数据意识新时代的GDPR合规性

随着最近的谈话和事件将隐私和数据监管问题推向前沿,美国主要科技公司正在花时间重新思考并重新评估他们如何处理客户数据。最近几周,您可能会收到来自您的应用和网络服务的电子邮件和通知,告知您更新的条款和服务:几乎所有这些都归功于欧洲联盟通用数据保护法规(GDPR)的全面制定。全球数以万计的企业和组织迅速为5月25日的截止日期做好准备,许多主要的网络资产和业务(如Twitter)甚至发布了更新的政策以符合GDPR。 尽管公司已经有两年多的时间来准备这项立法,但国际隐私专业人士协会(IAPP)最近的一项研究表明,40%的公司仍然落后于计划,并且只有在截止日期已过的情况下才能达到合规要求。 。然而,虽然许多欧盟成员国公开表示他们可能缺乏执行GDPR的资源,但未遵守规定可导致罚款高达全球年收入的4%或2000万,以较高者为准。 如果您的公司正在努力实现合规性或不知道从哪里开始,请按照以下提示制定有效的GDPR合规行动计划: 获得知名度。 你无法保护你看不到的东西。这个建议听起来很基本,但大多数公司对连接到其网络的数百万个端点的复杂网络的可见性有限。当今全球化经济中的工作人员总是随时随地使用笔记本电脑,移动设备和平板电脑,随时随地访问敏感的公司数据。事实上,最近Ponemon Institute的一项调查发现,55%的易受攻击的端点也包含敏感数据。从合规的角度来看,这是一个令人震惊和恐慌的统计数据。 Adaptiva的2017企业端点安全调查还发现,55%的参与者认为应该每天在公司范围内的每个端点上运行安全策略合规性检查。但是,许多公司缺乏这种安全级别的资源。对于构建GDPR合规策略的组织而言,它不仅要关注其核心服务器基础架构,还要识别和监控其端点,这一点至关重要。 Clutch的一项研究显示,虽然64%的员工使用公司认可的设备,但只有40%的员工因使用个人设备进行工作而受到监管。您的网络中存在大量客户数据,这意味着单个丢失,被盗或受损的设备可能会给您的组织带来很大的痛苦。 评估情况。 一旦建立了可见性并且您可以更好地了解数据(和客户数据)的位置,就可以花时间评估当前的安全基准。花些时间准确了解资产上的控件,这些设备上运行的软件和操作系统,当前的补丁级别,以及最重要的是,保护这些设备上的数据的具体保护措施。全盘加密在您的设备上不再是一件好事,并且反对它的论据不再像以前那样重要。我们从同样的Ponemon研究中了解到,目前有23%的终端存在于未修补状态,36%的企业无法证明合规性。对于组织进行这些内部审计至关重要,这样他们就可以制定有效的事件和数据泄露响应程序。 堆叠你的团队。 从那里,公司必须确保他们拥有合适的团队。俗话说,最好的进攻是一个很好的防守,所以一定要把你所有的基地和座位都放在替补席上。许多IT团队错误地认为他们可以自己完成所有工作,但与安全团队一起工作并立即涉及法律顾问内部或外部是很重要的。与管理人员接触以确保您拥有必要的资源也是至关重要的,因为您的公司可能需要招聘新员工或转移内部资源以达到并保持合规性。目前,IAPP估计,由于GDPR,欧洲和美国将需要28,000多名数据保护官员,全球将需要近75,000名数据保护官员。这项前所未有的立法要求所有人掌控,并全面参与战略团队合作。 主动。 在北美,类似的法律可能会成功,尤其是在最近围绕数据隐私和滥用个人信息的骚动之后,并非无法想象。 IBM最近的一项民意调查显示,78%的受访者表示,公司保持数据私密性的能力至关重要,但令人惊讶的是,只有20%的受访者信任企业维护其数据的安全性。这是一个需要缩小的重大差距。最近,加拿大宣布其新的数据泄露法规将于11月1日生效。在实施GDPR合规战略时,为美国类似法规的可能性做准备是一个安全且可能是个好主意。随着我们进入消费者隐私和数据意识提升的新时代,企业需要展示其保护用户的能力,不仅要求强制合规,还要在消费者之间建立信任,最终影响业务底线。除此之外,您的组织还需要确保他们在文化上准备好表达他们所说的内容:培养将客户隐私放在第一位的文化将导致正确决定如何使用,处理和保护数据。 GDPR是一项历史性立法,在收集和保护个人数据方面已经改变了游戏规则。惩罚措施已经广泛纳入立法,并且不值得冒险看看第一波装备不良的公司将如何发展。执行基于可见性,有效审计和IT,安全和法律部门专业团队的行动计划将有助于确保您的组织符合GDPR标准,并为将来的法规做好准备。

评论