来自 应用 2021-05-02 17:02 的文章

ddos防御_香港服务器防御_新用户优惠

ddos防御_香港服务器防御_新用户优惠

CISOs:在GDPR中你能控制什么,ddos防御程序,你不能控制什么关于GDPR(通用数据保护条例)有很多令人困惑的言论。我想帮忙清理一下。我不是一个GDPR专家;但是,我是一个CISO,在风险管理和信息安全计划的实施方面有很深的经验。我领导自己组织的GDPR准备活动,并且我已经学习并通过了C-GDPR-P数据保护官/DPO认证。我工作的一部分是在同级层面上与安全执行官接触:圆桌会议、焦点小组,你会明白的。尽管我试图将话题引向云安全、恶意软件分析和微周边化,但GDPR似乎是目前最热门的话题。关于GDPR最大的误解是你是否可以根据规定控制数据,以及你是否应该这样做。首先,你不可能控制一切——事实上,正如我最近告诉安全领导人的那样,我估计80%的GDPR相关数据甚至不在CISO的控制之下。以拥有数百家商店的零售商的CISO为例。你不能单方面控制数据在哪里,哪些部门有它,他们为什么收集这些数据,那么你怎么可能扮演伪数据所有者的角色呢?从另一个角度来看,大规模DDoS攻击的最佳防御点,把日历往后推几十年是有帮助的。在我们都有MacBooks之前,cdn高防和服务器配置有关吗,想想会计和营销公司。如果GDPR是在我们都使用纸质和文件柜进行会计核算时出现的,那么您会要求IT部门的人员帮助您对信息进行分类,或者执行数据流分析吗?你不会的,因为那不是它的工作。那么为什么那么多公司决定所有的数据和过程都需要IT来管理?当然,关键业务流程是数字化的——当然绝大多数都是数字化的。但是,仅仅因为数据以数字形式存在于一个有闪光灯的服务器上,并不意味着所述系统的设计者或操作员理解存储或处理在其上的数据。GDPR是关于授权数据主体,让他们控制公司如何以及在哪里使用他们的信息。它是关于确保控制器(和处理器)以透明的方式执行数据处理。它是关于确保信息不会因为没有而无限期地留在服务器上对储存它的公司来说,100m带宽可防御ddos流量,使用时间更长。虽然安全功能可以帮助"如何"保护数据,但在确定数据收集的"原因"时,我们通常很少使用。说到GDPR,CISO"拥有"什么?我必须一年写200次以下句子:"安全功能是为了应用与信息分类相称的控制,而不是定义它!"别误会我:CISO和她的团队是信息隐私不可或缺的一部分。如果我们想讨论GDPR的"所有权",我会说CISO"拥有"跨业务职能部门的GDPR责任原则6,即数据应"以适当的方式进行处理以保持安全"。团队需要定义信息是否合法处理,如果我们知道为什么收集这些信息,我们确信在持续的容量,我们有一个更新数据的过程,我们只保留必要的时间。在确定了这一点之后,与CISO讨论如何保护信息是公平的。风险管理是CISO的一个关键考虑因素,也是我广泛撰写的内容(请参阅本系列文章的四个部分,介绍如何向董事会交付有意义的指标)。公司信息风险管理框架需要足够灵活,不仅要衡量对保密性、完整性和可用性的影响和可能性,还要衡量隐私和个人数据。DPO和CISO需要合作——假设他们不是同一个人。你怎么可能顺从呢?另一个需要记住的重要概念是:GDPR不是一个解决法规遵从性问题的万能工具。这是一项与数据相关的法规,确保组织收集和存储的信息用于合法目的,并且在不再需要时将其删除。GDPR不像PCI DSS那样具有规定性,例如,PCI DSS Requirement5谈到了具有和使用防病毒。在GDPR中没有什么规定性的——只是一些关于使用最先进安全性的模糊术语。信息隐私和安全合规性当然需要一个控制框架来衡量,对吧?让我们看看PCI DSS的遵从性,这是(相对)容易的。PCI DSS是一系列明确制定的控制目标,其中大部分与infosec相关。安全设计/加密团队确保支付卡数据得到适当加密,而安全保证团队安排笔试并努力纠正发现的问题。一旦他们感到舒服,他们会找有资格的安全评估师(QSA)。合规性以百分比表示。现在,让我们将GDPR镜头应用于上面的遵从性示例。我对这个前提的问题是,qas对于GDPR将不存在。这不是一个需要解决的安全问题。诚然,QSA对你的"PCI DSS合规性"的评估不应被视为你是违约证明的橡皮图章(只需询问目标公司)。但至少我们在沙滩上有一条线。对于GDPR,当你第一次知道你的控制有多强大的时候,你会发现一个漏洞。这不是有点像你出了车祸就参加驾驶考试吗?法规遵从性不是GDPR的目标;保护数据和最大限度地减少个人信息的收集和保留才是目标。所以,让我们把它放在范围内。是欧洲的东西吗?(不是)有些地方存在一种误解,认为GDPR只适用于在欧洲国家拥有实体基础设施的公司。错了!如果你在欧洲,并且你在欧盟购买产品或服务,那么是的,你被保险了。从技术上讲,公民身份不是关键。如果你是欧盟公民,住在美国,购买美国商品,被运往美国地址,那么不,GDPR不一定适用。不过,也有一些边缘情况:GDPR第3条和第4条提到,如果非欧盟国家正在处理欧盟某个数据主体的信息,那么它就属于范围之内。如果你正在处理或存储一个欧洲公民的个人信息,你就在GDPR的范围之内。非欧洲经济区(EAA)的公司可以显示出控制的"等效性"——这是美国人目前通过隐私保护(Privacy Shield)为欧盟1995年指令所做的事情。隐私保护在GDPR之后会是什么样子?当然,许多原则将保持不变,但解释和执行肯定会有所不同。技术不一定是灵丹妙药,我很欣赏GDPR将成为安全和风险供应商的大生意。然而,销售"银弹"也有危险,即声称解决方案将为您提供一种解决GDPR问题的安全方法。在我看来,安全供应商可以通过以下方式帮助解决GDPR:为客户提供方便和专业的参与,以帮助完成供应商评估,以及隐私影响评估。提供本质上提供"设计隐私"的解决方案,最大限度地减少数据收集,并提供混淆和假名化功能。提供允许在欧盟内部保留信息的解决方案。在第三国处理信息时,提供控制的透明度/充分性。让我们从供应商声称的"我们可以为您解决GDPR"这一说法(在这篇文章中,我的一位朋友以一种绝妙的方式讽刺了有前途的供应商。)一旦一个组织了解了其数据所在的位置,就有了技术解决方案可以降低数据泄露的风险。总而言之,让我们回到本文最初的前提:GDPR的80%是CISO无法控制的。那么,高防盾cdn,对于外界认为这是一个安全问题的看法,CISO该怎么办?因此,为了保护数据的隐私,允许数据泄露很可能是一个严重的错误,应该有针对这种事件的保护措施。因此,最好的防守就是进攻。这包括技术和实践驱动的纵深防御技术,每个CISO都应该是一名称职的实践者。但这也意味着我们要发挥作用,教育我们的董事会、高管和其他员工在保护数据方面的作用:选择支持GDPR原则的系统和实践,以及维护保护客户数据的实践。