技术创新为组织创造了商业价值，但也为数据隐私和保护带来了新的挑战。大流行表明，技术的重要性使我们能够在家工作，以提供业务连续性并与我们的大家庭和朋友保持联系。

但是，在某些情况下，牺牲隐私以快速跟踪数字转换会产生严重的不利影响。这些数字化转型对于业务的持续发展至关重要，但同时也带来了新的风险。国际隐私专业人员协会发布的一份名为“ COVID-19之后的隐私”的研究报告显示，采用新技术在家中工作的人们中有60％跳过或加快了安全/隐私审查，从而创建了一套全新的对公司的风险。如2020 IBM数据泄露成本报告所述，可能还会增加任何由此导致的数据泄露的成本。

好消息是，在为实现业务连续性而实施数字化转型这一艰巨的壮举之上，管理隐私不必再是一项艰巨的任务。为了帮助组织更好地计划其隐私和安全策略，我们需要认识到企业领导者要实现整体数据隐私和保护实施所必须面对的挑战。

新法规，新挑战

从全球来看，大西洋两岸的监管压力越来越大。欧洲的GDPR和美国的CCPA都包含用于管理用户数据的严格协议，并且都威胁到对会出错的企业处以高额罚款。根据普华永道的风险地图，我们在北美、拉丁美洲、亚洲、欧洲和大洋洲等地区拥有全球1,800多个数据隐私法规。形势正在迅速发展，越来越多的国家定期加入。

违反数据隐私的后果可能会长时间困扰任何组织。由于巨额罚款和诉讼费用，以及失去的客户业务和信誉受损的信誉而造成的灾难性财务损失。资源少得多的小型企业可能遭受的打击更大。他们中的许多人可能破产或倒闭。由于客户对数据隐私的关注，大多数组织可能会面临销售周期的延迟。

越来越多的隐私和安全解决方案旨在为面临此类痛苦的组织提供支持。对数据有部分了解或在问题的缩小范围内进行操作就像打开后门。实际上，Gartner发布的“文件分析软件市场指南”报告显示，到2024年，同一治理程序中不包含非结构化，半结构化和结构化数据的信息治理程序将有80％失败，而这一比例从30％上升到今天。

建立安全组织的基石

数据隐私是整体数据安全和隐私策略朝正确方向迈出的一步。组织需要建立隐私优先策略，以使其具有竞争优势。使用数据科学促进业务发展的组织将必须遵守多个法规。此外，正如2020麦肯锡研究报告所强调的那样，有71％的消费者声称他们不会与未经允许就泄露敏感数据的公司开展业务。这使公司难以应对不断增长的州，全球和特定行业的法律和市场需求，从而给他们带来巨大的风险。

为了保护信息，这是大多数攻击的目标，您需要知道哪些数据至关重要，数据位于何处，如何使用以及谁可以访问它。需要定义策略以确保以适当且合规的方式收集，共享和处理消费者的个人身份信息（PII）。

在当今数据驱动的经济中，组织需要朝着一种更全面，更主动的方法来应对安全威胁和管理合规性要求。因此，如今，企业比以往任何时候都需要基于可靠风险管理的强大IT治理，以恢复对全球政府和行业提供的安全性和隐私保护的信心。

更好的数据可视性

洞察组织的敏感数据并定义哪些数据敏感以及敏感程度是任何整体数据安全和隐私计划中至关重要的第一步。组织无法保护他们不知道的东西！如Forrester报告“从隐私就绪转变为持续合规”所述，组织必须优先考虑数据发现和分类。Forrester为建立可重复的流程来定义，分析和保护数据提出了有力的论据，因为它不仅支持遵守相关行业特定的法规要求，而且还使安全和IT团队可以全面了解如何访问和使用数据，并管理数据在组织中的移动。

有效数据隐私和安全组织的5个步骤

有效的数据隐私有五个步骤：

1. 设置策略以搜索不同数据存储中的敏感数据

   确定组织中存在哪些类型的敏感数据可能会带来挑战。这项工作应围绕业务流程进行组织，并由流程所有者驱动。

   
   

2. 发现数据的位置

   数据发现工具可以帮助生成结构化和非结构化数据的清单，并帮助您准确了解公司数据的存储位置，而不管格式或位置如何。这些工具还通过提供有关正在处理云或本地数据的用户的见解，帮助解决围绕识别数据所有者的困难。

   
   

3. 识别和分类数据

   只有知道了数据的存储位置之后，才能对其进行识别和分类，以便对其进行适当的保护。对组织拥有的数据类别具有可见性，可以了解要保护的数据，如何执行数据以及如何使用不同的数据类型。

   
   

4. 完成敏感数据的风险评估

   根据敏感度级别或数据类型识别与个人和敏感数据相关的风险。风险是指暴露数据的可能性，以及可以对数据进行最高风险排名的风险评分。风险应考虑不同方面，例如发生次数、数据类型、位置等。对风险的这种了解可以确定补救措施的优先级。

   
   

5. 补救有风险的数据

   一旦组织对他们的个人和敏感数据及其风险有了清晰的了解，他们现在就可以将其与隐私义务联系起来，并确定最适当的措施以最小化风险并遵守隐私目标。

同样，理想情况下，组织应该尝试使用智能策略来自动执行修复。例如，如果组织在公共数据库中找到PCI数据，则可以制定策略以自动标记该特定数据。相比之下，如果他们在公共文件共享中包含PII，则他们可能希望有一个策略来自动加密有问题的文件共享。集成和自动化的解决方案有助于消除盲点和人为错误，这在遵守各种法规方面可能会产生巨大差异。

揽阁信息可提供帮助

揽阁信息是Thales的合作伙伴，Thales CipherTrust数据发现和分类提供了一个统一的平台，可帮助组织有效地在广泛的位置（如云，数据湖等）中查找结构化和非结构化的敏感数据。通过简化的流程和丰富的可视化，它可以清晰地查看敏感数据和风险，以便公司可以采取适当的步骤来保护对他们而言最重要的事情。

点击此处，查看CipherTrust数据安全平台的介绍。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 育碧（Ubisoft）被黑客攻击48小时：900GB数据险遭泄漏

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规