Gartner预测,欧洲公司在确保合规上的花费平均为140万美元,而美国公司则是100万美元。这笔开支是很值的——违反GDPR的罚款比合规开支要多出很多倍,更别提还有大笔的法律费用、额外的保费和对品牌信誉的伤害。
有鉴于合规所涉及的人力财力投入,以及一旦发生数据泄露所承受的罚款风险,公司企业如今非常能够理解该为自己所面临的新现实做出准备了。
GDPR不应该成为愤怒的诱因。相反,公司企业应将该新规定视为强化自身业务过程和更好地防止数据泄露和网络攻击的机会。同时GDPR的生效,也为公司企业带来了以其要求为指挥棒,强化公司整体安全和合规态势的机会。
GDPR能为企业带来的三个主要好处是:
1. 专属品牌保护
过去几年中对Equifax、雅虎等大公司的大规模网络攻击,严重挫伤了这些公司的品牌和信誉。如果这些网络攻击事件发生在新规实施之后,那其后续影响中就还得加上大额的罚款,也就会迫使公司安全团队采取格外的措施保护公司的公众形象。这是件好事儿,因为会让公司企业在设立、改变或扩展业务过程的时候都能考虑到安全。
2. 整体安全考虑
GDPR为安全团队带来了机会,让他们可以在整个公司范围内开发并部署健壮的过程以检测、调查、响应和报告威胁。从一开始就将安全融入到业务过程中而不是事后才添加,可以在平滑各项操作的同时更好地抵御内部和外部威胁。
3. 促进创新
GDPR合规无疑能改善数据处理和威胁检测,让企业能够加速内部和外部的创新与协作——因为企业提升了对自身业务过程完整性和安全性的自信。
有了这些好处摆在眼前,公司企业又该怎样更新他们的网络、安全过程和操作,以确保能够完全利用上GDPR带给他们的机会呢?下面三个关键步骤可供公司企业参考。
1. 获得所需的可见性——GDPR基本上管的就是哪些类型的数据类型可以被收集和记录,以及这些数据的处理和存储方式。公司企业需对自身基础设施和业务过程拥有完整的可见性,这样才能在欧盟范围内有效监视和保护数据,并提供公司全球网络的完整视角。然而,与所处环境无关,GDPR的一个基本部分是数据必须匿名化,限制数据可以被看到的多寡。
对广泛可见性的需求与敏感信息模糊化的需求看起来似乎是自相矛盾的。但有一些工具和方法可以让二者协调统一。最早为保护个人可识别信息(PII)数据而开发出来的数据打码技术就很适合GDPR合规,也是一些高级网络数据包处理引擎的功能之一。IT和安全团队可以利用该功能设置需打码的任意数据类型或偏移——信用卡记录、身份证号、IP地址等等。另外,支持用户数据地理位置信息的高可见性架构,也有助于识别源于欧盟的流量。数据打码和地理位置信息(无论有没有加密)结合起来能有效驱动GDPR合规。
2. 加密很重要——数据加密是数据防护的重中之重。完全加密互联网的趋势正在延续,而在GDPR之下,数据加密明显被作为解决个人数据安全问题的合法方式,同时还能在发生数据泄露时一定程度上规避起诉。
不过,也有企业担心威胁可能会藏身于SSL加密的数据流中,因为一些传统安全设备和监视解决方案并不具备处理加密数据流的功能。不过高级网络包代理可以解密数据包,并将明文数据发送给安全及监视解决方案,让它们可以嗅探出威胁和恶意载荷,再重新加密数据并继续转发。加密与数据打码联动便能保护存储的数据和传输中的数据。
3. 确保完整性,可用性和弹性——全面的可见性架构,不仅仅监视数据;在防护企业免遭越来越先进的网络安全攻击方面也很关键。如果企业不能对流经自身网络的所有流量拥有完整可见性,网络罪犯就能利用漏洞和盲点渗透进网络并盗取数据。可见性帮助安全团队缩小整体的网络攻击界面,堵上防御漏洞。
安全弹性也是GDPR的关键,而可见性正是通过快速发现并解决异常或正在进行中的攻击来确保安全弹性。这可加快对潜在数据泄露的响应,限制伤害并最小化风险。
GDPR是合规领域长时间以来影响最深远最为复杂的条例之一,而在公司中推行必要的改变以符合GDPR的要求并没有那么容易。不过,只要公司企业采取正确的方法强化自身安全过程,GDPR反而会成为他们增强自身安全态势的契机,其效果远比简单勾选合规列表好得多。