最近隱私問題成為了各大企業(yè)考慮的重點(diǎn)，尤其是在《通用數(shù)據(jù)保護(hù)條例》(GDPR)將于5月25日正式生效的時(shí)候。在歐洲做生意的公司如今得為數(shù)據(jù)泄露所引發(fā)的破壞承擔(dān)很重的責(zé)任，不得不竭盡所能地保持合規(guī)。

[[229643]]

Gartner預(yù)測，歐洲公司在確保合規(guī)上的花費(fèi)平均為140萬美元，而美國公司則是100萬美元。這筆開支是很值的——違反GDPR的罰款比合規(guī)開支要多出很多倍，更別提還有大筆的法律費(fèi)用、額外的保費(fèi)和對品牌信譽(yù)的傷害。

有鑒于合規(guī)所涉及的人力財(cái)力投入，以及一旦發(fā)生數(shù)據(jù)泄露所承受的罰款風(fēng)險(xiǎn)，公司企業(yè)如今非常能夠理解該為自己所面臨的新現(xiàn)實(shí)做出準(zhǔn)備了。

GDPR不應(yīng)該成為憤怒的誘因。相反，公司企業(yè)應(yīng)將該新規(guī)定視為強(qiáng)化自身業(yè)務(wù)過程和更好地防止數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊的機(jī)會(huì)。同時(shí)GDPR的生效，也為公司企業(yè)帶來了以其要求為指揮棒，強(qiáng)化公司整體安全和合規(guī)態(tài)勢的機(jī)會(huì)。

GDPR能為企業(yè)帶來的三個(gè)主要好處是：

1. 專屬品牌保護(hù)

過去幾年中對Equifax、雅虎等大公司的大規(guī)模網(wǎng)絡(luò)攻擊，嚴(yán)重挫傷了這些公司的品牌和信譽(yù)。如果這些網(wǎng)絡(luò)攻擊事件發(fā)生在新規(guī)實(shí)施之后，那其后續(xù)影響中就還得加上大額的罰款，也就會(huì)迫使公司安全團(tuán)隊(duì)采取格外的措施保護(hù)公司的公眾形象。這是件好事兒，因?yàn)闀?huì)讓公司企業(yè)在設(shè)立、改變或擴(kuò)展業(yè)務(wù)過程的時(shí)候都能考慮到安全。

2. 整體安全考慮

GDPR為安全團(tuán)隊(duì)帶來了機(jī)會(huì)，讓他們可以在整個(gè)公司范圍內(nèi)開發(fā)并部署健壯的過程以檢測、調(diào)查、響應(yīng)和報(bào)告威脅。從一開始就將安全融入到業(yè)務(wù)過程中而不是事后才添加，可以在平滑各項(xiàng)操作的同時(shí)更好地抵御內(nèi)部和外部威脅。

3. 促進(jìn)創(chuàng)新

GDPR合規(guī)無疑能改善數(shù)據(jù)處理和威脅檢測，讓企業(yè)能夠加速內(nèi)部和外部的創(chuàng)新與協(xié)作——因?yàn)槠髽I(yè)提升了對自身業(yè)務(wù)過程完整性和安全性的自信。

有了這些好處擺在眼前，公司企業(yè)又該怎樣更新他們的網(wǎng)絡(luò)、安全過程和操作，以確保能夠完全利用上GDPR帶給他們的機(jī)會(huì)呢?

下面三個(gè)關(guān)鍵步驟可供公司企業(yè)參考：

1. 獲得所需的可見性

GDPR基本上管的就是哪些類型的數(shù)據(jù)類型可以被收集和記錄，以及這些數(shù)據(jù)的處理和存儲(chǔ)方式。公司企業(yè)需對自身基礎(chǔ)設(shè)施和業(yè)務(wù)過程擁有完整的可見性，這樣才能在歐盟范圍內(nèi)有效監(jiān)視和保護(hù)數(shù)據(jù)，并提供公司全球網(wǎng)絡(luò)的完整視角。然而，與所處環(huán)境無關(guān)，GDPR的一個(gè)基本部分是數(shù)據(jù)必須匿名化，限制數(shù)據(jù)可以被看到的多寡。

對廣泛可見性的需求與敏感信息模糊化的需求看起來似乎是自相矛盾的。但有一些工具和方法可以讓二者協(xié)調(diào)統(tǒng)一。最早為保護(hù)個(gè)人可識別信息(PII)數(shù)據(jù)而開發(fā)出來的數(shù)據(jù)打碼技術(shù)就很適合GDPR合規(guī)，也是一些高級網(wǎng)絡(luò)數(shù)據(jù)包處理引擎的功能之一。IT和安全團(tuán)隊(duì)可以利用該功能設(shè)置需打碼的任意數(shù)據(jù)類型或偏移——信用卡記錄、身份證號、IP地址等等。另外，支持用戶數(shù)據(jù)地理位置信息的高可見性架構(gòu)，也有助于識別源于歐盟的流量。數(shù)據(jù)打碼和地理位置信息(無論有沒有加密)結(jié)合起來能有效驅(qū)動(dòng)GDPR合規(guī)。

2. 加密很重要

數(shù)據(jù)加密是數(shù)據(jù)防護(hù)的重中之重。完全加密互聯(lián)網(wǎng)的趨勢正在延續(xù)，而在GDPR之下，數(shù)據(jù)加密明顯被作為解決個(gè)人數(shù)據(jù)安全問題的合法方式，同時(shí)還能在發(fā)生數(shù)據(jù)泄露時(shí)一定程度上規(guī)避起訴。

不過，也有企業(yè)擔(dān)心威脅可能會(huì)藏身于SSL加密的數(shù)據(jù)流中，因?yàn)橐恍﹤鹘y(tǒng)安全設(shè)備和監(jiān)視解決方案并不具備處理加密數(shù)據(jù)流的功能。不過高級網(wǎng)絡(luò)包代理可以解密數(shù)據(jù)包，并將明文數(shù)據(jù)發(fā)送給安全及監(jiān)視解決方案，讓它們可以嗅探出威脅和惡意載荷，再重新加密數(shù)據(jù)并繼續(xù)轉(zhuǎn)發(fā)。加密與數(shù)據(jù)打碼聯(lián)動(dòng)便能保護(hù)存儲(chǔ)的數(shù)據(jù)和傳輸中的數(shù)據(jù)。

3. 確保完整性，可用性和彈性

全面的可見性架構(gòu)，不僅僅監(jiān)視數(shù)據(jù);在防護(hù)企業(yè)免遭越來越先進(jìn)的網(wǎng)絡(luò)安全攻擊方面也很關(guān)鍵。如果企業(yè)不能對流經(jīng)自身網(wǎng)絡(luò)的所有流量擁有完整可見性，網(wǎng)絡(luò)罪犯就能利用漏洞和盲點(diǎn)滲透進(jìn)網(wǎng)絡(luò)并盜取數(shù)據(jù)。可見性幫助安全團(tuán)隊(duì)縮小整體的網(wǎng)絡(luò)攻擊界面，堵上防御漏洞。

安全彈性也是GDPR的關(guān)鍵，而可見性正是通過快速發(fā)現(xiàn)并解決異?；蛘谶M(jìn)行中的攻擊來確保安全彈性。這可加快對潛在數(shù)據(jù)泄露的響應(yīng)，限制傷害并最小化風(fēng)險(xiǎn)。

GDPR是合規(guī)領(lǐng)域長時(shí)間以來影響最深遠(yuǎn)最為復(fù)雜的條例之一，而在公司中推行必要的改變以符合GDPR的要求并沒有那么容易。不過，只要公司企業(yè)采取正確的方法強(qiáng)化自身安全過程，GDPR反而會(huì)成為他們增強(qiáng)自身安全態(tài)勢的契機(jī)，其效果遠(yuǎn)比簡單勾選合規(guī)列表好得多。