首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2023 / 将隐私意识与安全意识培训分开

将隐私意识与安全意识培训分开

Yunique Demann
作者: Yunique Demann
发表日期: 2023年3月13日

安全意识培训一直被认为是安全计划的关键组成部分. 组织安全计划的成功可以通过最终用户采取预防性网络安全措施的成功程度以及他们是否知道在恶意电子邮件发生时该怎么做来衡量, 网络入侵者或未经授权访问物理或技术信息.

隐私和安全性通常被捆绑到一个组织安全意识培训计划中,该计划侧重于机密性和保护数据机密性的适当机制. 保密, 因为它是由美国国家标准与技术研究院(NIST)定义的, 关注“保留对访问和披露的授权限制”, 包括保护个人隐私和专有信息的手段.”1 尽管隐私和安全之间有明显的联系, preserving the confidentiality of data is only one objective of data privacy; therefore, 对其他目标的认识应单独处理. 当隐私和安全结合到一个程序中, 有一种趋势是淡化隐私信息,或将其简化为维护数据机密性的一个方面, 但数据隐私还有更多的问题.

为什么组织应该分开对待隐私

2011年2月出版的NIST内部报告nstir 7298修订版12 第一次单独定义个人身份信息(PII)是什么时候. PII是一个常见的美国术语, 它还包括任何允许通过直接或间接手段合理推断该信息适用的个人身份的信息. 这一定义通常与欧洲的“个人数据”一词互换使用,3 隐私的主要目的是什么.

隐私法赋予个人对其数据的某些权利, 组织有义务关心他们的客户, 客户, 供应商和消费者确保其托管的任何数据都得到充分保护. 这些组织的员工在处理个人数据时必须意识到他们的责任, 组织有责任确保这一切发生. 员工永远是最薄弱的环节, 而是当他们没有意识到自己在确保个人身份信息得到充分保护方面的作用时, 错误会发生,隐私泄露也会发生.

新闻中的隐私

2011年的隐私泄露事件帮助将隐私意识提升到了优先级别. 索尼PlayStation网络, 索尼在线娱乐, 索尼影业和许多索尼网站因未能保护超过1亿用户的个人信息而面临多起集体诉讼.45 RSA遭遇了最引人注目的攻击, 黑客通过简单的社会工程策略窃取了与安全身份系统相关的信息.6 纳斯达克发现,黑客可能有能力看到10家公司董事会级别的沟通,000名高级管理人员通过其基于云的应用程序董事办公桌, 这让他们获得了可以卖给其他澳门赌场官方下载或用于市场交易的内部信息.7

组织意识到,一个引人注目的隐私泄露可能和安全漏洞一样是灾难性的. 这可能就是思维转变的开始, 组织开始采取更多措施将隐私放在首位.

2016年,欧盟通过了《澳门赌场官方软件》(GDPR), 总部位于美国的全球性组织开始更加关注隐私,并制定了年度合规培训计划,其中包括将安全和隐私意识培训作为单独的模块.

一个好的隐私培训计划应该解决PII问题, 个人信息和个人数据是不同的术语,因为即使它们可以互换使用, 它们是不同的.

什么是一个好的隐私程序

一个好的隐私培训计划应该解决PII问题, 个人信息和个人数据是不同的术语,因为即使它们可以互换使用, 它们是不同的. 共同的隐私原则和数据主体权利也应与本地和国际隐私立法(如GDPR和美国加利福尼亚州消费者隐私法案(CCPA))一起解决. 例如匿名化和假名化的区别, 隐私的设计以及在数据泄露事件中应该澳门赌场官方软件为隐私为什么重要的问题提供了背景,并为员工提供了处理个人数据所需的知识.

一个好的隐私培训计划应该使用各种视觉交互组件来吸引用户,并且不应该太长. 例如, employees do not want to sit through a 45-minute presentation; however, 如果太短, 培训的好处将是微乎其微的. 强烈建议在最后提供一个简短的测试,以巩固对要点的理解. 最后, 隐私培训应至少每年进行一次, 尽管全年的短期培训越来越普遍.

许多小型组织会争辩说,他们的业务面临的风险很小, 因此,他们不需要将隐私意识培训与安全意识培训分开. That may be true; however, 所有组织, 即使是小的, 是否最终负责确保所有员工都接受了培训,并获得了充分履行职责的资源. 如果员工没有接受正确处理PII的培训, 组织将会, 最终, 付出代价, 他们必须决定是否愿意承担什么样的风险.

结论

分离隐私意识培训有助于突出安全意识培训中未涉及的关键隐私原则. 当收集PII数据时, 每个人都有责任确保这些数据得到处理, 存储, 使用和保护. 任何对这一责任的缺乏理解都是组织有责任修复的漏洞.

归根结底,这是一个商业决策. 有一个隐私和安全意识培训计划总比没有要好, 但是,有两个重点项目来解决高风险问题不仅对组织有益, 员工也一样.

尾注

1 Paulsen C.; R. 拜尔; 国家标准与技术研究所(NIST)机构间或内部报告(IR) 7298修订3关键信息安全术语术语表2019年,美国
2 美国国家标准与技术研究院(NIST) NIST机构间或内部报告(IR) 7298修订1关键信息安全术语术语表2011年,美国
3 个人资料是与已识别或可识别的个人有关的资料. 识别个人的东西可以像名字或数字一样简单,也可以包括其他标识符,如IP地址或cookie标识符.
4 德格鲁特,J.; “网络安全历史上最重要的时刻(过去10年),《澳门赌场官方下载》,2022年8月22日
5 贝克,我. B.; J. Finkle; “索尼PlayStation遭遇大规模数据泄露路透社,2011年4月26日
6 格林伯格,.; “令人震惊的RSA黑客攻击的全部故事终于可以被告知,” 《澳门赌场官方下载》杂志2021年5月20日
7 王,我.; “纳斯达克过时的软件帮助黑客报告,” 方案2011年11月22日

Yunique Demann

是否具有20年以上管理全球合规项目经验的安全和隐私专业人员. Demann的职业生涯始于隐私领域,之后进入信息安全领域,并回到隐私领域. 她丰富的经验使她能够看到隐私和安全的融合如何支持组织的战略目标. 虽然两者缺一不可, 对于这两门独立但同样重要的学科的了解,是德曼向那些希望在董事会层面展示隐私合规的高管们传达的信息.