GDPR — это хорошо или GDPR — это штрафы? Переход от минимальной жизнеспособной подготовки (MVP) к минимальным защитным мерам (MDM)

В преддверии вступления GDPR в силу в мае 2018 года многие организации использовали подход, который лучше всего описать как MVP (Minimum Viable Preparation). Это было вполне объяснимо, учитывая отсутствие четких инструкций, стоимость и сложности, связанные с углубленной подготовкой, неопределенность в отношении влияния Brexit и неоднозначные сигналы относительно правоприменения.

В течение года ничего особенного не происходило, и в это время многим казалось, что решение MVP было правильным. Однако недавно предложенные штрафы для BA и Marriot (£183 млн. и £92 млн. соответственно), похоже, резко заставили организации пересмотреть этот подход и еще раз взглянуть на свое соответствие нормам.

GDPR затрагивает целый ряд областей: Например, права субъектов данных, безопасность данных, законность обработки, а также взаимодействие с маркетингом (PECR). Несмотря на то, что полное решение всех этих вопросов желательно, на чем организации должны в первую очередь сосредоточить свои усилия по обновлению? До сих пор действительно крупные предлагаемые штрафы были связаны с безопасностью данных и нарушениями персональных данных. В этом есть смысл, поскольку, хотя законность обработки очень важна, потеря персональных данных по неосторожности в глубинах темной паутины приводит к катастрофе. И это происходит независимо от того, законно или нет обрабатывались данные.

В самом регламенте нет ничего конкретного о том, как организации должны защищать персональные данные. За исключением перечисления буквально горстки технологий, вместо этого они выбрали всеобъемлющую формулировку «соответствующие технические и организационные меры» — «Принцип безопасности». Он был разработан, чтобы устранить защиту от контрольных списков и оставаться вечно актуальным как в качестве руководства, так и в качестве нормативного теста. На практике это означает, что если Вас взломают, Вы должны быть в состоянии продемонстрировать, что Ваша безопасность соответствовала рискам, связанным с обработкой данных, и текущим угрозам. Исходя из этого, мы видим, что организации сейчас переходят к мышлению MDM (Minimum Defendable Measures — минимальные защитные меры).

Это подводит нас к одной ключевой области защиты: Брандмауэр. «У каждого есть брандмауэр». Проблема в том, что традиционные брандмауэры работают на сетевом уровне, но большинство взломов сейчас происходит на уровне приложений. Традиционный сетевой брандмауэр не может проверить эти угрозы, поэтому он не знает, как их блокировать. WAF может. Даже зашифрованный трафик.

WAF — это брандмауэр веб-приложений.

Они уместны, экономичны и работают. Я бы настоятельно рекомендовал один из них. Наши также очень просты в использовании.

edgeNEXUS заметно упрощает создание, защиту и поддержание исключительного опыта доставки приложений.

Сложность — это для исходного кода. Не для пользовательского интерфейса.

edgeNEXUS заметно упрощает создание, защиту и поддержание исключительного опыта доставки приложений.

 

 

 

 

 

 

 

 

 

 

About John Payne