在過去十年中,與隱私相關的立法有了長足的發展。 “隱私產業”經歷了很多其他學科未曾見過的蛻變。現在,當我們反思大流行後的未來時,我們必須認識到,能夠快速訪問和共享準確的數據對每個人來說都是至關重要的。
考慮到這一點時,重要的是要記住業務和個人方面之間存在大量重疊,密碼管理器就是一個例子。這些將同時保存個人和工作相關的憑據,這可能很難區分,這就是企業家庭使用計劃存在的原因。
作為一個組織,您如何衡量企業內的合規性何時共享越來越多的數據?你如何決定什麼時候“足夠好”才真正足夠好?
對於個人,您如何保護您的信息隱私?
全有或全無的等式?
作為商品的數據已經從長期持有的結構和剛性觀點發展成為大部分準確的大數據信息存儲。這些數據存儲可用於了解個人的行為,通常用於商業目的。
例如,您可能會開始收到有關汽車的信息,因為您在社交媒體上發布了一張新車的照片。如果您不知道這種情況正在發生(我們稱之為需要同意),這就是對隱私的微妙侵犯,如果您不再在汽車市場上並且不想成為此類廣告的目標,這可能會特別煩人。
作為個人,我們可以放心,至少有一些大型技術公司正在努力默認應用隱私。這是無價的,因為這意味著我們中的許多人可以從此類隱私措施中受益,例如 GDPR 和 CPRA 制定的措施,甚至沒有意識到。
然而,對於企業而言,還需要付出更多努力
我們通常純粹根據輸贏來衡量業務成功與否,例如盈利或虧損、合規或不合規。例如,您不可能擁有 80% 的預算平衡或 90% 安全的醫療設備。數據並不總是遵守這些規則。
例如,核組織或軍事資產的極高準確性會有明顯的例外。但總的來說,商業和公共部門世界的資源有限,需要明智地選擇以獲得最佳回報。
這是新穎的,可能會使企業的是/否功能感到不舒服。尤其是面對新技術(例如 ChatGPT)和最近更新的合規標準(ISO 27001/2 2022) 或新的 (NIST 宣布首批四種抗量子密碼算法 | NIST)。這將意味著選擇並優先考慮要實施的合規框架、要遵循的行為準則以及要獲得的認證。
什麼是合規和維護隱私的“足夠好”?
這是一個不斷挑戰我們的問題。在什麼時候我們應該認為我們的努力是令人滿意的?有兩件事需要考慮:
您的活動對總體策略或生活目標有多重要?場景中涉及哪些風險?
根據您在隱私之旅中所處的階段,您將關注不同的領域。作為個人,這可能就像了解如何保護和管理您的密碼以及刪除或禁用社交媒體帳戶一樣簡單。此外,如果您可能成為有組織犯罪的目標,您可以啟用 Apple 的鎖定模式。
一個組織可能會發現他們需要滿足某些最低認證或認可要求才能開展業務——您可能需要滿足許多不同的要求!這些框架通常存在重疊。快速在線搜索 NIST 到 ISO 27001 的映射和幾個電子表格將顯示滿足一個框架可以達到另一個框架的 75%。
無論您關注的是什麼框架,它對差距將是一個嚴重的問題。如果您是中小企業,請考慮從我們的網站 和CISA 和 NCSC
改善員工行為並適應隱私
您是否曾經坐過員工簡報會,接近尾聲時有一個簡短的聲明,您的合規培訓將於下週舉行?許多員工很可能會匆匆忙忙地完成它,而忘記了他們剛塞進去的很多東西。
改進這個過程的訣竅根本不是一個訣竅——關鍵是讓你的同事可見並參與其中-工人。積極傾聽他們的挑戰,並準備好改變您對如何實現合規性的看法。 (請記住,獲得合規性的方法不止一種!)。當您的同事像您一樣關心安全和隱私時,哪怕是一點點,那都是一個積極的時刻,您的人為風險將會降低。
適應個人隱私管理是我們所有人的學習曲線.幾年前,很少有人談論使用密碼管理器。不幸的是,針對弱勢群體的詐騙數量仍在增加。停止思考和談論應用程序在您的智能手機上請求什麼權限變得越來越普遍。這要歸功於一些事情,尤其是商業意識培訓,以及那些在媒體上分享這些經歷的慘痛經歷的不幸犯罪受害者。
The Stick
無論是 FTC、FCA、ICO、CNIL、HHS 部門,還是任何其他可以帶來執法的公共機構,一致的主題是罰款的規模和頻率不斷增加。現在很難不注意到違規或罰款就看到主流標題。 Meta、Clearview AI、Nissan、LastPass、亞馬遜、沃達丰、Dialpad 和耶魯大學都發現自己遭到黑客攻擊或違反了合規義務。被發現沒有投資於工具、人員和設計決策來保持信息的私密性不僅變得越來越重要,而且如果不這樣做,代價也會更高。
圖片來源:BeeBright/depositphotos.com
Kevin Tunison 是 Egress 的數據保護官。 Egress Defend、Egress Prevent 和 Egress Protect 產品對您的信息進行加密。對於企業而言,使用 Defend 還意味著在更新威脅情報的 ISO 27001 認證時將更容易證明合規性。