更新日期:2023年5月12日
编者按: ISACA Now博客提供了一个为期一周的系列,为各个数字信任领域的从业者提供2023年的成功秘诀. 这篇文章详细介绍了对隐私专家的建议. 有关隐私领域的更多见解,请下载ISACA的最新报告 实务私隐报告.
隐私 is like a data breach; it is not a matter of if but when new laws will be passed. 自2018年以来,每年提出的隐私法都在增加. 根据IAPP状态隐私追踪器, 过去5年,除了10个州外,美国所有州都提出或通过了隐私立法, 新的隐私法规也在全球范围内生效.
法律涵盖所有隐私领域, 包括但不限于学生隐私, 社交媒体, 消费者和生物识别技术. 2023年,隐私法案重新出台,并提出了新的隐私法案. 在美国, 许多人都希望在2023年,我们最终会有一个类似于《澳门赌场官方下载》的国家隐私法规 美国数据隐私和保护法案(ADPPA).
随着五个州的隐私法生效,2023年对隐私来说是一个关键的里程碑. This forces companies to face the fact privacy is not going anywhere; it is time to implement privacy programs. 以下是2023年增长势头强劲的五个领域 隐私专业人士需要更加深入地了解这一点.
1. 隐私网络战——个人数据的武器化
攻击者正在尽其所能攻击组织和个人. 他们正在将数据武器化,并将其作为人质,直到支付赎金. 为了解决这个问题, 隐私专家和组织应该确保他们正在实施强有力的数据保护控制, 包括数据最小化和匿名化.
与此同时,消费者应该考虑他们在网上发布了什么信息. 填写个人信息,如雇主、地址、电子邮件、电话号码等.,在任何人都能看到的社交媒体资料中 使别人 使用OSINT技术来了解我们的一切. 然后,这些数据被用于通过网络钓鱼和其他针对性攻击来对付我们. 人们或组织发布的数据越少,风险就越小.
2. 监管趋同-私隐及风险管理
澳门赌场官方下载监管过度,给合规管理带来了挑战. 许多公司都有100多个必须遵守的法律法规的合规足迹, 更糟糕的是, 这些通常是直接冲突的. 这几乎是不可能管理的,所以公司通常什么都不做——这不是一个解决方案!
不再需要专门针对行业的法律-取而代之的是HIPAA, FERPA, PCI等., 所有处理个人资料的机构均应平等对待, 协调公司的需求,减少不合规的风险.
组织很难理解他们愿意接受多大的隐私风险. 董事会和领导人很少讨论隐私风险偏好. 隐私负责人应该确保他们的项目包括隐私风险管理项目, 隐私风险偏好, 隐私风险承受能力, 隐私关键性能指标, 隐私关键风险指标, 隐私度量和报告. 随着合规环境的不断发展,2023年这些需求也有所提高.
3. 零信任隐私和数据治理
数据是隐私的基础,也是零信任计划中被遗忘的组成部分. 从总体保护表面开始,了解库存直至数据元素级别, 数据映射和数据处理活动将支持跨职能的组织目标. 数据治理对组织至关重要, 确保数据不会在违反隐私法的情况下传输到世界上的国家或地区.
多年来,跨境数据传输一直面临挑战. 各国正在发布自己的数据存储和跨境传输指南和规则. 这促使隐私专业人员将零信任隐私与数据治理放在首位.
4. 隐私工程师的崛起- SDLC和api中的隐私和透明度
隐私工程师帮助协调业务、法律和技术控制. 隐私工程师通过确定解决方案并与开发人员合作实现这些解决方案来支持数据治理策略. 隐私设计并不是实现的分步指南, 为什么隐私工程师是至关重要的呢. 专业人士可以打开大量的职业机会 获取技术知识 成为一名高效的隐私工程师.
工程师帮助开发人员和业务人员了解隐私需求和潜在的解决方案,以满足法规遵从性. 当组织获得工具和解决方案时, 大多数人希望找到一种方法将它们与现有的内部系统集成在一起, 最常用的是通过api. 然而,它们无法评估通过API传输的数据, 给组织带来重大风险.
5. 隐私权是每个人的责任
ComPriSec是合规性、隐私和安全性的融合. 它需要组织中所有三个团队的协作和伙伴关系,共同确保安全控制满足遵从性和隐私义务. 隐私本身无法做到这一点. 遵从性不能简单地规定法律法规,然后希望安全部门理解. 在行业标准(如NIST隐私框架和NIST网络安全框架)的基础上,实施强大的隐私和安全计划,相互补充,需要组织所有领域的参与和关注跨职能协作. 有效的私隐功能需要强大的保安基础来保障个人资料.
随着监管环境的不断发展,隐私对许多组织来说变得比以往任何时候都更加重要. 这种增加的隐私风险将推动每个人都参与解决问题的需求, 包括监管机构通过不针对特定行业的总体隐私法来简化负担.
对于许多组织来说,这只是隐私之旅的开始. 在整个组织中,总是有机会发展和提高隐私. 从某个地方开始. 隐私是一个复杂的、多学科的问题. 重点不是把事情做好,而是从某个地方开始. 无论发生什么, 有一件事是肯定的:隐私将继续作为一项重要的数字信任准则. 登上这艘船,开启一段与过去20年安检经历相似的旅程.
