最近隱私問題成為了各大企業(yè)考慮的重點，尤其是在《通用數(shù)據(jù)保護條例》(GDPR)將于5月25日正式生效的時候。在歐洲做生意的公司如今得為數(shù)據(jù)泄露所引發(fā)的破壞承擔很重的責任，不得不竭盡所能地保持合規(guī)。

[[229643]]

Gartner預測，歐洲公司在確保合規(guī)上的花費平均為140萬美元，而美國公司則是100萬美元。這筆開支是很值的——違反GDPR的罰款比合規(guī)開支要多出很多倍，更別提還有大筆的法律費用、額外的保費和對品牌信譽的傷害。

有鑒于合規(guī)所涉及的人力財力投入，以及一旦發(fā)生數(shù)據(jù)泄露所承受的罰款風險，公司企業(yè)如今非常能夠理解該為自己所面臨的新現(xiàn)實做出準備了。

GDPR不應該成為憤怒的誘因。相反，公司企業(yè)應將該新規(guī)定視為強化自身業(yè)務過程和更好地防止數(shù)據(jù)泄露和網(wǎng)絡攻擊的機會。同時GDPR的生效，也為公司企業(yè)帶來了以其要求為指揮棒，強化公司整體安全和合規(guī)態(tài)勢的機會。

GDPR能為企業(yè)帶來的三個主要好處是：

1. 專屬品牌保護

過去幾年中對Equifax、雅虎等大公司的大規(guī)模網(wǎng)絡攻擊，嚴重挫傷了這些公司的品牌和信譽。如果這些網(wǎng)絡攻擊事件發(fā)生在新規(guī)實施之后，那其后續(xù)影響中就還得加上大額的罰款，也就會迫使公司安全團隊采取格外的措施保護公司的公眾形象。這是件好事兒，因為會讓公司企業(yè)在設立、改變或擴展業(yè)務過程的時候都能考慮到安全。

2. 整體安全考慮

GDPR為安全團隊帶來了機會，讓他們可以在整個公司范圍內(nèi)開發(fā)并部署健壯的過程以檢測、調(diào)查、響應和報告威脅。從一開始就將安全融入到業(yè)務過程中而不是事后才添加，可以在平滑各項操作的同時更好地抵御內(nèi)部和外部威脅。

3. 促進創(chuàng)新

GDPR合規(guī)無疑能改善數(shù)據(jù)處理和威脅檢測，讓企業(yè)能夠加速內(nèi)部和外部的創(chuàng)新與協(xié)作——因為企業(yè)提升了對自身業(yè)務過程完整性和安全性的自信。

有了這些好處擺在眼前，公司企業(yè)又該怎樣更新他們的網(wǎng)絡、安全過程和操作，以確保能夠完全利用上GDPR帶給他們的機會呢?

下面三個關(guān)鍵步驟可供公司企業(yè)參考：

1. 獲得所需的可見性

GDPR基本上管的就是哪些類型的數(shù)據(jù)類型可以被收集和記錄，以及這些數(shù)據(jù)的處理和存儲方式。公司企業(yè)需對自身基礎設施和業(yè)務過程擁有完整的可見性，這樣才能在歐盟范圍內(nèi)有效監(jiān)視和保護數(shù)據(jù)，并提供公司全球網(wǎng)絡的完整視角。然而，與所處環(huán)境無關(guān)，GDPR的一個基本部分是數(shù)據(jù)必須匿名化，限制數(shù)據(jù)可以被看到的多寡。

對廣泛可見性的需求與敏感信息模糊化的需求看起來似乎是自相矛盾的。但有一些工具和方法可以讓二者協(xié)調(diào)統(tǒng)一。最早為保護個人可識別信息(PII)數(shù)據(jù)而開發(fā)出來的數(shù)據(jù)打碼技術(shù)就很適合GDPR合規(guī)，也是一些高級網(wǎng)絡數(shù)據(jù)包處理引擎的功能之一。IT和安全團隊可以利用該功能設置需打碼的任意數(shù)據(jù)類型或偏移——信用卡記錄、身份證號、IP地址等等。另外，支持用戶數(shù)據(jù)地理位置信息的高可見性架構(gòu)，也有助于識別源于歐盟的流量。數(shù)據(jù)打碼和地理位置信息(無論有沒有加密)結(jié)合起來能有效驅(qū)動GDPR合規(guī)。

2. 加密很重要

數(shù)據(jù)加密是數(shù)據(jù)防護的重中之重。完全加密互聯(lián)網(wǎng)的趨勢正在延續(xù)，而在GDPR之下，數(shù)據(jù)加密明顯被作為解決個人數(shù)據(jù)安全問題的合法方式，同時還能在發(fā)生數(shù)據(jù)泄露時一定程度上規(guī)避起訴。

不過，也有企業(yè)擔心威脅可能會藏身于SSL加密的數(shù)據(jù)流中，因為一些傳統(tǒng)安全設備和監(jiān)視解決方案并不具備處理加密數(shù)據(jù)流的功能。不過高級網(wǎng)絡包代理可以解密數(shù)據(jù)包，并將明文數(shù)據(jù)發(fā)送給安全及監(jiān)視解決方案，讓它們可以嗅探出威脅和惡意載荷，再重新加密數(shù)據(jù)并繼續(xù)轉(zhuǎn)發(fā)。加密與數(shù)據(jù)打碼聯(lián)動便能保護存儲的數(shù)據(jù)和傳輸中的數(shù)據(jù)。

3. 確保完整性，可用性和彈性

全面的可見性架構(gòu)，不僅僅監(jiān)視數(shù)據(jù);在防護企業(yè)免遭越來越先進的網(wǎng)絡安全攻擊方面也很關(guān)鍵。如果企業(yè)不能對流經(jīng)自身網(wǎng)絡的所有流量擁有完整可見性，網(wǎng)絡罪犯就能利用漏洞和盲點滲透進網(wǎng)絡并盜取數(shù)據(jù)。可見性幫助安全團隊縮小整體的網(wǎng)絡攻擊界面，堵上防御漏洞。

安全彈性也是GDPR的關(guān)鍵，而可見性正是通過快速發(fā)現(xiàn)并解決異?；蛘谶M行中的攻擊來確保安全彈性。這可加快對潛在數(shù)據(jù)泄露的響應，限制傷害并最小化風險。

GDPR是合規(guī)領域長時間以來影響最深遠最為復雜的條例之一，而在公司中推行必要的改變以符合GDPR的要求并沒有那么容易。不過，只要公司企業(yè)采取正確的方法強化自身安全過程，GDPR反而會成為他們增強自身安全態(tài)勢的契機，其效果遠比簡單勾選合規(guī)列表好得多。