GDPR合规性:谁的工作是它,这是真的有可能吗?
对IT决策者的供应商产生的调查对企业网络安全景观不同方面的态度是安全新闻的主题,主题从网络钓鱼到僵尸网络,恶意软件和赎金软件到云原生攻击,当然现在是现在的受欢迎的欧盟(欧盟)一般数据保护条例(GDPR)立法。
现在已经生效的GDPR已经有近18个月,已经看到了几家大公司,最符合英国航空公司和万豪酒店连锁店,与信息专员办公室(ICO)的大量罚款击中,并在过去几周之外,代表出口,Manageengine和Capgemini等公司生产的多项单独研究报告了该主题。
但是,从这些调查数据的最多的练习型阅读,自我报告的合规性级别,一般而言,这是丰富的。
例如,Capgemini表示,28%的公司合规,30%的公司接近所以。另一方面,出口报告称,48%的决策者表示,它们符合且42%主要是如此 - 一种稍微乐观的p。然而,其报告还指出,对于超过30%的受访者,合规是自2018年5月以来的优先事项清单。
与此同时,管理生命表示,56%的中小型企业(中小企业)表示,他们完全符合,36%正在努力,与70%的企业报告遵守,28%表示这是一项工作进行中。
它还发现,他们现在符合法规的公司数量少于表示在GDPR进入之前所说的人数。
那么统计数据背后是什么?真相在哪里撒谎?GDPR合规性实际上是什么样的?
在由管理期召开的圆桌会议上,将其在英国2019年报告中标记其第三届年度的公布 - 这是2019年6月在中小企业和企业中调查的400名决策者 - 安全和隐私专家专家小组辩论了一些该公司与GDPR有关的调查结果,以及显而易见的第一件事是任何问题都没有直接答案。
“GDPR在黑白中并不总是很好地定义 - 当你进入它时,你意识到有不同的解释和实施方式,”欧洲议长尊敬的祖先董事Zoho欧洲董事总经理Sridhar Iyengar说。
IAN FISH,英国计算机社会(BCS)安全和隐私主管主席说:“你会得到不同的答案,因为GDPR不是在很多领域的规范。这是对你所做的事情的规范,但实际细节没有规定。“
但这可能实际上是一件好事,鱼补充道。“GDPR被编写以试图将未来的证据本身有点证明,这意味着不是规定的。这也许是法律其他领域如何跟上推进技术的一个例子。“
独立分析师Bob Tarzey同意,说:“GDPR不是一个规范的规则,所以你不能遵守它本身,但你可以尝试确保您的业务流程符合规定的期望。”
吉尔斯沃特金斯,英国国家领导国际隐私专业人士协会(IAPP),表示,一个核心问题,解释了不同的人设想遵守方式与他们如何接近法规开始。
“有三个泡沫 - 隐私,身份和安全性,”他说。“人们认为这些是一样的,但它们不是。有很强的重叠,但它们是非常不同的学科。“
Watkins解释说,私隐,从法律职业开始,并被融入其中,而安全性始于IT世界,而且身份在两者之间坐在两者之间,因为人类与它的相互作用。
“这意味着如果您向IT人员,律师或负责客户服务的某人,他们是否符合GDPR,则会得到不同的答案。”“你得到了令人难以置信的答案。我认为这是你在询问的背后的一部分。“
愉快地,似乎还响应这些调查的人也在诚实地回答问题,至少尽力而为。IAPP最近对安全治理进行了调查,与咨询ey一起工作,其中43%的受访者表示,他们只符合GDPR,沃特金斯说,他对大多数人的准备人士们的坦率感到惊喜如果雇主被违反,特别是CisoS和其他安全专业人员,那么如果雇主遭到破坏,那就在线。
“真相是,组织可能已经PD了他们需要做的事情,并且他们很舒服,他们有一个计划,”沃特金斯说。
但他补充说,拟订的适当计划符合要求将需要数年才能实施,因为它是多方面的 - 其中一些关于内部变化,其中一些关于标准化,一些关于数据审核,一些关于退休遗留系统的标准化 - 以及这些都是关于退休遗产系统的一些关于数据审计的一夜之间会发生的事情。
这是什么?当他们看到关于GDPR合规性的故事时,安全专业人员不得恐慌。
实际上,Watkins说,它非常不可能能够达到它可以达到它可以说明甚至是GDPR兼容的那一点。为什么要这样做?它涉及如何在现在的企业中管理数据。
“遵守GDPR时,最艰难的任务是定位非结构化数据,”他说。“我们知道我们有什么,它在哪里?”
这个问题的答案是“完全完全”,因为众多因素,例如不互相交谈的传统系统,具有不同备份的多个站点,以及持有没有人曾经知道的数据的影子装置肯定存在。
事实上,这也是Capgemini的调查数据的外带之一,这表明企业的三分之一的企业队伍设备是他们最大的GDPR挑战。
虽然有工具可以搜索这些数据存储库并确切地找到企业所做的,但它们绝不是完美的,而且仍然有很多手动筛选,沃特金斯说。
“这是正在进行的,它一直在变化,它必须不断更新,这不是一次性练习,”他说。“这意味着你需要做很多资源来做gdpr,并且很多资源需要留在那里。
“这是昂贵的一点。很多人支付顾问要做很多这些项目并说他们符合要求,但他们符合的那一刻,他们开始遵守合规性,它保持了这一点,这是真正的挑战。“
沃特金斯补充说:“如果任何组织完全符合,但他们会理解他们需要做些什么,他们有信心,他们是否相信他们是正确的道路?那些PS更高。“
实际上,IAPP的数字似乎表明,GDPR周围的投资开始趋花 - 虽然它仍然很高 - 随着安全专业人士的增长更加自信,他们已经围绕着关键点并制定了一个可行的行动计划。
同样重要的是要注意,有一些轶事证据表明,内部,ICO正在采取景点,即它并没有真正期望每个人的GDPR符合要求是水密的,但如果它看到了计划的证据,并进展到了目标,如果业务遭到破坏,它将不得不达到营业额的最高4%,因为尽管有最大的努力,但它是不幸的。另一方面,自满将受到惩罚。
凯文·达菲,网络和安全学院融合的联合主席,英国的安全从业者最大的专业会员机构,以及信誉管理公司网络救援的董事总经理,表示,他认为GDPR在组织内刺激文化变革,以及这有可能是非常有效的。
“当我还是个孩子的时候,有文化变革,因为法律说我的父母不得不告诉我在安全带上,”他说。“我觉得我们所有人现在,每次我们进入车时,无论是法律还是不是,我们都会搭配安全带。
“GDPR正在帮助企业看到他们已经陷入了诸如危险的阴影和数据,他们可以被罚款4%的营业额,他们的声誉可能会被抨击。
“如果文化改变,每次企业引入新的平台或服务时,那么最终会发生,哦,我们会在安全带上吗?”