通过身份计划满足数据隐私监管规定的3个步骤

网络安全无疑是一个企业关键函数。在过去的几个月里,才通过太阳能和交换攻击来加强。因此,最近的PWC报告发现,55%的企业管理人员计划在2021年增加他们的网络安全预算,51%的计划计划在年内增加致力于网络安全的全职工作人员。

数据隐私法规

满足数据隐私监管合规性

然而,这种对安全的关注不仅仅是对更多网络攻击的反应。它还与去年的数字转型举措中的巨大加速相关。一些行业专家将其称为转变“cloud speed to 冠状病毒 speed.”大流行迫使新的工作方式,这最终意味着一种确保我们如何工作的安全性的新方法。这也意味着公司在云中存储和管理更多数据,这与其自身的监管合规挑战挑战。

每次新过程都移动到云,自动或数字化,已成为一种新的漏洞。安全团队需要管理这些漏洞,以保护来自网络攻击的数据,并确保遵守最新的数据隐私法规,例如一般数据保护规范(GDP.)或加州隐私权法(CPRA.)。

其他不合规问题将在明年增长,特别是由于公司继续远程船上和橱柜客户和员工。这些新流程将影响如何保护数据并遵守来自各国和国家的多种不同的拼凑隐私法规。这就是为什么行业必须为统一的数据隐私监管努力,因此组织可以清楚地了解符合符合物的意义。

与2020一样有挑战性的是,它提供了无价的课程,即安全和身份团队可以作为企业遵守监管和合规标准的最佳实践,例如CPRA和GDPR。以下是优先考虑的三个课程。

第1课:占用身份并将其锁定

涉及数据保护,安全性和合规性时,组织必须在可接受的限制内保持潜在的技术风险,这意味着调动努力识别个人可识别信息的数据湖泊和应用程序(pii.)存储其他敏感信息。然后,组织应使用数字转换作为催化剂,以利用适当的控件将这些应用程序锁定,以防止未经授权使用数据并使用分析来获得对管理敏感数据的可见性。

任何一个关键 数据隐私合规性 是适当的数据保护,因为根据这些法律,消费者保留了拒绝的权利并撤销他们的数据集合。围绕遵守计划的任何计划的第一步是对您拥有其数据的基本了解,它是可以访问它的数据。这一原则是身份管理和治理的基础。

第2课:与企业其他地区合作以设计合规协议

对监管标准(新旧)的变化将影响风险和安全工作。因此,企业必须准备快速制定必要的无缝和充足的数据保护方案。它全部始于数据发现,这需要业务团队和安全之间的重大协作,以映射关于客户,合作伙伴和员工捕获的数据。后续步骤包括数据分类,了解如何处理和存储数据。

总的来说,必须建立一个声音治理框架,以确保合规性和解决组织风险。如果业务和安全团队合作,这些框架只能成功。不幸的是,友好的合规方法将最终无法解决更多的挑战 - 而不是解决它们。

第3课:将身份放在安全和合规性周长的核心

随着云使用标准化,身份管理和治理成为企业如何管理权限,访问和确保数据安全性和隐私的组成部分。公司应考虑云中的每个工作负载和服务作为身份,因为每个工作负载和服务都有访问,角色或分配与其他服务连接的权限。

像虚拟机,数据库,容器,手机和 IoT设备 所有机器身份都是在其他系统上访问数据的所有机器标识,同时还存储和处理需要管理的数据。此外,公司应不断监控用户访问,以确保控制的控制保持有效。

通过在公司的中心放置身份’S安全界,组织可以访问谁可以访问敏感数据的可见性以及有人在没有正确的权限或需要(以知道) - 或被灭绝的情况下访问该数据。从那里,组织应整合数据治理协议来识别各种数据存储库,采用a 零信任模型 并致力于零信任成熟。此过程涉及在Mindset中转移,以接受您必须在访问附近使用投机和时间限制的所有标识。

数据隐私法规和零信任成熟

除了这三个重要课程之外,组织还必须认识到零站立特权为零信任成熟度铺平了道路 - 这意味着团队必须根据需要确定访问权限。此过程强制请求,评估和被接受或拒绝进行任何访问 - 确保没有身份默认访问PII或其他形式的受保护数据。

最后,这可以防止并保护企业免受利用常设行政特权的网络攻击,并有助于监管合规性,因为它确保员工和管理员没有收到对私有数据的多余访问权限。

尽管拼凑而成的复杂性越来越多 隐私法规 和敏感度围绕保护其数据,组织需要建立一个隐私政策框架,身份为基础。这将确保本组织符合维护合规性所需的必要控制和保障协议,并减轻私人数据在网络内签证中访问的私人数据。

分享这个