企业未能理解GDPR合规性状态

全球900名商业决策者最近的民意调查表明，31％的人认为，他们的组织符合欧盟一般数据保护条例（GDPR）。

然而，根据Veritas的说法，大多数人被误解，该据Veritas委员会委托瓦森贝恩在英国，美国，法国，德国，澳大利亚，新加坡，日本和大韩民国的业务。

根据调查报告，专家对数据的分析发现，只有2％的受访者实际上似乎是符合要求的，这表明几乎所有调查的组织都没有准备就绪，尽管他们几乎是三分之一的相信它们是差不多的。

GDPR要求组织确保适当的技术保护和组织措施能够立即建立个人数据泄露是否发生了。

然而，近一半的受访者表示，他们表示他们的组织是符合GDPR的符合要求，他们没有完全了解他们所持有的个人数据。

未经理性的无可见，组织无法确保在72小时内向监督机构报告违约，并告知当报告称，无需过度延迟而导致受影响的受影响 - 该报告称。

超过60％的受访者表示他们准备好GDPR承认，他们的组织难以在72小时内识别和报告个人数据违约，但未能归类为违反GDPR的重大违反，并导致报告称，罚款高达年收入的4％，占年度收入的4％，以较大者为准，以较大者为准。

该调查还表明，一半的受访者表示他们的公司是符合要求的，承认前雇员仍然可以访问公司数据。

通过这种类型的不受控制的访问，报告称，许多组织正在将机密信息放入那些不应该拥有它的人手中，这将侵犯GDPR的合规性。

几乎一半（49％）的受访者表示他们是GDPR兼容的，认为他们的组织的云服务提供商（CSP）仅对他们的数据存储在云中的GDPR符合性，但这种信念是错误的，报告指出。

该组织作为数据控制器的责任，以确保数据处理器 - 在这种情况下，CSP - 提供了符合GDPR的充分保证。这意味着CSP和组织都负责确保云中的数据符合性。

该调查显示，近20％的受访者相信他们是GDPR兼容，承认其组织内部的个人数据无法清除或修改。有些人承认他们无法搜索数据，不知道它在哪里，或者没有明确定义的数据。

10个以上（13％）受访者承认其组织没有能力搜索和分析个人数据，以揭示inpidual的显式和隐式引用，并且在存储所有数据的位置没有准确的可见性，或者承认其组织的数据源和存储库未明确定义。

报告称，如果许多组织将无法轻易搜索，发现和擦除客户的数据，这是该报告的侵犯了“被遗忘的权利”，这些组织将无法攻击他们的客户数据。

根据数据安全软件功能公司的先驱，在GDPR合规截止日期前转向数据中心审计和保护（DCAP）模型，有些组织已经认识到这些挑战以及它们已经运行了不合时宜的事实。

该模型侧重于保护数据而不是网络，系统和设备，因为如果这些安全控件被破坏或绕过，网络中的数据，系统和设备中的数据很脆弱。

以数据为中心的安全方法旨在确保数据在传输中受到保护，无论在驻留位置，都可以通过存储，使用和传输来静止，直到它被存档或删除。

这种方法意味着一旦实现了所有元素，组织就可以自动识别安全策略所涵盖的新数据，保护该数据，并在整个数据的寿命中保持该保护。

DCAP模型要求组织对数据进行分类以识别数据敏感的数据;要知道存储敏感数据的位置;定义如何在业务环境中管理数据的策略;保护数据免受未经授权的访问或使用情况;并进行数据监控和审计，以确保与正常行为没有偏差，表示恶意意图。

这种方法意味着组织可以确保在其驻留的数据（例如在内部部署数据管理和存储系统）（如软件中），如服务（SaaS），作为服务（PaaS）的云服务（PAA）或作为服务的基础设施（IAAS）。

加密和标记是两种主要方法组织可以直接保护数据，以及安全公司的最近报告显示，努力遵守新的数据保护要求，包括GDPR，额外的零售商的额外三分之二（64％） ）加密他们的数据，40％正在使用令牌化。

虽然GDPR表示关于技术安全控制的很少，但它确实将PseUndonamation和加密作为个人数据的适当保障。GDPR还突出了了解敏感数据所在并能够进行审核以证明数据受到保护的重要性。

象征化是一种假匿名的形式，其中假数据值代替真实的数据值，因为这是以一致的方式完成的，这意味着诸如客户名称的实际数据将始终以同样的方式令令牌，使其仍然可以令牌做模式匹配分析的事情。

拥抱DCAP模型的组织通常使用加密和标记的组合，具体取决于它们正在保护的敏感数据的格式。DCAP模型使组织能够为每条数据选择最适当的保护。

令牌化对于处理文本和数字等结构化数据非常有用，但加密将更适合保护图像。即使在单个表格中，令牌化和加密也可以彼此一起使用。

数据中心模型的一个非常重要的优点是存在集中管理点，这意味着组织可以使用一组工具来保护不同环境的数据，例如Teradata，Oracle，SQL或Hadoop。

“以数据管理团队的管理团队的成员表示，”以数据为中心的方法实际上是在可以管理整个组织的安全姿势的位置，“克莱德·威廉姆森说。

“此外，数据管理策略是基于角色的，因此安全授权由安全官员管理，该安全官员确定数据如何受保护，谁获取访问该数据。”

这意味着只有在安全策略中专门定义的用户将访问数据，这确保无论系统管理员有多少访问，除非在安全策略中指定它们，否则它们就不会访问数据。

基于角色的访问策略还意味着组织可以非常清楚地审核用户对敏感数据进行的。

“这一切都与GDPR通过设计和隐私呼叫隐私，因为默认情况下，所有数据都在捕获点等地保护，并通过企业一直受到保护，并且只能在访问数据的点处受到保护必填，“威廉姆森说。

“有可能获得访问它的内容的微调，然后审核所有这一切，以监视用户行为，以便在检测到异常行为时识别可能的恶意活动，这对于保护数据是有用的，这对于保护数据和确保是有用的遵守PCI DSS，HIPAA或GDP等法规。

根据Williamson的说法，旨在通过使组织能够进行分类，发现和保护数据，强制执行数据管理和安全策略以及审计和监控数据访问活动，以支持DCAP模型，而不管公司数据所在。

他说，任何采用PCI DSS或HIPAA的DCAP模型的组织都将能够轻松扩展到GDPR，但对于许多组织来说，GDPR是第一次通过监管来保护个人信息的第一次。

如果没有经营理由来实施DCAP或被强制通过法规遵从性这样做，威廉姆森表示，大多数组织不太可能下跌这条路线。

“大多数组织都希望将数据保持尽可能易于访问，”他说。“它们通常不热衷于修改数据，以便他们可以将所有控件撤销并仍然达到他们的数据。”

大约10年前，“那有点奏效了”，威廉姆森说，鉴于增加的数据泄露和潜在的品牌伤害，他们可以造成的，而是开始了解以数据为中心的安全性的重要性。

除了新的数据保护法规，对品牌保护的关注是组织审查其网络安全功能的最大驱动因素之一。

随着最近几个月和岁月的高调数据泄露，威廉姆森表示，依赖于访问控制，防火墙和认证机制的依赖性不得不保持组织。

“虽然我们一直在谈论以数据为中心的安全性多年来，我们正在通过这种方法看到一个兴趣，因为商业世界刚刚达到他们意识到他们必须以一种有意义的方式保护数据，“ 他说。

“GDPR是目前所有潜在客户的主要或二级驱动程序，而且GDPR肯定是与对以数据为中心的组织感兴趣的组织中的所有对话中的主要主题之一。”