2016年颁布的欧盟一般数据保护条例(GDPR)引起了新闻界的广泛报道,条例中的各项规定以及企业应如何为之做好准备成为业界关注的焦点。遵守GDPR需要付出大量努力,企业自然会担忧为此所付出的资源和成本。
尽管存在担忧,但随着欧盟条例规定的最后期限(2018年5月25日)即将到来,全世界的企业将迎来宝贵的机会提升安全团队的角色,并为其分配更多资源。GDPR的要求范围对许多企业而言都是全新的,这些要求为主动保护日常业务创造了机会。GDPR提出的要求为网络安全主管在企业中赢得一席之地、使其能够为企业提供战略指导和执行改进方案,GDPR中许多要求正是安全运营团队所期望的——能够引起企业管理者的共鸣。
网络安全主管应通过以下三种方式利用GDPR为团队赋能并促进业务发展:
创立现代化的跨团队业务运营
传统上,网络安全团队专注于保护知识产权,成熟的安全团队拥有一套有效的流程来检测、调查、响应和报告威胁。GDPR为网络安全团队创造参与业务,分享如何通过已掌握的工具和技术在整个组织内实施GDPR合规性指南的机会。
如果安全运营尚处于初始阶段,GDPR则为安全团队参与更广泛的业务创造了机会。GDPR为运营创立了方向,同时也为安全运营提供了路线图。它指明了安全运营通向成熟的路径,激励安全团队更深入地参与到各个业务部门中,以便在关键业务资产之间进行监控、分析、检测和响应,而且能根据GDPR评分表绘制成果图。
管理消费者品牌声誉
在GDPR条例中,消费者就是上帝,制定这些条例的首要目的是保护个人数据和隐私权。近几年,Equifax、Yahoo和其他大型企业遭受的网络攻击已经对企业的公共形象造成了严重损害,如果企业无法提供新条例要求的保护,这些后果一定会变得更加严重。这意味着,为了在消费者中树立良好的公共形象,企业管理者需要为安全团队赋予更高的责任级别,甚至要将其提高到与营销和公关团队同等重要的地位。
网络安全团队可以为他们在保护用户数据方面发挥的积极作用而感到自豪。安全团队让消费者看到企业为增强个人隐私信息保护而采取的措施,从而为企业服务于客户的承诺做出更详细、更令人信服的注解。反过来,这鼓励消费者与企业合作并将其作为可靠来源。最终,这些工作将为安全团队提供工具和功能,以便更好地保护企业内部资产和知识产权。
为未来的技术投资提供指导
网络安全团队有时会得到不公平且不准确的名声,在企业内部“受到嫌隙”,因为他们制定的创新和成本节省政策被认为过于严厉,或者只是不愿意承担风险。不论这种名声是否公正,在决定如何在企业内进行技术投资以及在何处投资方面,GDPR都要求安全主管应发挥决定性作用。改善威胁检测和各种防御措施的需求将成为这些决定主要考量的因素,不过它们也为指导决策者采取解决方案提供了机会,这些解决方案将最能适合受新的安全条例影响的所有部门的未来需求。
在安全部门和IT部门协作方面,最好的例子是数据共享技术。例如,安全团队可以帮助IT团队选择、投资和建立更安全的云环境,反过来,这可以实现数据共享功能的高效实施,并节省成本,大大降低外部攻击风险。
GDPR是近几年影响最深远且最复杂的安全立法之一。诚然,企业对新条例的反应如何依然有待观察,但毫无疑问的是,它为提高网络安全团队的地位并使其能够成为企业发展的驱动因素提供了宝贵的契机。