IOT和法规遵从性：上下文周长的值

明年，欧洲联盟的一般数据保护法规（GDPR）生效。虽然Ponemon Institute的最近研究表明，67％的组织意识到GDPR，但组织没有准备好了很多担忧。从同样的研究来看，74％的组织表明GDPR对他们有重大的负面影响。它不仅仅是GPR，74％的组织还表明任何关于关键基础设施保护的任何类型的合规授权都会产生显着的负面影响。

这种担忧部分归因于用户期望访问的方式的变化。55%的公司表示，在所有年龄组中，千禧一代在职场中接触敏感和机密数据的风险最大。当被问及原因时，最常见的答案是在工作场所使用未经批准的应用程序和设备。所有这些都导致了潜在的困难，不仅要确保遵守GDPR，而且要确保任何类型的关注数据隐私和数据安全的法规遵从措施。根据当地法规的不同，安全性和隐私需求可能有所不同。这给大型全球组织在制定跨越其运营区域的安全和访问政策方面带来了挑战。但在敏感数据的保护方面，有一些共性可以加以利用。是否我们说GDPR(关注欧盟居民的个人数据),或者HIPAA(重点是确保病人数据在美国),一个主题中常见的各种区域合规规定是一个关注谁可以看到数据,数据可以看到,和数据可以而且应该去的地方。

这是一种东西可以帮助的东西吗？人们常常沿着线条的谈话和遵守的符合物联网安全风险，是否是新设备类型访问和共享数据的风险不一致的方式或IOT设备的潜力介绍新的后门到您的网络允许盗窃合规则的数据。这些是合法的担忧，在不断变化的选择之前，我对此进行了谈论的事情保护IOT在企业中。

但是，物联网也可以作为确保遵守隐私法规的整体战略的强大组成部分。它可以通过提供有关用户和用户正在访问的更多内容信息的机制来实现这一点。这不是一个新的要求，而是符合网络安全的演变。例如，思考返回网络防火墙和固定网络周边的日期。然后访问主要集中在“谁”（用户身份）上，这是关于它的。

通过BYOD和远程访问需要容纳电信等的东西，所需的网络周长需要进化变得更加灵活。这导致访问模型演变为“谁”的组合，然后添加“什么”（您使用的是什么设备进行访问）。从那里，形成了具有风险配置文件的访问模型，其基本上询问了“为什么”用户需要基于“谁”和“什么”的访问权限。看谷歌超越有关这种方法的良好描述。该模型所做的是通过询问更多信息，而不是仅询问用户所在的更多信息，但是添加了我们使用的设备的更多信息。

有了物联网，安全范围将更接近于应用程序本身,因为事物和设备的快速增长访问和交换信息使得保护固定网络周边更加具有挑战性。但与此同时，这些东西和设备也可以提供有用的机制来捕捉有关访问的有价值的上下文信息。这些信息非常有用，可以确保不仅访问基于用户身份的授权用户，还可以将授权的概念扩展到用户位置和用户活动。这些信息还有助于根据遵从性要求对数据进行分类，更好地划分哪些数据应该被视为个人数据和受保护数据。你开始看到的是一个保护你的应用程序和数据的“上下文边界”的概念，通过扩展到五个w's.：“谁”需要访问，“设备是使用的，”应用程序和数据“是他们访问的，”在哪里“在他们尝试访问时，”当“当它们需要访问时，”当“当它们需要访问，然后，他们需要访问，然后，基于它们的角色，“为什么”他们需要访问。

只要想想这些具有法规遵从性的上下文信息的价值就知道了。想象一名医生进入病人的空间。你知道，它们之所以进入这个领域，是因为结合了用户身份验证和医生的手机与智能设备的交互。您知道患者在房间里，因为电话查询了医生的日程，以便将患者记录预加载到患者空间中的一个安全终端上，或者患者腕带包含将患者识别到房间的信息。您知道医生何时离开房间，护士何时进入房间，并根据与房间内的医疗记录和智能设备集成的工作流程，自动将患者数据的视图更改为目标受众。

通过控制超出用户身份的访问，您可以帮助用户无意中违反合规性规则以及帮助确保在整个组织中移动的数据以符合要求和安全的问题。在上面的示例中，您可以帮助确保受到全球各地各种不同类型合规规定保护的患者的记录是基于谁可以看到它，何时以及他们需要看到它的时间。

此外，并且可能更重要的是，存在与此相关的相关大数据机会。捕获用户上下文可以是一个丰富的信息适用于举办基于合规的风险分析。此信息可用于更好地评估整个组织中的敏感数据以及设计工作流程，并考虑到符合要求和安全性。在多个应用程序中关联访问事件，像徽章读者这样的物理系统以及了解用户位置可能有助于确定可以通过自动化或用户教育或两者容易地纠正的未知合规性或隐私问题。