欧盟的通用数据保护条例(GDPR)于5月生效,要求所有处理欧盟公民数据的组织遵守其有关收集和使用个人数据的规定。但是,许多员工仍然不了解保持数据安全所需的政策。
“数据隐私是GDPR生效的热门话题,” CIPHER Security的技术总监Dave Rickard说。“很多公司可能认为他们没有接触过它,但其中有很多变数。”
例如,一家在线零售商Rickard与欧盟的许多客户合作,但无法将其与网站进行地理定位,这就不符合GPPR。另外,虽然有的公司不与欧盟公民合作,但在那里拥有数据处理和存储设施,这些设施也受GDPR的约束。
Rickard说,GDPR可能会影响其他国家的数据隐私政策。然而,文化差异,特别是欧盟和美国之间的差异,可能会使这一点变得困难。
“在欧盟,人们非常关注以下观点:'我的名字,我的社会安全号码,我的护照信息,关于我的所有PII都属于我。这是我个性的一部分,'”他说。“在北美,人们早就采用了这种观点,而不是数据就是货币。有很多商业模式建立在它上面。数据就是金钱。”
Rickard说,大多数需要遵守GDPR的公司还没有。“我说现在的合规性最多只有35%左右或40%左右,”他说。“我认为很多人都采取观望态度。”
Rickard说,像Facebook,谷歌和亚马逊这样的大型企业将成为煤矿中的金丝雀。“我认为他们将首先对他们采取行动,人们将等待,看看实际的GDPR惩罚是否与他们发布的方式相符。”
未能遵守GDPR的公司将面临全球收入的4%或2000万欧元的罚款,以较高者为准。
根据Rickard的说法,以下是公司必须确保实施的五种政策,并在GDPR时代培训员工。
1.加密政策
Rickard说,大多数公司缺乏有关数据加密的政策。“大多数数据拥有者都不知道他们的数据是否在静止时加密,”他补充说。“GDPR在静态加密方面很重要。”
2.可接受的使用政策
Rickard表示,可接受的使用政策应涵盖诸如允许哪些应用程序,适合业务的网络搜索和社交媒体习惯,以及对品牌声誉的潜在威胁等内容。
3.密码政策
密码仍然是进入黑客组织的常见数字切入点。即使在最好的情况下,员工使用经常更改而不是共享的复杂密码,人为错误和粗心仍可能使企业面临风险。“破坏公司的最简单方法之一就是把一个人放在清洁工人身上,然后去看办公桌,”里卡德说。“人们经常在显示器上贴上便签,上面有密码。”
4.电子邮件政策
Rickard表示,IT部门应制定电子邮件策略,以加强系统并检测垃圾邮件和病毒。“可以通过电子邮件披露的那种信息应该非常清楚地说明,”他补充道。
5.数据处理政策
Rickard说,公司需要进行数据处理流程映射,以查看正在收集的数据,处理方式以及谁正在接收处理过的副本。“GDPR关闭了所有这些差距,”他补充说。
Rickard说,员工培训对于确保实施这些政策至关重要。提高对威胁状况和常见漏洞的认识有助于抵消人为错误。
“安全意识和培训是任何安全计划的基石,”他补充道。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。