今天是数据隐私保护日(又称国际数据保护日)。然而承认数据隐私的重要性是一回事,但采取步骤找出可能破坏隐私的潜在方式——并制定解决问题的步骤——完全是另一回事。
如今的数据如此之多,在为我们带来便利和好处的同时也会带来很多困扰和威胁。IBM最新的数据泄露报告显示,在美国的平均数据泄露成本高达940万美元。此外,60%的小企业在数据泄露六个月内倒闭。同样,2022年IDC关于的一份报告发现,83%的组织经历了勒索软件攻击导致的数据损坏,近60%的组织因此经历了无法恢复的数据灾难。
保持数据隐私说起来容易做起来难。这里有一些专家的建议,可以帮助您在自己的数据隐私计划上取得进展。
1、检查云设置
希捷信息安全副总裁兼CISO(首席信息安全官) Brad Jones表示,数据正在以前所未有的速度和规模迁移到云,但云给数据隐私带来了自身的挑战。首先也是最重要的,用户应该发现并修复云中的任何错误配置。
“企业需要在其整个云基础架构中优先考虑法规遵从性。”“云配置中的错误可能意味着员工只需单击一下就可以意外暴露整个数据库,并使组织面临监管风险和声誉损害。”
用户还可以通过对敏感数据进行属性分类来增强隐私。Jones说:“这可能很简单,就像服务器或存储位置上的标记映射到应用程序所包含的最敏感数据级别,或者一些平台作为服务提供商提供的更细粒度的对象或数据库级别。”
2、人类会犯错
Poll Everywhere的业务合规总监Alec Nuñez认为人为错误一直是并将继续是数据安全问题的头号原因。“最低权限原则是所有公司在降低数据安全风险时可以建立的一个重要基础。这一概念表明,用户或实体只能访问执行任务所需的数据、资源和应用程序。换句话说,只能为个人提供他们实际需要的访问权限。这是一个基本的想法,但它将具有巨大的影响,渗透到组织的系统中。”
3、数据是头等大事
视频会议平台Zerify的联合创始人兼执行副总裁George Waller表示,记住我们试图保护的内容很重要:数据。
“今天最有价值的商品是数据。组织使用视频会议讨论并购、法律、军事、医疗保健、知识产权和其他主题,甚至是公司战略。几乎所有这些数据都属于合规监管机构,因为它们被认为是敏感的、私密的,甚至是机密的。这样的数据丢失对公司、员工和客户来说可能是灾难性的。”
4、人是关键
电信欺诈预防公司CertifID的首席执行官Tyler Adams表示,花时间思考人员和流程很重要,而不仅仅是技术。
Adams警告说:“社会工程可以绕过任何数据隐私技术。制定一个多层次的防御策略,其中包括在不可想象的事情发生时的快速反应计划。并且,培养一种文化,用教育降低人为错误而不是惩罚。这是我们都会变得更好的唯一途径。”
5、检查安全策略
NetBrain工程部高级副总裁Song Peng表示,安全和隐私是相互关联的,薄弱的安全政策可能会无意中引发组织对隐私的担忧。
“希望更好地保护客户数据的组织应该考虑如何验证其安全策略、控制和配置。即使是最好的安全硬件和软件,随着时间的推移也会产生漏洞,这通常是其他IT活动的意外后果。随着基于云的服务产生了更大的攻击面,需要不断验证安全配置文件是否完整。”
6、启动数据治理项目
Informatica市场营销副总裁Dharma Kuthanur表示,延迟实施数据治理项目的风险自负。
当今大多数企业都在处理数百甚至数千个数据源(而且有迹象表明,数据源只会不断增加)。因此,一个全面的数据治理框架和同样严格的数据管理不应该有任何中断或懈怠。“为了帮助降低声誉风险和财务风险,并维护客户的信任和忠诚度,各组织必须投资于一个数据管理解决方案,该解决方案能够在其数据生态系统中始终如一、可靠地自动化数据隐私、保护和治理。”
7、采用PET
随着我们数据隐私需求的增长,我们在该领域的技术能力也在增长。integrate.ai首席技术官Karl Martin表示,最有希望关注的新技术之一是隐私增强技术(PET:Privacy-Enhancing technology)。
“随着隐私法规的发展,PET日益成熟和使用,在降低移动大量数据的固有风险和成本方面取得了重大进展。采用通过设计体现隐私框架的组织——包括促进互操作性而不需要数据移动的联合学习操作——使数据科学具有高度的隐私保护性,并防止未来对法规的更改。PET有潜力促进基于信任的数据交换,同时仍能确保法规遵从性。”
8、没有万能药
加密解决方案提供商Vaultree的首席运营官兼联合创始人Tilo Weigandt表示,数据隐私是一个复杂的问题,没有适合所有人的通用解决方案。
“例如,由人工智能和机器学习支持的零信任框架并不是最好地保护数据的唯一解决方案。其他方法包括使用加密、实施严格的访问控制以及定期监控和审计系统,组织应咨询专家,以确定满足其特定需求和要求的最佳方法,尤其是在数据隐私规则肯定会更加严格的情况下。”
9、日趋严格的法规
Egnyte首席治理官Jeff Sizemore表示,预计到2024年,全球75%的人口将受到现代数据隐私法规的保护。他说,越来越多的人认为数据隐私是一项全球人权,侵犯数据隐私会带来严重后果。
“在美国,五个州(加利福尼亚州、弗吉尼亚州、科罗拉多州、康涅狄格州和犹他州)今年已经制定或计划制定数据隐私立法。而制定联邦法律只是时间问题,因为已经看到了《美国数据隐私和保护法》(ADPPA)的积极势头。”Sizemore说。“毫无疑问,随着政府实体和监管机构对数据隐私越来越感兴趣,可以预期会有更强的执法机制。法规的执行将变得更加严格,罚款和违规诉讼预计会增加。”
10、让每一天都成为“数据隐私日”
Skyhigh Security全球云线程负责人Rodman Ramezanian表示,设立“数据隐私日”甚至“数据隐私周”都很好。但是,让每天都是数据隐私日怎么样?
与大多数新年立志一样,数据隐私保护的这些努力不能仅仅持续一周或在一年之初。必须以坚定不移的承诺,全年优先考虑这些努力。可悲的是,当组织“目光不集中”,注意力不集中时,可能会损害其宝贵数据的隐私和安全。”