在今天的数字环境中, 隐私泄露对估值的直接影响, 股票价格和盈利能力的组织是明确的. 组织希望优先考虑用户的隐私声明和政策,而不仅仅是为了保护他们的价值和遵守现有的法律, 但也要提供产品的圣杯:信任. 组织必须积极主动地保护数据隐私,以获得客户的信任.
世界各地的组织都在调整其数据隐私策略以符合要求. But compliance does not usually breed proactiveness; it is a means to check the boxes that keep the organization on the right side of the law until new laws are enacted. 除了, 法律通常是在事件发生后制定的,并实施到位,以确保此类事件不再发生. 想象一下,如果组织能够主动保护用户的隐私,那么节省的成本将是巨大的.
从网络安全专业人士的角度来看,这就像是在雷区里跳来跳去. 组织通常有适当的措施来阻止现有的威胁, 但是,那些总是潜伏在地平线上的新威胁怎么办呢? 说到隐私, 由于用户数据泄露,品牌在一夜之间失去了市场价值. 当用户数据涉及个人身份信息(PII)时,风险甚至更高。, 特别是如果它们涉及金融数据,可以通过社会工程来攻破网络堡垒. 黑客们也已经进化到为目标构建社交档案,这些档案中不仅包含目标的个人身份信息, 还有他们的家庭成员. 这是潜在的危险信息,黑客可以有效地利用这些信息来达到他们的目的.
组织必须积极主动地保护数据隐私,以获得客户的信任.
这种违规行为的直接影响不仅仅是对品牌的影响, 而且对组织的股东也有影响,因为品牌市场价值的任何负面变动都会影响股东对组织的投资价值. 其他利益相关者,如供应商和合作伙伴,可能已经允许访问组织的专有技术,也出现在黑客的雷达上,因为所有现代系统都是相互连接的.
说到信任,每个员工都把个人身份信息托付给雇主. 这些数据需要得到保护,只有那些具有必要的基于需求的访问权限的人才能访问它们. 组织必须问自己数据是如何存储的, 谁有权访问这些数据,有权访问这些数据的人实际上需要这些数据吗. 健康记录等敏感数据需要更高程度的数据管理.
那么,组织可以做些什么来确保数据隐私呢?
有健全的数据隐私政策吗
侵犯隐私往往会导致对股东信任的违背. 因此, 有一个明确的数据隐私策略是至关重要的,该策略应该扩展到客户, 合作伙伴和员工作为这些群体中的每一个都需要受到保护以防止违规. 拥有健壮的数据流程图以了解PII信息的收集位置也很重要, 加工和储存.
执行移动数据管理策略
大量的移动员工加上远程工作意味着数据正在超越严格的传统防火墙的限制. 如果员工可以在不使用vpn的情况下访问澳门赌场官方下载数据, 那就有问题了. 将自带设备(BYOD)功能添加到这种组合中,使执行移动数据管理策略变得更加困难. 当组织对个人设备实施BYOD政策时, 他们应确保设备上员工的PII信息不被访问或删除. 在实施这些政策之前,应提供充分的隐私通知和意识,并获得同意.如果不采取这些措施,可能会导致对员工信任的破坏.
实时数据监控
数据隐私泄露的主要原因之一是社会工程攻击. 组织可能会进行检查,以确保垃圾邮件和网络钓鱼邮件不会到达澳门赌场官方下载邮箱, 但是,如果有人在澳门赌场官方下载网络上点击个人邮箱中的网络钓鱼链接怎么办? 另一个有风险的活动是员工将数据从澳门赌场官方下载邮箱发送到个人电子邮件地址. 实时监控机制可以保证敏感数据不被泄露, 提出必要的标志,并根据严重程度对事件进行沟通, 在实时.
风险评估
与实时数据监测并行的持续风险评估至关重要. 完成流程和网络的年度风险评估是一个好主意. 这似乎是多余的,但这是保持主动应对网络安全威胁的必要方式.
结论
底线是,数据管理和保护应该更少地关注成本和遵从性,而更多地关注组织建立和维护信任. 如果组织的数据不安全, 消费者, 合作伙伴和员工不会将他们的数据托付给组织, 当他们停止信任的时候, 这是有影响的. 组织必须超越法规遵从性来保持可信赖和成功.
迪帕瑟哈德里, CISA, CISM
她是德勤风险咨询业务的合伙人,在提供网络安全和技术控制咨询方面有25年的经验. 她在网络战略和治理方面有专门的工作经验, 为制造和技术部门的跨国组织提供风险和合规工作. 作为ISACA的一部分,她曾就这一主题发表演讲, 印度技术数据安全委员会的女性.