数据隐私治理最佳实践(下)
2022-7-11 12:4:9 Author: 嘶吼专业版(查看原文) 阅读量:7 收藏

这是一本用于评估、操作和加速智能数据隐私解决方案的分步工作手册,在上一篇文章中已经阐述了制定隐私计划策略的整体思路和实施步骤的前三部分,在这本文中将继续围绕数据隐私治理最佳实践的剩余部分。

由于您的数据环境不断变化,因此根据数据源系统的更改频率以及数据隐私政策和法律的更新,安排扫描和分析活动。这使您能够以一致性进行扩展,并发现新的数据风险,以便现在进行优先排序。

对数据分类和用户活动的深入了解提供了所需的数据智能,以便就如何最好地协调数据保护计划做出明智的决策,从而优化隐私运营计划的投资回报率。

隐私运营指标和报告

管理个人和敏感数据的风险需要智能洞察,使您的数据利益相关者能够根据风险指标、警报和报告以及摘要仪表盘调整优先级。这使分析员能够沟通隐私操作,例如控制措施的有效性和已实施的自动化风险补救计划。

需要寻找的关键隐私操作功能包括:

风险评分——被扫描数据存储的总体或特定隐私暴露的指标,以及随时间变化的趋势。

数据保护状态——显示通过扫描数据存储而受保护的敏感字段和文件的百分比或数量。

数据敏感度级别——如果数据存储符合扫描的关键标准,则基于分类策略(受限、机密、内部、公共等)的数据存储的百分比或数量。

残余风险等级——补救暴露敏感数据的数据泄露所需的费用(如美元价值)。指标可以包括与敏感数据相关的数据字段和文件的数量、印象和趋势。

按位置(数据存储、部门、地理位置)和风险类型(如监管要求)将风险细分为风险的透明度

与一个或多个目标数据存储共享的敏感数据匹配分类策略的数据存储。

此外,风险优先级规划必须通过突出隐私状态的关键指标来实现知情决策:

优先级字段最多的敏感字段数量,例如列表和趋势视图。

优先级数据存储最多的敏感字段,例如列表和趋势视图。

重点位置集中在哪些组织部门等位置。

基于用户访问和使用敏感数据的优先用户风险。

数据隐私治理和安全仪表盘可以突出显示最高风险优先级、暴露成本,以及自动化补救措施(包括数据匿名化、报告、使用第三方工具编写脚本等)的趋势。

仪表盘视图示例

您的组织需要加强数据保护并实现透明度,以降低风险并遵守隐私规定。根据新的数据智能、安全和隐私控制可以实现自动化和协调,以降低数据风险暴露,加快安全数据使用,从而为企业创造价值机会。

今天的数据隐私法规不仅要求数据受到保护并报告为安全的,还考虑到消费者权利要求个人数据的使用或共享方式具有透明度。针对风险的补救措施可能需要通过数据主体报告进行数据脱敏或删除,以验证个人数据的使用是否符合消费者的权利,以便进行适当的使用。

此外,尽管侵犯数据隐私可能会导致监管部门罚款,但其他类型的敏感信息(如知识产权和商业秘密)也需要保护,以免被滥用。这些数据应被视为整个组织的关键、高价值资产,以避免因安全漏洞和其他利用漏洞而造成的损失。

优先考虑您需要考虑的风险修复选项来协调数据隐私控制:

数据保护安全性——如数据去识别和最小化,可以在脱敏或匿名时转换数据以供安全使用,也可以将其从进一步暴露中移除。

报告数据风险的透明度——可以在审计期间弥补漏洞,提醒利益相关者保护状态,并通过数据主体报告(DSR)通知客户他们的数据正在被处理,符合他们的权利。

运营自动化——隐私分析师可能需要向服务台、票务和跟踪系统提供数据智能,以进一步处理数据,以实现可视性和行动。

基于 API 的集成——为了协调补救,可以使用与第三方应用程序的脚本来控制基于用例的数据暴露,例如云数据湖加密或测试数据/DevOps工具。

解决方案用户需要接受培训,以了解智能数据隐私的好处,并学习如何有效地使用数据。业务和IT部门都需要一个计划来培训员工以支持解决方案,然后教用户如何使用它来降低风险,实现安全的数据使用,并与组织利益相关者和消费者建立更高的透明度。

以下是通过培训促进数据隐私治理采用的四项行动:

培训内部支持人员。因为您的支持人员将作为您的内部数据隐私专家,所以培训他们了解安全和负责任的数据使用最佳实践。利用现有培训材料,考虑供应商或服务伙伴提供的专业服务。您将需要定制培训,以符合组织对数据的特定行业和隐私合规性要求。

培训业务冠军。让您的数据主体专家参与培训内部数据消费者,并充当影响者,推动业务用户的采用。可以利用您的支持专家来培训解决方案。专注于安全数据使用,作为一个加速器,使数据民主化,用于开发和改进新产品和服务、可信分析、数据安全到云,以及通过信任提高客户忠诚度。

为最终用户创建培训内容。让业务数据主体专家为最终用户定义实践培训内容,包括用例场景、发现和风险分析。培训应定位并比较智能数据隐私方法,以演示自动化解决方案的好处。它还应该传达您的程序策略,以便用户了解大局,这将帮助您更好地设定长期推出的预期。此外,创建简短的教育视频和指南,解释如何使用解决方案执行特定于组织数据的任务。

开放的办公时间。在培训课程结束后留出几周时间,让用户有时间更加熟悉数据隐私解决方案。然后,提供一对一的开放办公时间,使用数据隐私解决方案解决用户特定的现实问题,并根据目标评估取得的进展。

你无法改进你没有衡量的东西。因此,闭环、衡量结果和收集反馈至关重要。

跟踪使用情况和隐私指标

从监控解决方案使用和跟踪捕获业务影响的指标开始。这些指标可能包括:

扫描的数据源

清点和分类的数据

最大风险:数据存储和类型、位置

DSAR报告(数字、完成时间)

数据保护状态(百分比、数字)

残余风险成本(优先规划)

利用这些信息了解用户采用情况,展示成功,并解决您发现的挑战,以帮助推动和改善有意义的结果。

例如,隐私分析可能表明营销部门处理更多的PII,从而产生更高的风险敞口。您可以使用这种智能来协调数据匿名化,以屏蔽特定的数据字段,而不会牺牲安全访问记录的总体数据实用程序。

通过了解数据使用情况,自动检测访问条件中的异常情况,并纠正不必要的暴露,您的数据保护计划可以成为越来越多违反法规遵从性政策的行为与发现新的、未开发的数据之间的区别,这有助于为渴望数据的业务股东创造价值创造机会。

收集用户反馈

组织实施数据隐私解决方案,以发现和管理风险,提高情报和透明度,并保护数据。通过收集反馈并鼓励数据用户之间的协作,您可以利用有关数据的专业知识,并在整个组织内安全地共享数据。通过以下方式鼓励合作并征求用户反馈:

从安全风险(降低风险)和安全价值创造的角度来宣传隐私。

通过游戏化为用户提供审查风险的任务,增加兴奋度和参与度,以发现最重要的事项。

举办后续研讨会,通过分享技巧和窍门,讨论哪些方法有效,哪些需要改进,以促进最佳实践的采用。

一旦你的试点项目被证明是成功的,在业务优先级的指导下扩大隐私解决方案的使用。通过逐步向试点添加更多用户、实施新用例,甚至创建自定义数据洞察,提高解决方案的采用率,同时确保业务涉众能积极的参与每一个步骤。

列出你从试点项目那里学到的关键见解

列出试点项目取得的快速胜利

优先考虑可以通过扩展程序来解决的新用例和难点

确定可以从中受益的新数据涉众

扩展您的智能数据隐私功能

在扩展数据隐私解决方案时,您可能希望进一步对其进行定制,以支持特定的隐私用例或监管要求。为您的隐私解决方案提供可扩展性并以一致的方式向外扩展是至关重要的。寻找能够提供以下功能的解决方案:

自定义修复操作

根据触发的策略或按需运行的任务来考虑自定义操作。这可能包括:

在满足风险阈值条件时屏蔽数据或运行工作流脚本

如果发生违反安全策略的情况,则向收件人发送警报,以便在发现需要通知的信息时自动处理数据主体请求或电子邮件

在违反策略、满足数据主体请求或发现其他问题需要帮助台跟进时,创建服务管理记录单

与syslog集成,聚合违反安全策略的行为,实现集中报告的灵活性和提醒

检测预期行为中的异常

异常检测是一个识别敏感数据上用户活动异常模式的过程。这可能表明存在恶意行为,例如数据泄露或凭据被盗。您的智能隐私解决方案需要能够监控活动,通过跟踪一段时间内的趋势来确定用户和用户对等组的基线行为。当用户行为偏离基线时,可以将异常作为潜在风险进行警告和调查,以确定优先级,并使用首选的风险补救方法采取行动。

创建风险模拟计划

作为一项持续的隐私操作,您需要制定计划,以降低一个或多个数据存储中未受保护的敏感数据域的风险分数和剩余风险成本。

对于每个风险模拟计划,您应该能够调整扫描数据存储中敏感数据字段的保护状态,以模拟在发生安全漏洞时对组织潜在成本的影响。

作为计划详细信息的一部分,风险模拟指标应以为组织选择的货币显示当前和估计的风险分数、保护状态和剩余风险成本。这有助于沟通并证明您提出的投资是合理的,以便为最佳投资回报率排定优先级并纠正风险。

风险模拟应该指出计划中每个数据存储的当前值和估计值,以及编辑计划以保护更多数据域或关注更少数据域的灵活性

建立数据主体注册表

今天的数据隐私合规法律要求及时报告整个组织的个人数据使用情况。通过将数据映射到身份,建立数据主体注册中心,您可以获得数据智能洞察,以了解消费者使用了哪些数据,以及居住和法律持有状态等属性。除了数据沿袭,您还可以深入了解用户权限的合规状态,跟踪跨境数据传输,并在法律规定的时间范围内自动生成 DSAR 报告。

智能数据隐私解决方案通过全面的数据保护加速了数字转型,并实现了用于风险管理的透明度。使用自动化操作控制的好处包括更快、更可靠的数据发现、更短的智能洞察时间,以及降低安全释放价值创造机会的风险。

通过实施智能数据隐私,您可以将完全不同的机密数据作为企业资产加以保护。但要从数据中产生最大价值,不仅需要IT和安全部门广泛采用,还需要业务用户广泛采用。

越来越多的敏感和个人信息提供了获取客户新见解、推动产品和服务创新、优化商业计划以释放未开发潜力的能力。但数据需要负责任地处理,以避免造成责任。通过遵循本手册中概述的方法来演示、自动化和协调数据保护和透明度,您可以更好地让业务用户了解保护企业数据的价值,加快在整个组织中采用数据隐私控制,并将风险置于后视镜中。

参考及来源:https://www.informatica.com/products/data-security/data-privacy-management.html


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247545293&idx=3&sn=0552fadc7d52effa200de3a65f0e5a97&chksm=e915e1f7de6268e17f60923b8c2900744e409c6c80fcf34c2d3684be1a9b45bfe40d5fb60cc8#rd
如有侵权请联系:admin#unsafe.sh