(shí)現GDPR合規性的解決方案都必須使用最先進(jìn)的技術(shù)，同時(shí)專(zhuān)注于能夠查看所有數據，對所有數據進(jìn)行分類(lèi)并保護所有數據。

但這并不僅限于GDPR，CISO還應確保他們隨時(shí)都有全面的安全和隱私計劃，以滿(mǎn)足GDPR以及以后的需求。