在數(shù)據(jù)中心這個(gè)行業(yè)，安全問(wèn)題無(wú)處不在，伴隨著安全問(wèn)題讓人們對(duì)網(wǎng)絡(luò)又愛(ài)又恨，近期，有不少自稱安全方面的專(zhuān)家不斷涌現(xiàn)。

顯然，這個(gè)世界和它的母親可以使你的GDPR服從各種各樣的成本，同時(shí)提供各種價(jià)值 - 如果有的話。 在每一個(gè)方面，都是關(guān)于合規(guī)性的，組織的大部分噪音是關(guān)于遵守GDPR的需要。

GDPR：通用數(shù)據(jù)保護(hù)規(guī)范”(GDPR) 究其本質(zhì)，該條例制定的目的，是想借賦予歐盟公民個(gè)人信息保護(hù)的基本權(quán)利，來(lái)增加消費(fèi)者對(duì)在線服務(wù)和電子商務(wù)的信心。GDPR的核心，是對(duì)個(gè)人數(shù)據(jù)的收集和之后的存儲(chǔ)使用，規(guī)定更高的透明度與管控。對(duì)GDPR的正面闡釋?zhuān)枪酒髽I(yè)可通過(guò)給消費(fèi)者一種自身數(shù)據(jù)被合理存儲(chǔ)和保護(hù)的安全感，來(lái)贏得消費(fèi)者的信任。GDPR不是一個(gè)負(fù)擔(dān)，相反，它可被視為在世界第二大貿(mào)易集團(tuán)(歐盟)增加業(yè)務(wù)的好機(jī)會(huì)。

如果你收集歐盟公民的數(shù)據(jù)，你就受到GDPR的管轄。除非你的公司非常嚴(yán)格地排除了歐盟，否則你還是得處理GDPR合規(guī)問(wèn)題。這一寬泛的適用范圍，其出發(fā)點(diǎn)是好的。要知道，GDPR其實(shí)就是《歐盟數(shù)據(jù)保護(hù)指南》的繼任者，所以，某種程度上，它將怎樣改進(jìn)現(xiàn)有標(biāo)準(zhǔn)，也是眾所矚目的。

GDPR不僅僅是《歐盟數(shù)據(jù)保護(hù)指南》的范圍擴(kuò)大版，它還是總體上更為嚴(yán)苛的法規(guī)，包含更嚴(yán)厲的違規(guī)處罰。違規(guī)最高罰金可達(dá)公司全球總收益的4%或2000萬(wàn)歐元中的高者。說(shuō)白了，這些后果本就是相當(dāng)嚴(yán)重的。除了高額罰金，GDPR還加入了以下條款：

· 引入強(qiáng)制數(shù)據(jù)泄露通告。遭受安全事件并導(dǎo)致個(gè)人身份信息泄露的公司，需要在事件發(fā)現(xiàn)后72小時(shí)內(nèi)，將事件報(bào)告給他們指定的數(shù)據(jù)保護(hù)機(jī)構(gòu);

· 引入具備數(shù)據(jù)保護(hù)法令專(zhuān)業(yè)知識(shí)的指定數(shù)據(jù)保護(hù)官員。該角色必須是獨(dú)立的、自治的，并直接向高層管理匯報(bào)。

GDPR提出的要求顯然不止這些，僅靠這篇文章也解釋不完。這里只是想要說(shuō)服各位讀者盡快去了解更多。如果你腦中有這樣的想法：“我得買(mǎi)什么產(chǎn)品才能合規(guī)?”趕緊扔掉。購(gòu)買(mǎi)部署一堆安全產(chǎn)品不能讓你達(dá)到合規(guī)的目的。

該規(guī)定特意編寫(xiě)得無(wú)關(guān)技術(shù)，且面向未來(lái)——數(shù)據(jù)和數(shù)據(jù)安全瞬時(shí)萬(wàn)變的情況下這一點(diǎn)尤其恰當(dāng)。不過(guò)，出于信息安全合規(guī)角度，對(duì)公司企業(yè)必須做些什么，建立起初始有效的解讀，還是可以的。數(shù)據(jù)安全的關(guān)鍵，在于“足夠的措施”這句。數(shù)據(jù)控制者必須實(shí)現(xiàn)“足夠的措施”，來(lái)確保其處理系統(tǒng)和所掌握信息的機(jī)密性和完整性。這包括：

· 應(yīng)用關(guān)鍵安全控制來(lái)恰當(dāng)?shù)貦z測(cè)、管理和緩解數(shù)據(jù)處理環(huán)境中的任何漏洞;

· 根據(jù)企業(yè)策略配置系統(tǒng)，并維護(hù)該配置;

· 主動(dòng)識(shí)別偏離該策略的系統(tǒng);

· 持續(xù)監(jiān)視日志文件，警惕任何潛在數(shù)據(jù)泄露或漏洞;

· 維持有效檢測(cè)、響應(yīng)和緩解任何安全事件的能力;

· 以安全的方式使用云服務(wù)。

如果你將注意力放在合規(guī)上，很有可能沒(méi)有意義，即使一直在關(guān)注細(xì)節(jié)，看起來(lái)可能“完全合規(guī)”，但也只是在相對(duì)的一個(gè)時(shí)間點(diǎn)。

當(dāng)然，遵守規(guī)定是一件好事，但它并不能保護(hù)您免于破壞數(shù)據(jù)，也不能保證您的業(yè)務(wù)不會(huì)違規(guī)。 沒(méi)有證據(jù)支持這樣一種觀點(diǎn)：遵守規(guī)定會(huì)減少數(shù)據(jù)泄露的機(jī)會(huì)。

切合實(shí)際的保護(hù)

事實(shí)上，你不應(yīng)該罰款擔(dān)憂，倒是應(yīng)該擔(dān)憂股票價(jià)值，潛在的集體訴訟以及客戶的信任。 這不是像其他人一樣那般帶給你的恐懼，而是需要要提供一點(diǎn)切合實(shí)際的東西。

你不可能防止每一次可以想象的攻擊或事故，你也不應(yīng)該期望，但是你能否在保護(hù)這些數(shù)據(jù)方面表現(xiàn)出合理的措施? 你能對(duì)企業(yè)組織的數(shù)據(jù)做出那些合理的保護(hù)措施?企業(yè)的目標(biāo)不是制定規(guī)定，而是保護(hù)數(shù)據(jù)。

GDPR的關(guān)鍵，以及這個(gè)領(lǐng)域的其他法規(guī)，是整個(gè)組織數(shù)據(jù)保護(hù)的一個(gè)良好的方法。 這不是一個(gè)安全或技術(shù)問(wèn)題，而是一個(gè)整體的業(yè)務(wù)問(wèn)題。

僅僅關(guān)注GDPR合規(guī)本身就是錯(cuò)誤的。

GDPR只是最新的監(jiān)管主題，它是建立在1998年“數(shù)據(jù)保護(hù)法案”(DPA)的基礎(chǔ)上，該法案建立在對(duì)個(gè)人數(shù)據(jù)進(jìn)行處理和依法處理的基礎(chǔ)上。

這是一個(gè)新的規(guī)定，但對(duì)數(shù)據(jù)保護(hù)而言，已經(jīng)不足為奇。保護(hù)數(shù)據(jù)的要求一直存在，但是這又是一個(gè)絆腳石，對(duì)那些不能證明他們正在認(rèn)真對(duì)待數(shù)據(jù)保護(hù)的組織而言，可能會(huì)造成更嚴(yán)重的后果。

現(xiàn)在是時(shí)候停止不認(rèn)真地考慮數(shù)據(jù)保護(hù)這個(gè)問(wèn)題。 您的客戶，員工以及高級(jí)利益相關(guān)方和監(jiān)管機(jī)構(gòu)要求您保護(hù)數(shù)據(jù)，并且需要認(rèn)真對(duì)待。

合規(guī)就是無(wú)意義

企業(yè)、組織遵守法規(guī)，但仍然遭受了損失 - 這怎么可能?因?yàn)榈侥壳盀橹梗?大家只關(guān)注合規(guī)性。這只是一個(gè)很小的范圍，當(dāng)數(shù)據(jù)保護(hù)根本不在此范圍內(nèi)的時(shí)候。

當(dāng)然，最初的重點(diǎn)始終是“通過(guò)考試”，而不是真正的提高和成熟。 這幾乎總是一個(gè)時(shí)間點(diǎn)評(píng)估，只有在法規(guī)要求或?yàn)榱思{入年度報(bào)告時(shí)才會(huì)重新審查。

我們有多久看一次年度報(bào)告，董事會(huì)是在哪里提到對(duì)公司網(wǎng)絡(luò)安全的信心和專(zhuān)家的評(píng)估? 問(wèn)問(wèn)自己，這種評(píng)估是多么的靜止，調(diào)查的范圍，調(diào)查的徹底性以及其中的局限性?

數(shù)據(jù)保護(hù)的最為有效的方法是將數(shù)據(jù)保護(hù)嵌入到您的業(yè)務(wù)，戰(zhàn)略，轉(zhuǎn)型和商業(yè)安排中，按照此方法，這將加速形成數(shù)據(jù)保護(hù)的市場(chǎng)。

灰色地帶

今天有相當(dāng)數(shù)量的組織沒(méi)有向DPA投訴，所以我們不要假裝每個(gè)人都明天要遵守GDPR，甚至關(guān)閉。

然而，對(duì)法律的無(wú)知從來(lái)沒(méi)有達(dá)到很好的防御效果，一旦強(qiáng)制性報(bào)告于2018年5月生效，看看有多少企業(yè)、組織報(bào)告會(huì)存在違規(guī)。

GDPR的麻煩在于它是一個(gè)規(guī)定，法規(guī)很少是黑白的。 那里有很多灰色的東西，雖然它已經(jīng)被很好地考慮過(guò)了，在大多數(shù)情況下，一個(gè)外行人可以掌握基本知識(shí)。 我們只會(huì)通過(guò)不可避免的法庭案件和法律挑戰(zhàn)的結(jié)果來(lái)了解一些方面的最終定位。

需要足夠的專(zhuān)業(yè)知識(shí)和業(yè)務(wù)知識(shí)來(lái)對(duì)此做出合理的判斷。 在每一種情況下，這都取決于它，而且這總是一個(gè)基于風(fēng)險(xiǎn)的決定，但是如果你盲目的話，你會(huì)很糾結(jié)。

然而，從DPA下微不足道的數(shù)額來(lái)看，提高可能的罰款價(jià)值 - 高達(dá)2000萬(wàn)歐元或者占全球收入的4%可能意味著監(jiān)管者的意圖，而且我擔(dān)心這些等待的組織 - 看到態(tài)度，無(wú)意以任何方式符合2018年5月。

市場(chǎng)反應(yīng)

市場(chǎng)主要是談判合規(guī)，但是有一系列不同的解決方案。

讓我們從簡(jiǎn)單、沒(méi)有實(shí)際意義的評(píng)估開(kāi)始。 當(dāng)然，并不總是這樣，你得到你所付出的東西，但有一個(gè)復(fù)雜的主題，如數(shù)據(jù)保護(hù)，甚至GDPR，那么你真的會(huì)得到你所支付的。

接著，將會(huì)面臨更全面的咨詢活動(dòng)。 其中有多少涉及常規(guī)咨詢，以及他們能為數(shù)據(jù)保護(hù)推動(dòng)多少價(jià)值? 我已經(jīng)看到很多這些報(bào)告被放置一個(gè)積滿灰塵，這就是為什么它通常被稱為貨架。

沒(méi)什么不對(duì)的，但是我很難確定客戶在確定正確的后續(xù)步驟和優(yōu)先級(jí)方面的優(yōu)勢(shì)。

它需要認(rèn)真的實(shí)踐知識(shí)，經(jīng)驗(yàn)和商業(yè)上的同情來(lái)決定什么是可能的，應(yīng)該以什么順序來(lái)做什么，以及什么應(yīng)該被記錄和接受的風(fēng)險(xiǎn)。 事實(shí)是，顧問(wèn)沒(méi)有興趣賦予你權(quán)力。 在許多情況下都是按照你的思路進(jìn)行評(píng)估

有目共睹的方法

另一個(gè)常見(jiàn)的方法是在軟件系統(tǒng)中尋求解決GDPR /數(shù)據(jù)保護(hù)的某些方面。

例如，對(duì)數(shù)據(jù)進(jìn)行加密，是許多人提供的靈丹妙藥。 這聽(tīng)起來(lái)不錯(cuò)，但在實(shí)際的數(shù)據(jù)保護(hù)方面卻是非常盲目的做法，并且否定了沒(méi)有系統(tǒng)會(huì)發(fā)現(xiàn)所有數(shù)據(jù)的事實(shí)。 當(dāng)然，數(shù)據(jù)也需要被訪問(wèn)，所以加密不能成為處理開(kāi)銷(xiāo)。

作為一名攻擊者，我也許會(huì)做出一些妥協(xié)，可以合法訪問(wèn)一些數(shù)據(jù)，這個(gè)系統(tǒng)會(huì)為我解密，然后我就得到了你的數(shù)據(jù)， 這是阻力最小的路徑。

最終的共同產(chǎn)品可能來(lái)自數(shù)百家公司，他們認(rèn)為如果不首先了解您的業(yè)務(wù)，想要使您的企業(yè)符合GDPR規(guī)范，是不可能的。

每個(gè)企業(yè)都各自不一樣，獨(dú)特的處理數(shù)據(jù)的方式。 數(shù)據(jù)泄露也是如此 - 我們可以從違規(guī)組織中學(xué)到什么? 一點(diǎn)都沒(méi)有。

數(shù)據(jù)泄露的方式與你所在企業(yè)、組織所在領(lǐng)域息息相關(guān)，以至于有一些方式適用一些企業(yè)，有些方式不適用。

如果你不了解一個(gè)組織的細(xì)微差別和復(fù)雜性，他們的流程和未來(lái)愿景，那么你怎么能夠提出讓他們遵從任何事情呢? 這些現(xiàn)成的，一刀切的系統(tǒng)也是無(wú)用的。

很多組織為此花了很多資金，卻沒(méi)達(dá)到預(yù)期效果。

要DPO還是不要?

我們已經(jīng)認(rèn)識(shí)到了網(wǎng)絡(luò)技能的差距 - 或者說(shuō)是鴻溝。 我們可以爭(zhēng)論這個(gè)差距的廣度，但是確實(shí)存在。 如果你正在尋找適當(dāng)?shù)募夹g(shù)安全資源，那么差距就會(huì)擴(kuò)大。

現(xiàn)在我們有另外一個(gè)角色需要一些非常相似的專(zhuān)業(yè)知識(shí) - 也許不是那些已經(jīng)被拋棄的忍者級(jí)的例子，但是我們需要一個(gè)認(rèn)識(shí)到GDPR規(guī)則，數(shù)據(jù)保護(hù)主題，業(yè)務(wù)，流程和所有 隨之而來(lái)。

當(dāng)獵頭公司競(jìng)相填補(bǔ)技能缺口時(shí)，會(huì)出現(xiàn)一個(gè)很大的就業(yè)市場(chǎng)，對(duì)GDPR的嚴(yán)格解釋表明將需要數(shù)以萬(wàn)計(jì)的數(shù)據(jù)保護(hù)官員(DPO)，許多人員和組織 利用機(jī)會(huì)賺錢(qián)。

從你的角度來(lái)看，你怎么知道要尋找什么，或者你正在招聘或承包什么是好的? 大多數(shù)情況下，你將如何衡量它將被隱藏起來(lái)? 你可能會(huì)成為一個(gè)可怕的DPO，因?yàn)榇蠖鄶?shù)組織都是完全無(wú)知的，沒(méi)有任何辦法來(lái)測(cè)試他們的投資價(jià)值。

要找到合適的資源是很困難的，要有適當(dāng)?shù)臋?quán)力和報(bào)酬才能把握好這一點(diǎn)。 這很難，但如果你做對(duì)了，也是非常可行的。

真正的從業(yè)者

當(dāng)你，你可以外包DPO。 這也不錯(cuò)，但，大多數(shù)咨詢公司將不會(huì)提供有豐富經(jīng)驗(yàn)的人，因?yàn)闆](méi)有那么多人去。

我會(huì)建議了解DPO在這個(gè)領(lǐng)域以及在哪里做過(guò)的外包工作。 如果他們只做過(guò)理論，那就不要雇用他們。

尋找一個(gè)懂得真正評(píng)估一個(gè)組織的人，并明白正面的變化 - 一個(gè)了解風(fēng)險(xiǎn)和業(yè)務(wù)流程的人。 他們很難得到，但是為什么你要雇用DPO，除非你認(rèn)真對(duì)待數(shù)據(jù)保護(hù)?

當(dāng)您查看涵蓋DPO要求的GDPR第39條中規(guī)定的技能組時(shí)，您不認(rèn)為這個(gè)人對(duì)您的團(tuán)隊(duì)是一個(gè)很好的補(bǔ)充嗎? 除非你只是勾選了“我有一個(gè)DPO”框，在這種情況下，祝你好運(yùn)。

DPO應(yīng)該是一個(gè)適當(dāng)?shù)膶?shí)踐者 - 不是一個(gè)業(yè)余愛(ài)好者或剛剛畢業(yè)的大學(xué)畢業(yè)生，而應(yīng)該是了解數(shù)據(jù)保護(hù)，具有這方面實(shí)踐經(jīng)驗(yàn)的人。不要去找只是對(duì)理論知識(shí)懂得全面的人，而要去找一個(gè)在復(fù)雜的組織中工作的人，他們?nèi)匀荒軌蛱峁?duì)業(yè)務(wù)運(yùn)作透明并支持業(yè)務(wù)愿景的積極成果。

你做錯(cuò)嗎?

如果您試圖以低廉的價(jià)格實(shí)現(xiàn)這一目標(biāo)，因?yàn)槟鸁o(wú)法看到強(qiáng)大而有彈性的數(shù)據(jù)保護(hù)策略的價(jià)值，那么您就錯(cuò)了，而且您正在冒很大的風(fēng)險(xiǎn)。

數(shù)據(jù)保護(hù)不一定很昂貴。 它需要集中在正確的領(lǐng)域，從現(xiàn)在的位置提供明顯的回報(bào)和顯著的改善。 為了獲得現(xiàn)在的位置，你必須了解業(yè)務(wù)。 這不可能發(fā)生任何其他的方式。

評(píng)估是使組織成為明智的客戶并尋求修復(fù)具體風(fēng)險(xiǎn)的關(guān)鍵，為法律團(tuán)隊(duì)和董事會(huì)提供可以辯護(hù)的立場(chǎng)。 證明數(shù)據(jù)保護(hù)計(jì)劃正在產(chǎn)生積極的影響，即使只是為了您的律師，也會(huì)有很多快速的勝利。

經(jīng)營(yíng)策略

數(shù)據(jù)保護(hù)應(yīng)該是企業(yè)戰(zhàn)略和業(yè)務(wù)轉(zhuǎn)型的核心。 它使您能夠默認(rèn)構(gòu)建數(shù)據(jù)保護(hù)。 這不是一件容易的事情，但是這是一項(xiàng)商業(yè)上的必要措施，它使您能夠在數(shù)據(jù)透明度和維護(hù)方面利用您的轉(zhuǎn)變來(lái)獲得優(yōu)勢(shì)。

如果您對(duì)程序進(jìn)行數(shù)據(jù)保護(hù)，則可能會(huì)將成本降低大約三分之一。 安全或數(shù)據(jù)保護(hù)的改進(jìn)是艱難的，繁瑣的，昂貴的，并且往往不利于整體業(yè)務(wù)結(jié)果的變化。 預(yù)先構(gòu)建它可以讓您構(gòu)建透明的數(shù)據(jù)保護(hù)，而不會(huì)妨礙預(yù)期的業(yè)務(wù)成果。

太頻繁改變策略的公司會(huì)錯(cuò)過(guò)適應(yīng)或利用變化的機(jī)會(huì)。 檢測(cè)“故障線路”對(duì)于生存至關(guān)重要，而當(dāng)涉及到保護(hù)數(shù)據(jù)的企業(yè)目標(biāo)時(shí)，您可能會(huì)認(rèn)為：作為企業(yè)領(lǐng)導(dǎo)者，您在哪里丟失或解散了您的重大故障的所有警告信號(hào) 商業(yè)?

要知道如何做到這一點(diǎn)，不要只是想“購(gòu)買(mǎi)”數(shù)據(jù)保護(hù) - 這是行不通的。