数据越多,问题越多
厂商和解决方案提供商致力于让客户应对GDPR不那么困难,推出了各种功能和能力评估GDPR相关数据所在位置、将用户意愿偏好付诸行动、让用户能够统一查看关于企业组织的所有数据、以及为未来管理GDPR数据制定计划。
欧盟在2016年4月通过了“通用数据保护条例”(简称GDPR),并于本周五开始实施。该条例旨在让欧盟公民和居民更好地控制他们个人数据被使用的方式。
为了更好地解决大量GDPR相关需求,安全厂商们已经开始致力于让识别和隔离非结构化数据、在IT管理员区域内保留记录、设置阈值以便企业组织更专注于带有个人身份信息集群区域(PII)变得容易一些。
下面就让我们来看看这13家厂商和解决方案提供商首席执行官和技术领导在帮助客户简化GDPR合规性方面都做了哪些工作。
高级策略管理器
根据美国俄勒冈州波特兰市Janrain公司的首席执行官Jim Kaskade表示,Janrain的Advanced Policy Manager允许企业定义如何使用和执行关于用户同意的政策,一旦有人访问这些数据,实时规则引擎就会对这些数据进行查询。
Kaskade表示,一旦同意被撤销,Advanced Policy Manager就会从下游系统中删除数据,以免数据被人不恰当地使用。
据Kaskade称,Janrain在2017年5月25日发布该产品,也就是GDPR执行生效的前一年,该产品用于管理和审计有关GDPR的政策。
具体来说,围绕个人信息的每个元素提供的中央管理和精细控制(例如,用户可以同意使用他们的名字,但地址不行)都是GDPR所要求的。
显示GDPR业务数据所在位置的评估工具
位于美国马萨诸塞州沃尔瑟姆的Digital Guardian公司全球渠道副总裁Marcus Brown表示,Digital Guardian在过去的一年中通过渠道提供了一套打包的评估工具,合作伙伴可以利用这些评估工具扫描客户的GDPR项目。
这种快速实施的评估工具能够快速扫描GDPR数据,并创建一份报告,显示企业相关的GDPR敏感数据是如何激增的。Brown表示,客户可以清楚地了解自己当前的风险水平,这些评估与GDPR是高度相关的,因为企业需要了解哪些方面可能发生违规行为以防止这些行为的发生。
Brown表示,该工具目前在欧洲市场提供,并且已被证明在该地区非常受欢迎,客户使用这些工具初步掌握自己可能存在的GDPR相关问题。Brown说,该工具还给他们带来了一些列强大的后续业务,许多客户选择实施更完整的产品以获得持续的可见性和保护。
使用分布式账本重建身份验证系统
位于多伦多的SecureKey Technologies公司首席执行官Greg Wolfond表示,SecureKey Technologies正在通过设计要求和消除集中节点中任何数据可见性,来重建其认证系统以满足监管隐私要求。
为确保存在三重盲隐私,Wolfond表示SecureKey正在使用区块链或分布式账本方法重新改写认证系统。一旦工作完成,中间的网络将无法看到任何加密或未加密的数据,并且中央节点无法知道用户登录纳税或者失业系统时都访问了哪些信息。
Wolfond说,SecureKey在重建过程中所做的一切都与GDPR保持一致,也就是消费者是数据的核心,每次共享数据时都需要得到他们的同意。Wolfond表示,为期三年的重建预计在今年秋季完成,并且需要与SecureKey的银行合作伙伴展开合作,因为他们需要能够与该系统进行交互。
确定GDPR职责的基准评估
位于美国休斯敦的Accudata Systems公司咨询服务负责人Paul Kendall表示,Accudata Systems提供的基准评估可以帮助客户了解他们必须采取何种程度的补救措施,以符合GDPR标准。
Kendall说,典型的基准评估包括进行业务和IT方面的广泛面谈,目的是弄清楚获取了哪些数据、数据来自何处以及它如何流经企业组织。
在这个过程中,Accudata通过差距评估告诉客户他们目前的状况、GDPR要求什么、以及他们需要什么才能达到要求。Kendall说,Accudata通常会根据客户情况以及满足合规性要求的复杂程度来对各项改进设置优先级。
DLP产品中专门针对GDPR数据的爬虫程序
位于美国奥斯汀的Forcepoint公司CISO Allan Alford表示,Forcepoint的DLP(数据丢失防护)产品除了具有桌面代理和阻止项目外,还提供了一个爬虫程序,它可以在网络中查查看文件共享、网络文件夹和内部数据库。
Alford表示,Forcepoint在2017年上半年推出了一个爬虫程序,专门针对GDPR类型的信息和数据。他说,用户所要做的就是输入国家名称和他们寻找的信息的类型(例如法国政府定义的所有个人身份信息实例)。他说,这个爬虫程序会进入数据库,为客户找到这些信息。
Alford表示:“这个工具真的很棒,是一款非常成功和有用的工具,只有少数厂商在做类似的事情。”
数据治理产品
位于美国丹佛市的Ping Identity公司CTO办公室负责人Baber Amin表示,Ping Identity的数据治理产品提供基于静态或动态规则的细粒度访问。该产品可以读取已经得到同意的信息,基于此客户能够做出实时的决定,以什么样的方式使用什么样的数据。
Amin表示,到目前为止客户主要查看他们有什么数据、以及数据位于何处,以便弄清楚他们需要采用什么样的系统。Amin说,Ping Identity现在刚刚开始看到有越来越多的实际支出花在了技术控制上,旨在解决企业希望未来如何管理数据的问题。
Amin预计大多数技术控制方面的支出将发生在今年下半年,强调强大的身份验证、强大的加密保护以保护静止数据、以及检查数据层的治理情况。
发现并映射数据
位于美国新泽西州蒙特韦尔的Gotham Technology Group公司首席技术官Ken Phelan表示,GDPR合规性的初期阶段实际主要集中在发现和映射方面,企业组织可以找出数据的位置、数据如何移动、分类数据和数据流。
Phelan说,企业组织经的数据情况要比他们最初想象地复杂得多,他们数据所处的界限远远超出了结构化数据库的范围,扩展到了非结构化电子表格和影子IT应用例如Dropbox。
他说,当客户遇到数据流问题时,就会选择网络分化和东西方向的防火墙。Phelan表示,这是围绕特权访问和控制谁有控制权的问题,因为一旦用户获得管理访问权限,游戏就结束了。
超越法律风险的整体咨询方法
位于芬兰艾斯堡的解决方案提供商GDPR Tech公司创始人兼首席执行官Juha Sallinen表示,那些最关心GDPR法规的大型客户,已经花了大量时间在衡量法律后果上,现在他们需要更全面的视角。
Sallinen说,GDPR Tech为客户提供了一个全景视图,不仅覆盖关注法律方面,还涉及安全、息治理、人员和流程。
Sallinen表示,对于没有对GDPR做好准备的客户来说,GDPR Tech举办了几个探讨目前最重要问题的研讨会,因为很多公司缺乏信息治理,也没有任何形式的风险评估。在这方面, GDPR Tech试图帮助客户了解数据从哪里进入公司,以及他们隐藏数据可能带来的风险。
隐私和配置管理仪表板
位于美国旧金山的ForgeRock公司金融服务和法规副总裁Nick Caley表示,ForgeRock的隐私和配置资料管理仪表板是对企业现有身份管理模块的扩展,让企业组织能够从单一位置管理个人、他们的设备、他们访问的服务这整个生命周期。
该公司一直致力于帮助企业通过让来自不同业务领域的人员加入其中为企业提供单一视图来管理身份。现在,通过新的仪表盘,ForgeRock已经将这样的单一视图扩展到最终用户,使企业更容易满足GDPR要求,让用户可以访问企业组织内关于用户的数据。
Caley说,这个仪表板为最终用户提供了可见性可了解企业是如何使用关于用户的数据,与内部处理相关的,以及他们与第三方共享的信息。
项目组合管理
为了遵守包括GDPR在内的一些隐私政策,CA Technologies现在允许企业在项目组合管理(PPM)工具集中匿名处理非动态资源的个人信息。根据CA Technologies的说法,得到授权的管理员或经理也可以匿名自定义资源数据。
资源ID、名字、中间名、姓氏和电子邮件地址现在都是做了匿名化处理,资源信息显示为带有序列化代码值的扰码。CA Technologies表示,现在在网站的各个部分不再能够访问到客户个人数据,包括联系信息、用户信息、审计跟踪数据、费率矩阵、账单数据和会话。
CA Technologies首席隐私策略师Christoph Luykx表示,CA Technologies还在PPM工具中添加了一项功能,让企业在数据主体提出请求时可以轻松删除数据。
SecurityIQ敏感数据发现规则集
位于美国奥斯汀的SailPoint公司首席产品官Paul Trulove表示,目前SailPoint看到企业在安全方面存在最大空白就是无法掌握谁访问了文件和文件存储系统。
Trulove表示,在2017年第四季度SailPoint开始提供其最新版本的SecurityIQ身份治理工具,采用一项新的GDPR策略,其中有针对非结构化数据预先制定的规则。这是针对企业文件存储环境的,帮助隔离非结构化数据实例或那些在本应位置之外的数据实例。
总而言之,Trulove表示这个敏感数据发现规则集让SailPoint及其客户专注于那些审计发现存在合规性空白可能性非常高的领域。根据Trulove的说法,客户的接受度能够提供更全面的覆盖GDPR等法规的信息。
始终保持在区域内的会话记录
位于美国马萨诸塞州牛顿的CyberArk公司EMEA客户开发总监David Higgins表示,CyberArk一直为客户提供客户IT管理员正在做什么的记录,这些记录需要存储在某个地方。
作为IT管理员角色的副产品,Higgins表示他们可能会查看用户数据,反过来这意味着记录会话实际上是在获取他们的数据。Higgins表示,为了遵守GDPR,CyberArk已经让客户可以将这些会话保留在区域内,以确保关键用户数据留在欧盟内,最终不会保存在美国或亚洲某个地方。
Higgins表示,地域上的控制是在去年推出的,该工具集的模块化设计使CyberArk能够控制数据流动的位置,而无需对架构进行重大改动。
搜索GDPR分类数据的模板
位于美国加利福尼亚州桑尼维尔的Druva公司产品和联盟营销副总裁Dave Packer表示,Druva在几个月前推出了一个模板,该模板允许企业在整个生态系统中搜索与GDPR相关的数据,而不必为GDPR数据的每个特征进行单独配置。
Packer表示,为了构建模板,Druva需要查看整个欧盟国家的系统,了解构成识别信息以及需要追踪的各种要素。因此,Druva构建了模板来识别这些要素,并设置了阈值,以便将重点放在大量敏感数据而不是单个实例上。
Packer说,例如用户机器上的单个驱动程序许可证号码可能有问题,也可能没有问题,但单个机器上的十个驱动程序号码可以很好地表明用户可以访问敏感文件。他表示,Druva已经调整了其参数以提高效率,将误报和漏报的可能性降至最低,同时仍然能够获得假定的违规情况。
好文章,需要你的鼓励
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面
“未来软件定义汽车”的设想也成为马丁当前运营路线的指导方针,且高度关注数据、零件和资产管理等议题。