欧盟的 通用数据保护条例(GDPR) 将跨过今年五月生效的两年标志。欧盟关于数据隐私保护的全面法律一直是大型公司的催化剂,因为大型公司可能因不遵守法律而面临高达全球收入4%的罚款。

根据安永和国际隐私专业人士协会的一份报告,潜在的财务打击促使组织平均花费300万美元来遵守该法规。

但是,法规(甚至对于像GDPR这样的公司底线可能潜在的可怕法规)是否足以保护个人身份信息呢?

斯蒂芬·夏邦诺Titus联合创始人,CTO和CISO并不这么认为。

首先,有关法规仍然存在很大的困惑。一些公司抱怨说它太模糊了,缺乏全面的指导方针。同时,根据网络和数据保护律师事务所DLA Piper的分析,数据泄露事件持续上升,平均每天有278条通知。

这就推动了诸如Titus之类的安全服务提供商提供支持,以帮助组织紧跟不断变化的法规。

Charbonneau说:“人们没有时间,精力和金钱来决定哪些信息是私人的,什么不是私人的。” “我们必须使其清晰。”

安全扫描像拼写检查一样直观?

Charbonneau设想有一天,“我如何处理数据?”问题当人们起草电子邮件或其他书面通讯时,将自动且无缝地回答拼写检查在后台的操作方式。

“他们无法考虑-它必须是自然的。就像今天的拼写检查一样,我们必须使其与他们的日常工作几乎保持无缝连接。”他说。

到那一天将花费不止 规定,他补充说。这将需要强大的安全文化。它将需要如今被称为人工智能或机器学习的智能分析。它将需要安全性产品的无缝集成,这些产品具有凝聚力并由人为参与触发。

技术路线通常始于基础数据分类系统。下面,Charbonneau谈到了所有这些驱动因素以及他认为该行业的发展方向。

人为因素:建立安全驱动的文化

泰特斯首席执行官 吉姆·巴克多尔在他1月2日的博客文章中, “新的一年,新的法规……以及新的数据泄露”指出具有强大的安全文化可以最大程度地减少可能导致数据泄露的人为错误。

公司在哪里出错? Charbonneau说:“当他们认为后台有一个神奇的黑匣子可以解决所有问题时,”他警告说,不让人们参与其中可能会造成巨大的损失。他说:“最终,创建信息的人会惹上您的麻烦。”

那是个好地方 数据分类 系统可以发挥基础作用。但是分类对不同的人可能意味着不同的事情。

我们必须预先对数据进行全面分类

“对我们来说,这意味着确定信息的价值,并且可能是PII的多个不同角度。什么样的PII?当我们预先应用这些数据的分类时,我们越具体,则每个下游技术都将能够更好地理解而不是猜测。”他解释说。

关键的最佳实践是在创建时理解数据。 Titus建议无论何时向上或向下游标记数据片段,始终向用户询问是否存在不确定性。 Charbonneau承认,强迫人们对数据进行分类可能并不适合每个人,但预先了解数据的背景和敏感性“将导致在下游做出更好的决策。”

他补充说,对数据进行分类比看起来要难。十年前,员工签署了雇用协议以保护公司数据,这些数据通常分为四个类别。随着互联网和共享平台以及公司合作协议的出现,以前不允许严格保密的信息可能不允许与组织外部的其他人共享。

Titus的首席安全官说:“将其转换为工作流流程要复杂得多–您必须在需要识别的数据上引入更多的特异性和更多不同的角度,”良好的数据分类系统可以在建立安全文化中发挥基础作用推这个

分阶段进行数据分类的方法

通常,公司在对客户的数据进行分类时采取分阶段的方法,从 教育 阶段–向员工展示原因 分类数据 既重要又有价值;其次是  授权  –使员工在创建电子邮件和文档时进行实时分类方面发挥积极作用;最后 执行 –分类系统设置防护栏,以防止员工将内部文档发送给外部收件人,自动加密敏感电子邮件等。

数据分类系统的另一个挑战是它们必须与数据安全性的其他组件(例如加密,权限管理和数据丢失防护(DLP))保持良好的集成(良好集成)。

“您可以为公司设计和部署大型DLP,加密和权限管理解决方案,但这只是管道。在用户真正单击保护按钮来驱动加密之前,您已经错过了标记。” Charbonneau说。 “在所有这些示例中,如果您不预先了解数据,则将很难实施或从现有的其他技术中获得价值。”

下一个安全前沿:机器学习

最后, 机器学习 人工智能将在保护信息方面发挥关键作用。 Charbonneau表示,根据类似于人类如何“抓挠表面”的上下文来寻找模式和识别敏感信息的科学,并指出即使是被Forrester公认在流分析领域处于领先地位的搜索引擎巨头Google也可以理解这句话,但尚未弄清楚如何分析页面和数据页面。

Charbonneau总结道:“在接下来的两到三年中,我们开发这些AI系统将是令人兴奋的时刻–向我们提供的信息越多,我们就越能获得更好的加班时间。”他预测,五年之内将进行一次拼写检查口径安全性AI将是开展业务的正常部分。

发现您的安全能力:参加我们的测验

在当今每个人都在线且容易受到个人数据泄露威胁的环境中,拥有正确的网络安全工具和政策变得尤为重要。

花一点时间,带着泰特斯的 风险评估测验 从整体数据保护和法规遵从的角度了解您的准备情况。

资源: //titus.com/blog/data-classification/come-together-stopping-data-breaches-using-people-systems