.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
這是一本用於評估、操作和加速智能數據隱私解決方案的分步工作手冊,在上一篇文章中已經闡述了製定隱私計劃策略的整體思路和實施步驟的前三部分,在這本文中將繼續圍繞數據隱私治理最佳實踐的剩餘部分。
隱私與安全數據智能由於您的數據環境不斷變化,因此根據數據源系統的更改頻率以及數據隱私政策和法律的更新,安排掃描和分析活動。這使您能夠以一致性進行擴展,並發現新的數據風險,以便現在進行優先排序。
對數據分類和用戶活動的深入了解提供了所需的數據智能,以便就如何最好地協調數據保護計劃做出明智的決策,從而優化隱私運營計劃的投資回報率。
隱私運營指標和報告管理個人和敏感數據的風險需要智能洞察,使您的數據利益相關者能夠根據風險指標、警報和報告以及摘要儀錶盤調整優先級。這使分析員能夠溝通隱私操作,例如控制措施的有效性和已實施的自動化風險補救計劃。
需要尋找的關鍵隱私操作功能包括:
風險評分——被掃描數據存儲的總體或特定隱私暴露的指標,以及隨時間變化的趨勢。
數據保護狀態——顯示通過掃描數據存儲而受保護的敏感字段和文件的百分比或數量。
數據敏感度級別——如果數據存儲符合掃描的關鍵標準,則基於分類策略(受限、機密、內部、公共等)的數據存儲的百分比或數量。
殘餘風險等級——補救暴露敏感數據的數據洩露所需的費用(如美元價值)。指標可以包括與敏感數據相關的數據字段和文件的數量、印象和趨勢。
按位置(數據存儲、部門、地理位置)和風險類型(如監管要求)將風險細分為風險的透明度
與一個或多個目標數據存儲共享的敏感數據匹配分類策略的數據存儲。
此外,風險優先級規劃必須通過突出隱私狀態的關鍵指標來實現知情決策:
優先級字段最多的敏感字段數量,例如列表和趨勢視圖。
優先級數據存儲最多的敏感字段,例如列表和趨勢視圖。
重點位置集中在哪些組織部門等位置。
基於用戶訪問和使用敏感數據的優先用戶風險。
數據隱私治理和安全儀錶盤可以突出顯示最高風險優先級、暴露成本,以及自動化補救措施(包括數據匿名化、報告、使用第三方工具編寫腳本等)的趨勢。
儀錶盤視圖示例
四、採取措施:補救數據風險您的組織需要加強數據保護並實現透明度,以降低風險並遵守隱私規定。根據新的數據智能、安全和隱私控制可以實現自動化和協調,以降低數據風險暴露,加快安全數據使用,從而為企業創造價值機會。
今天的數據隱私法規不僅要求數據受到保護並報告為安全的,還考慮到消費者權利要求個人數據的使用或共享方式具有透明度。針對風險的補救措施可能需要通過數據主體報告進行數據脫敏或刪除,以驗證個人數據的使用是否符合消費者的權利,以便進行適當的使用。
此外,儘管侵犯數據隱私可能會導致監管部門罰款,但其他類型的敏感信息(如知識產權和商業秘密)也需要保護,以免被濫用。這些數據應被視為整個組織的關鍵、高價值資產,以避免因安全漏洞和其他利用漏洞而造成的損失。
優先考慮您需要考慮的風險修復選項來協調數據隱私控制:
數據保護安全性——如數據去識別和最小化,可以在脫敏或匿名時轉換數據以供安全使用,也可以將其從進一步暴露中移除。
報告數據風險的透明度——可以在審計期間彌補漏洞,提醒利益相關者保護狀態,並通過數據主體報告(DSR)通知客戶他們的數據正在被處理,符合他們的權利。
運營自動化——隱私分析師可能需要向服務台、票務和跟踪系統提供數據智能,以進一步處理數據,以實現可視性和行動。
基於API的集成——為了協調補救,可以使用與第三方應用程序的腳本來控制基於用例的數據暴露,例如雲數據湖加密或測試數據/DevOps工具。
五、負責任的數據使用培訓解決方案用戶需要接受培訓,以了解智能數據隱私的好處,並學習如何有效地使用數據。業務和IT部門都需要一個計劃來培訓員工以支持解決方案,然後教用戶如何使用它來降低風險,實現安全的數據使用,並與組織利益相關者和消費者建立更高的透明度。
以下是通過培訓促進數據隱私治理採用的四項行動:
培訓內部支持人員。因為您的支持人員將作為您的內部數據隱私專家,所以培訓他們了解安全和負責任的數據使用最佳實踐。利用現有培訓材料,考慮供應商或服務夥伴提供的專業服務。您將需要定制培訓,以符合組織對數據的特定行業和隱私合規性要求。
培訓業務冠軍。讓您的數據主體專家參與培訓內部數據消費者,並充當影響者,推動業務用戶的採用。可以利用您的支持專家來培訓解決方案。專注於安全數據使用,作為一個加速器,使數據民主化,用於開發和改進新產品和服務、可信分析、數據安全到雲,以及通過信任提高客戶忠誠度。
為最終用戶創建培訓內容。讓業務數據主體專家為最終用戶定義實踐培訓內容,包括用例場景、發現和風險分析。培訓應定位並比較智能數據隱私方法,以演示自動化解決方案的好處。它還應該傳達您的程序策略,以便用戶了解大局,這將幫助您更好地設定長期推出的預期。此外,創建簡短的教育視頻和指南,解釋如何使用解決方案執行特定於組織數據的任務。
開放的辦公時間。在培訓課程結束後留出幾週時間,讓用戶有時間更加熟悉數據隱私解決方案。然後,提供一對一的開放辦公時間,使用數據隱私解決方案解決用戶特定的現實問題,並根據目標評估取得的進展。
六、跟踪使用情況並徵求反饋你無法改進你沒有衡量的東西。因此,閉環、衡量結果和收集反饋至關重要。
跟踪使用情況和隱私指標從監控解決方案使用和跟踪捕獲業務影響的指標開始。這些指標可能包括:
掃描的數據源
清點和分類的數據
最大風險:數據存儲和類型、位置
DSAR報告(數字、完成時間)
數據保護狀態(百分比、數字)
殘餘風險成本(優先規劃)
利用這些信息了解用戶採用情況,展示成功,並解決您發現的挑戰,以幫助推動和改善有意義的結果。
例如,隱私分析可能表明營銷部門處理更多的PII,從而產生更高的風險敞口。您可以使用這種智能來協調數據匿名化,以屏蔽特定的數據字段,而不會犧牲安全訪問記錄的總體數據實用程序。
通過了解數據使用情況,自動檢測訪問條件中的異常情況,並糾正不必要的暴露,您的數據保護計劃可以成為越來越多違反法規遵從性政策的行為與發現新的、未開發的數據之間的區別,這有助於為渴望數據的業務股東創造價值創造機會。
收集用戶反饋組織實施數據隱私解決方案,以發現和管理風險,提高情報和透明度,並保護數據。通過收集反饋並鼓勵數據用戶之間的協作,您可以利用有關數據的專業知識,並在整個組織內安全地共享數據。通過以下方式鼓勵合作並徵求用戶反饋:
從安全風險(降低風險)和安全價值創造的角度來宣傳隱私。
通過遊戲化為用戶提供審查風險的任務,增加興奮度和參與度,以發現最重要的事項。
舉辦後續研討會,通過分享技巧和竅門,討論哪些方法有效,哪些需要改進,以促進最佳實踐的採用。
七、精益求精一旦你的試點項目被證明是成功的,在業務優先級的指導下擴大隱私解決方案的使用。通過逐步向試點添加更多用戶、實施新用例,甚至創建自定義數據洞察,提高解決方案的採用率,同時確保業務涉眾能積極的參與每一個步驟。
列出你從試點項目那裡學到的關鍵見解
列出試點項目取得的快速勝利
優先考慮可以通過擴展程序來解決的新用例和難點
確定可以從中受益的新數據涉眾
擴展您的智能數據隱私功能在擴展數據隱私解決方案時,您可能希望進一步對其進行定制,以支持特定的隱私用例或監管要求。為您的隱私解決方案提供可擴展性並以一致的方式向外擴展是至關重要的。尋找能夠提供以下功能的解決方案:
自定義修復操作根據觸發的策略或按需運行的任務來考慮自定義操作。這可能包括:
在滿足風險閾值條件時屏蔽數據或運行工作流腳本
如果發生違反安全策略的情況,則向收件人發送警報,以便在發現需要通知的信息時自動處理數據主體請求或電子郵件
在違反策略、滿足數據主體請求或發現其他問題需要幫助台跟進時,創建服務管理記錄單
與syslog集成,聚合違反安全策略的行為,實現集中報告的靈活性和提醒
檢測預期行為中的異常異常檢測是一個識別敏感數據上用戶活動異常模式的過程。這可能表明存在惡意行為,例如數據洩露或憑據被盜。您的智能隱私解決方案需要能夠監控活動,通過跟踪一段時間內的趨勢來確定用戶和用戶對等組的基線行為。當用戶行為偏離基線時,可以將異常作為潛在風險進行警告和調查,以確定優先級,並使用首選的風險補救方法採取行動。
創建風險模擬計劃作為一項持續的隱私操作,您需要製定計劃,以降低一個或多個數據存儲中未受保護的敏感數據域的風險分數和剩餘風險成本。
對於每個風險模擬計劃,您應該能夠調整掃描數據存儲中敏感數據字段的保護狀態,以模擬在發生安全漏洞時對組織潛在成本的影響。
作為計劃詳細信息的一部分,風險模擬指標應以為組織選擇的貨幣顯示當前和估計的風險分數、保護狀態和剩餘風險成本。這有助於溝通並證明您提出的投資是合理的,以便為最佳投資回報率排定優先級並糾正風險。
風險模擬應該指出計劃中每個數據存儲的當前值和估計值,以及編輯計劃以保護更多數據域或關注更少數據域的靈活性
建立數據主體註冊表今天的數據隱私合規法律要求及時報告整個組織的個人數據使用情況。通過將數據映射到身份,建立數據主體註冊中心,您可以獲得數據智能洞察,以了解消費者使用了哪些數據,以及居住和法律持有狀態等屬性。除了數據沿襲,您還可以深入了解用戶權限的合規狀態,跟踪跨境數據傳輸,並在法律規定的時間範圍內自動生成DSAR報告。
結論:加快將數據作為業務資產的使用智能數據隱私解決方案通過全面的數據保護加速了數字轉型,並實現了用於風險管理的透明度。使用自動化操作控制的好處包括更快、更可靠的數據發現、更短的智能洞察時間,以及降低安全釋放價值創造機會的風險。
通過實施智能數據隱私,您可以將完全不同的機密數據作為企業資產加以保護。但要從數據中產生最大價值,不僅需要IT和安全部門廣泛採用,還需要業務用戶廣泛採用。
越來越多的敏感和個人信息提供了獲取客戶新見解、推動產品和服務創新、優化商業計劃以釋放未開發潛力的能力。但數據需要負責任地處理,以避免造成責任。通過遵循本手冊中概述的方法來演示、自動化和協調數據保護和透明度,您可以更好地讓業務用戶了解保護企業數據的價值,加快在整個組織中採用數據隱私控制,並將風險置於後視鏡中。