Як CISO можуть керувати перетином безпеки, конфіденційності та довіри

Серед фахівців з кібербезпеки існує стара приказка: неможливо захистити те, чого ви не бачите. І оскільки дані вибухають буквально всюди, захистити їх стає все важче. 

За оцінками Всесвітнього економічного форуму, до 2025 року обсяг даних, які генеруються щодня, досягне 463 екзабайти (EB) у всьому світі. Щоб пояснити цю цифру, 1 EB еквівалентний 1 мільярду гігабайт. Від CISO вже вимагають за будь-яку ціну охороняти розгалужені корпоративні та клієнтські дані, інакше вони ризикують отримати значні юридичні штрафи та штрафи за дотримання вимог; тепер вони стикаються з ще більш складним викликом. 

Країни в усьому світі впроваджують комплексні вимоги до конфіденційності, з 71% країн вже мають певну форму законодавства про захист даних і конфіденційності. Зі збільшенням складності та змін у системі регулювання організації повинні переконатися, що захист конфіденційності залишається центральним у їхній діяльності.

Проблеми конфіденційності та захисту даних

Там"sa значне збігання між конфіденційністю та захистом даних. Ти можеш"не мати одне без іншого, а покращена безпека даних і прозорі зобов’язання щодо конфіденційності клієнтів можуть підвищити довіру. CISO відіграють важливу роль у створенні загальної довіри, вибираючи правильну суміш автоматизованих рішень захисту даних нового покоління, які можуть захистити дані та поважати вподобання клієнтів щодо того, як вони використовуються.

В останні кілька років клієнти вимагали рішень для захисту конфіденційності даних, вбудованих у хмарні служби, які вони використовують для розвитку свого бізнесу. Вони зіткнулися з трьома ключовими проблемами:

• Їм було важко ідентифікувати особисті дані та керувати ними в існуючих хмарних середовищах. У них також не було належних інструментів, щоб виявити та визначити, що таке особисті дані.

• У них було багато архаїчних, ручних процесів для управління ризиками. Вони використовували електронні таблиці, щоб зберегти конфіденційність даних, і їм було важко встигати.

• Вони зіткнулися із запитами щодо прав суб’єктів (SRR), які були запроваджені GDPR, CCPA та багатьма іншими нормативними актами. Клієнтам потрібен був спосіб виконання цих запитів на права суб’єктів.

Масштабне управління SRR

Реагування на SRR може бути ресурсомістким, дорогим і складним в управлінні. Знайдено звіт IAPP/EY більше половини організацій обробляють SRR вручну, тоді як кожна третя автоматизувала процес. За даними Gartner, більшість організацій обробляють від 51 до 100 SRR на місяць із вартістю понад 1,500 доларів США за запит. У міру набуття чинності більшої кількості положень щодо конфіденційності та підвищення інформованості громадськості про свої права очікується, що обсяг SRR значно зросте, що вплине на організації" ресурси навіть далі.

Щоб обробити SRR, організація повинна перевірити суб’єкта даних, щоб переконатися, що ця особа є тією, ким вона себе видає, і має права на інформацію. Потім він може збирати інформацію, переглядати, редагувати, де це необхідно, і надавати відповідь запитувачу в спосіб, який можна перевірити.

Більшість організацій мають процеси для відповідей SRR, але покладаються на електронну пошту для співпраці, електронні інструменти виявлення для пошуку та перевірку вручну для виявлення конфліктів даних, наприклад файл, що містить дані кількох людей, пов’язані з конфіденційністю. Ці процеси можуть працювати, але вони не працюють"т масштаб. Вони також створюють розповсюдження даних і додатковий ризик безпеки та відповідності.

Натомість організації повинні зосередитися на створенні стандартизованого та інтегрованого процесу для підтримки управління SRR. Цей процес починається з пошуку відповідних даних, виявлення конфліктів даних, перевірки даних кількох осіб і правових конфліктів і, нарешті, перегляду набору даних кількома командами, перш ніж відповісти на тему"запит. Автоматизація виявлення та пошуку даних має вирішальне значення. Зрештою, чим швидше та легше компанія може шукати дані, оцінювати обсяг даних і коригувати пошукові запити, тим ефективнішим буде її процес SRR. Це також може допомогти зменшити ризик втрати ключової інформації, що може бути дорогою помилкою, через яку компанії не відповідають вимогам.

Інтеграція інструменту SRR із рішеннями інформаційної безпеки та відповідності може допомогти ефективніше та точніше виявляти потенційні конфлікти даних. Ми також рекомендуємо організаціям скористатися перевагами надійної платформи сортування та перевірки, забезпечити безпечну та відповідну співпрацю та вибрати рішення, сумісне з їхніми існуючими екосистемами конфіденційності. Це дозволить їм реагувати на SRR єдиним чином у всіх своїх масивах даних.

Зрештою, якщо компанії хочуть використовувати силу, яку можуть запропонувати дані, вони повинні спочатку мати можливість захистити їх - аі конфіденційність даних йде рука об руку з безпекою даних. Дізнайтеся більше про те, як оптимізувати захист конфіденційності даних і SSR завантаження нашої електронної книги.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
• Карбування майбутнього з Адріенн Ешлі. Доступ тут.
• Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
• джерело: https://www.darkreading.com/microsoft/how-cisos-can-manage-the-intersection-of-security-privacy-and-trust