评估全球隐私状况

盖·皮尔斯
作者: 盖·皮尔斯,CGEIT, CDPSE
发表日期: 2023年1月17日

ISACA的《澳门赌场官方下载》报告, 基于来自不同地区的数字信任专业人士的反馈, 行业和专业经验, 对隐私行业的现状提供了有价值的见解. Three key themes emerged: 1) The need for more visible executive support for privacy; 2) the need for more privacy 技能 和人员; and, 3)给予行政支持, 技能, 和人员, 其结果是,如今许多隐私问题的可控性都有所增强.

实践中的隐私需要更多的行政支持

最高级别的主题包含在受访者报告缺乏对其组织隐私计划的支持中. 任务不明确, 缺乏行政支持, 40%的人表示缺乏能见度, 39%, 38%的受访者, 分别.

从转型管理的角度来看——考虑到构建组织隐私能力是一项主要的组织转型——这可能是管理层缺乏对组织隐私方法变革需求的认识的结果,也可能是两者兼而有之的结果, 和/或缺乏关键执行利益相关者参与和支持变革的愿望. 这意味着对于隐私计划将如何帮助高管实现他们的目标(愿望)没有共同的理解(意识)。, 或者在隐私项目中不同高管的角色. 没有这样的共识, 当然,要建立一个具有适当范围的可持续隐私计划将是困难的, 可见性, 支持和资源.

上述原因之一可能是没有将隐私目标表示为组织战略目标的一部分, 和/或在各个高管的目标和组织在隐私方面的总体目标之间没有明确的关系. 那些将隐私视为一项基本人权、隐私伦理发挥作用的组织,将更有可能看到更关注隐私与重建数字信任之间的关系. A 数字信任焦点 是由于对政府信任度的下降, 机构, 和组织, 因此,这对一个组织实现其目标和实现其愿景的潜力产生了负面影响. 只关注合规性仍然是狭隘的,合法性不一定等同于道德.

考虑到这种组织转型的规模,对隐私的明显支持需要从高层开始. 在人手不足的压力下,隐私保护项目几乎没有进展,每天都有漏洞, 导致本可控制的隐私问题.

实践中的隐私需要更多的技巧

人手不足的部分原因是缺乏支持, 这在一定程度上是市场动态的结果. 以市场动态为例, 大约一半的受访者表示,填补一个职位空缺需要大约6个月的时间, 以技术为导向的(CDPSE-type)隐私技巧. 具体来说,42%的受访者表示缺乏足够的资源来开展隐私项目.

一般来说,cdpse类型的差距与行业数据技能的差距是一致的, 特别是关于数据生命周期管理对组织有效运作的影响的理解. 数据生命周期构成了CDPSE资格的三个领域之一. 

因为技能差距, 对于那些至少在各种隐私领域有一定经验的候选人来说,隐私资格已经退居次要地位, 尽管没有任何相关的资格证明. 作为对技能差距的另一个回应, 一些组织还开展了技能培训,以帮助缩小差距. 

这种情况对任何拥有或正在考虑获得CDPSE资格的人来说都是积极的. 正如调查显示的那样,人们越是认识到技术差距与合规差距不同,对技术隐私技能的需求就越大, 从而获得市场对此类资质的认可.

更多的支持和更多的技能意味着更可控的隐私漏洞

组织隐私计划的一些主要失败是缺乏培训(49%的受访者), 数据泄露(42%), 个人信息检测不良或不存在(37%).

如上所述, 糟糕的培训可能是不得不招聘有一定经验的隐私候选人的结果, 但不一定有资格执行他们的任务. 这一发现也支持了前一节的发现,即一般来说存在对隐私资格的需求, 特别是对于技术隐私资格.

在数据泄露方面, 这在很大程度上仍是糟糕的内部做法的结果,比如没有“办公桌清洁”政策, 或者在“不需要知道的人”面前讨论敏感问题.“教育劳动力需要资源, 如果没有足够的资源, 这将需要更长的时间来教授和加强组织内部的学习. 在员工流动率高的组织中,这个问题更加严重.

当涉及到个人信息的检测, 就像网络安全一样, 组织数据分类是一种非常现实的需求. 这将有助于识别敏感数据,而不仅仅是静态数据, 而是在运动和使用中, 太, 更容易监控涉及敏感数据的异常行为, 以及促进私隐影响评估. 数据分类是数据管理的元数据领域的一部分, 这个领域对有效的数据生命周期管理非常重要, 引申开来, 有效的私隐管理. 

呼吁采取行动保护隐私

那么,这三个基于调查的全球隐私主题对作为隐私从业者的你来说意味着什么呢?

在增加行政支持方面, 除了抓住每一个机会,继续成为一个超越合规的隐私的强烈倡导者之外,没有什么可以做的. 适合组织的信息重复得越多, 它就越有可能成为更大范围对话的一部分, 因此,它更有可能成为更广泛的组织转型计划的一部分.

在提高技能方面, 很明显,与隐私相关的资格和经验还有增加的空间. 差距是存在的,而且在可预见的未来,这种差距没有缩小的可能. 换句话说,现在是时候追求你的第一个或补充隐私资格了!

隐私故障的更大可控性依赖于更大的支持和更高的技能. 如上所述, 注意隐私管理活动和数据管理活动之间的重叠并采取相应的行动是一个微妙之处. 毕竟,隐私活动的目的是保护数据,因此数据管理(例如.g., 元数据管理(以及安全管理)应该与隐私管理相结合,以有效地完成这些保护.