企业未能理解GDPR合规性状态
对PM的呼吁混合反应来规范网络空间以防止恐怖主义
Nominet Trust投资600,000英镑,以帮助年轻人获得数字技能
苹果到春天麦克斯山脉9月20日
FBI逮捕英国Wannacry英雄对恶意软件费用
这是如何重新设计其整个产品的方式
这些是从建立聊天课时学到的教训
美国两党联盟捍卫网络攻击选举
最新的飞跃第二计划为尽职尽责的Sysadmins构成了困境
英特尔利润幻灯片对与裁员有关的成本
萨尔福德市议会采用微软天蓝调来提供混合云视觉
SwiftKey的键入预测可能已泄露用户的电子邮件
2017年英国最有影响力的女性:进入名人堂的参赛者
Microsoft Spices Up Surface Hub带Azure Cloud Services
独立的VR耳机价格可以汇集新的Allwinner芯片
GE和Microsoft在云中的IOT服务中一起工作
西南航空公司在计算机问题后延迟航班
一旦死亡的移动操作系统回到了印度智能手机
OpenReach Drops BT品牌
NTSB:在致命的崩溃中的特斯拉正在加速自动驾驶
许个愿!Facebook推出了生日视频,以帮助您庆祝
AT&T想要使用A.I.作为水晶球
美国国家航空航天局与火星流浪者的好奇心重新联系
长期超级支持提出的问题
Microsoft承认Windows 10禁用第三方安全软件
微软赢得了美国政府访问海外举行的电子邮件的上诉
政府强调选举后宽带政策的连续性
Kevin Turner的出发标志着微软老警卫的结尾
神奇宝贝去开发商起诉了寻求进入私人财产的游戏玩家
作为服务的勒索软件是游戏更换者,警告Sophos
sideloaders注意:口袋妖怪go opply-off包含恶意软件
Microsoft Maps F#语言升级
消费者办公室365订阅增长速度
云终于杀了桌面电话吗?Dialpad认为是这样
DVLA旨在通过迁移到公共云和开放标准来削减IT成本
思科在路由器和会议服务器软件中修补严重缺陷
无保留手机跟踪:联邦法官将DEA的Stingray证据踢到路边
卡巴斯基研究员在亚洲开发了Cyber​​取证工具
OLPC Redux:分拆为低成本硬件提供后继者
AI只是共同写出了它的第一个恐怖电影,你可以帮助它真实
马来西亚的Cyber​​ Jaya获得智能城市提升
国家陆军博物馆使用潮流来实现未来的个性化计划
新加坡审查个人数据保护规则
通过采用Microsoft Azure进行数据分析,BP扩大公共云策略
数字驱动企业软件支出
黑客3D打印机可以致力于工业破坏
欧洲联盟将会员国带到5克领先
沃达丰调动假新闻和仇恨言论
Google Buys Sneaker-Scanning Machine Company Moodstocks
由于政变尝试展开,土耳其总统通过FaceTime出现在直播电视
您的位置:首页 >科技 > 技术前沿 >

企业未能理解GDPR合规性状态

2021-07-14 14:44:24 [来源]:

全球900名商业决策者最近的民意调查表明,31%的人认为,他们的组织符合欧盟一般数据保护条例(GDPR)。

然而,根据Veritas的说法,大多数人被误解,该据Veritas委员会委托瓦森贝恩在英国,美国,法国,德国,澳大利亚,新加坡,日本和大韩民国的业务。

根据调查报告,专家对数据的分析发现,只有2%的受访者实际上似乎是符合要求的,这表明几乎所有调查的组织都没有准备就绪,尽管他们几乎是三分之一的相信它们是差不多的。

GDPR要求组织确保适当的技术保护和组织措施能够立即建立个人数据泄露是否发生了。

然而,近一半的受访者表示,他们表示他们的组织是符合GDPR的符合要求,他们没有完全了解他们所持有的个人数据。

未经理性的无可见,组织无法确保在72小时内向监督机构报告违约,并告知当报告称,无需过度延迟而导致受影响的受影响 - 该报告称。

超过60%的受访者表示他们准备好GDPR承认,他们的组织难以在72小时内识别和报告个人数据违约,但未能归类为违反GDPR的重大违反,并导致报告称,罚款高达年收入的4%,占年度收入的4%,以较大者为准,以较大者为准。

该调查还表明,一半的受访者表示他们的公司是符合要求的,承认前雇员仍然可以访问公司数据。

通过这种类型的不受控制的访问,报告称,许多组织正在将机密信息放入那些不应该拥有它的人手中,这将侵犯GDPR的合规性。

几乎一半(49%)的受访者表示他们是GDPR兼容的,认为他们的组织的云服务提供商(CSP)仅对他们的数据存储在云中的GDPR符合性,但这种信念是错误的,报告指出。

该组织作为数据控制器的责任,以确保数据处理器 - 在这种情况下,CSP - 提供了符合GDPR的充分保证。这意味着CSP和组织都负责确保云中的数据符合性。

该调查显示,近20%的受访者相信他们是GDPR兼容,承认其组织内部的个人数据无法清除或修改。有些人承认他们无法搜索数据,不知道它在哪里,或者没有明确定义的数据。

10个以上(13%)受访者承认其组织没有能力搜索和分析个人数据,以揭示inpidual的显式和隐式引用,并且在存储所有数据的位置没有准确的可见性,或者承认其组织的数据源和存储库未明确定义。

报告称,如果许多组织将无法轻易搜索,发现和擦除客户的数据,这是该报告的侵犯了“被遗忘的权利”,这些组织将无法攻击他们的客户数据。

根据数据安全软件功能公司的先驱,在GDPR合规截止日期前转向数据中心审计和保护(DCAP)模型,有些组织已经认识到这些挑战以及它们已经运行了不合时宜的事实。

该模型侧重于保护数据而不是网络,系统和设备,因为如果这些安全控件被破坏或绕过,网络中的数据,系统和设备中的数据很脆弱。

以数据为中心的安全方法旨在确保数据在传输中受到保护,无论在驻留位置,都可以通过存储,使用和传输来静止,直到它被存档或删除。

这种方法意味着一旦实现了所有元素,组织就可以自动识别安全策略所涵盖的新数据,保护该数据,并在整个数据的寿命中保持该保护。

DCAP模型要求组织对数据进行分类以识别数据敏感的数据;要知道存储敏感数据的位置;定义如何在业务环境中管理数据的策略;保护数据免受未经授权的访问或使用情况;并进行数据监控和审计,以确保与正常行为没有偏差,表示恶意意图。

这种方法意味着组织可以确保在其驻留的数据(例如在内部部署数据管理和存储系统)(如软件中),如服务(SaaS),作为服务(PaaS)的云服务(PAA)或作为服务的基础设施(IAAS)。

加密和标记是两种主要方法组织可以直接保护数据,以及安全公司的最近报告显示,努力遵守新的数据保护要求,包括GDPR,额外的零售商的额外三分之二(64%) )加密他们的数据,40%正在使用令牌化。

虽然GDPR表示关于技术安全控制的很少,但它确实将PseUndonamation和加密作为个人数据的适当保障。GDPR还突出了了解敏感数据所在并能够进行审核以证明数据受到保护的重要性。

象征化是一种假匿名的形式,其中假数据值代替真实的数据值,因为这是以一致的方式完成的,这意味着诸如客户名称的实际数据将始终以同样的方式令令牌,使其仍然可以令牌做模式匹配分析的事情。

拥抱DCAP模型的组织通常使用加密和标记的组合,具体取决于它们正在保护的敏感数据的格式。DCAP模型使组织能够为每条数据选择最适当的保护。

令牌化对于处理文本和数字等结构化数据非常有用,但加密将更适合保护图像。即使在单个表格中,令牌化和加密也可以彼此一起使用。

数据中心模型的一个非常重要的优点是存在集中管理点,这意味着组织可以使用一组工具来保护不同环境的数据,例如Teradata,Oracle,SQL或Hadoop。

“以数据管理团队的管理团队的成员表示,”以数据为中心的方法实际上是在可以管理整个组织的安全姿势的位置,“克莱德·威廉姆森说。

“此外,数据管理策略是基于角色的,因此安全授权由安全官员管理,该安全官员确定数据如何受保护,谁获取访问该数据。”

这意味着只有在安全策略中专门定义的用户将访问数据,这确保无论系统管理员有多少访问,除非在安全策略中指定它们,否则它们就不会访问数据。

基于角色的访问策略还意味着组织可以非常清楚地审核用户对敏感数据进行的。

“这一切都与GDPR通过设计和隐私呼叫隐私,因为默认情况下,所有数据都在捕获点等地保护,并通过企业一直受到保护,并且只能在访问数据的点处受到保护必填,“威廉姆森说。

“有可能获得访问它的内容的微调,然后审核所有这一切,以监视用户行为,以便在检测到异常行为时识别可能的恶意活动,这对于保护数据是有用的,这对于保护数据和确保是有用的遵守PCI DSS,HIPAA或GDP等法规。

根据Williamson的说法,旨在通过使组织能够进行分类,发现和保护数据,强制执行数据管理和安全策略以及审计和监控数据访问活动,以支持DCAP模型,而不管公司数据所在。

他说,任何采用PCI DSS或HIPAA的DCAP模型的组织都将能够轻松扩展到GDPR,但对于许多组织来说,GDPR是第一次通过监管来保护个人信息的第一次。

如果没有经营理由来实施DCAP或被强制通过法规遵从性这样做,威廉姆森表示,大多数组织不太可能下跌这条路线。

“大多数组织都希望将数据保持尽可能易于访问,”他说。“它们通常不热衷于修改数据,以便他们可以将所有控件撤销并仍然达到他们的数据。”

大约10年前,“那有点奏效了”,威廉姆森说,鉴于增加的数据泄露和潜在的品牌伤害,他们可以造成的,而是开始了解以数据为中心的安全性的重要性。

除了新的数据保护法规,对品牌保护的关注是组织审查其网络安全功能的最大驱动因素之一。

随着最近几个月和岁月的高调数据泄露,威廉姆森表示,依赖于访问控制,防火墙和认证机制的依赖性不得不保持组织。

“虽然我们一直在谈论以数据为中心的安全性多年来,我们正在通过这种方法看到一个兴趣,因为商业世界刚刚达到他们意识到他们必须以一种有意义的方式保护数据,“ 他说。

“GDPR是目前所有潜在客户的主要或二级驱动程序,而且GDPR肯定是与对以数据为中心的组织感兴趣的组织中的所有对话中的主要主题之一。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。