每个网络安全专业人员都需要知道的关于隐私的10件事

瓦莱丽·里昂
作者: Dr. 瓦莱丽·里昂, BH Consulting首席运营官
发表日期: 2024年1月22日

我即将在 ISACA 2024虚拟会议 会涵盖网络安全专业人员应该知道和理解的一些最重要的隐私元素吗. 我敢打赌,大多数读者会说这些元素是GDPR或CCPA或HIPAA等. 然而,我认为,虽然立法很重要,但隐私远不止于此. 我们需要超越单纯的立法来思考隐私问题,更深入地理解它,而不仅仅是合规责任.

隐私可以被归类为一种经济责任, 由于组织处理信息不当可能会受到监管罚款, 声誉受损和/或加强监管. 隐私可以被归类为一种法律责任,因为隐私立法要求对个人数据的处理进行严格的治理. 由于立法滞后于伦理,隐私也可以归类为一种伦理责任, 道德开始发挥作用.

隐私和网络安全之间的交集越来越多,两者之间的界限越来越模糊. 举个例子,数据泄露在网络安全领域已经存在了很多年. 然而, 因为全球采用了GDPR和一些数据保护和隐私法的强制性披露要求, 数据泄露的责任和所有权之间的平衡已经变得模糊.

此外,隐私的语言也非常不同 从网络安全 ——网络安全专家谈论渗透测试, 漏洞评估, ransomware攻击, 防火墙, 操作系统, 恶意软件, 反病毒, 等. 与此同时, 隐私专家谈论数据保护影响评估, 判例法判决, 设计和默认的隐私, 合法权益评估, 比例, 等. 事实上, “隐私”一词本身就不一致, 数据保护和隐私之间的根本差异及其在不同司法管辖区的定义之间存在许多混淆.

支持网络安全专业人员与, 理解并支持隐私团队, 我的演讲首先强调了网络安全专业人员应该理解的关键术语,以便能够更流利地谈论隐私语言. 在我职业生涯的前20年里,我一直在高级网络安全领域工作,在类似级别的隐私领域工作了10多年, 同时还完成了隐私学博士学位,写了一本关于隐私领导力的畅销书, 我学会了网络安全的语言和隐私的语言. 虽然没有通用的语言(这很好), 同时处理隐私和网络安全的框架为这一挑战提供了极好的解决方案, e.g.例如,NIST网络安全和隐私框架或ISO 27001/27701标准.

我的演讲还将概述隐私立法中的关键过程,这些过程与大多数数据保护立法采用的典型基于风险的方法相关, e.g.、数据保护影响评估. 然而, 本演讲还描述了隐私的其他重要特征,这些特征对于理解立法之外的内容很重要:例如隐私作为一种商品, 一个资产, 一种文化态度和一种控制形式. 此外,本文还概述了影响我们隐私行为和态度的因素,以及在1)为团队招聘人员和2)为组织制定培训和意识项目时考虑这些因素的重要性.

最后,本演讲将揭示某些隐私条款的一些挑战.g.即GDPR定义的“数据保护官”或DPO. 使用此术语来描述角色意味着您必须遵守GDPR所描述的要求. 然而, 如果您没有强制要求指定DPO, 那么在某些情况下,考虑使用其他头衔可能是明智的——比如隐私冠军或隐私领袖.

我是如何选择每个网络安全专业人员都应该知道的10件事的? 八项经合组织隐私原则, 七个隐私设计原则, GDPR中的99条, 173场GDPR独奏会, 至少有20项重要的数据保护立法, 处理的六个主要法律依据, 至少有10个缩写词,等等, 根据我最常被问到的问题或客户提出的领域,我将“所有关于隐私的事情”提炼成10个关键问题. 我期待着与你一起探索他们的更多细节 会议!

额外的资源