隱私保護(hù)與IT技術(shù)應(yīng)該了解10件事

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

目前，IT技術(shù)在保護(hù)公司數(shù)據(jù)安全和個(gè)人隱私信息方面擔(dān)負(fù)巨大責(zé)任。本文介紹了在IT技術(shù)組織的日常工作中，隱私保護(hù)已經(jīng)變得多么重要與深入人心。個(gè)人隱私已經(jīng)成為大眾關(guān)注的焦點(diǎn)。頻繁的數(shù)據(jù)破壞、身份竊取以及諸如釣魚式攻擊欺騙已經(jīng)給大量公司和消費(fèi)者帶來負(fù)擔(dān)，并嚴(yán)重威脅網(wǎng)絡(luò)和電子商務(wù)服務(wù)的可信度。

調(diào)查表明，將近半數(shù)美國居民對(duì)已采取足夠措施保護(hù)個(gè)人信息安全幾乎沒有信心，伴隨這種信心缺乏的是日益增長的復(fù)雜網(wǎng)絡(luò)犯罪。很難說清楚，誰是合法的，但越來越多的用戶成為網(wǎng)絡(luò)的受害者。讓我們看幾個(gè)隱私保護(hù)問題，了解它們是如何影響IT技術(shù)。

#1：公布泄密的數(shù)據(jù)：這是法律規(guī)定

美國一部分州規(guī)定所有組織、個(gè)人以及商家在他們的私人信息確認(rèn)已被某個(gè)未授權(quán)者獲得時(shí)，應(yīng)當(dāng)向居民公布這個(gè)消息。當(dāng)一個(gè)組織擁有的個(gè)人信息已經(jīng)被泄密時(shí)，該組織必須公開向大家公布。2003年，加利福尼亞州通過了一項(xiàng)法案，該法案要求所有組織在它們?cè)馐艿娇赡軐?dǎo)致個(gè)人信息泄密風(fēng)險(xiǎn)的數(shù)據(jù)安全破壞時(shí)，應(yīng)當(dāng)通知居民。最近，有28個(gè)州通過了類似法案，其它超過15個(gè)州的安全破壞通知法案也是迫在眉睫。數(shù)據(jù)安全破壞通知的代價(jià)是昂貴的，因?yàn)檫@通常要每個(gè)人交罰單。

#2：客戶忠誠度直接取決于個(gè)人信息安全

當(dāng)顧客確信他們的個(gè)人和財(cái)務(wù)信息是受保護(hù)的，不會(huì)被未授權(quán)者非法獲得時(shí)，他們就會(huì)使用網(wǎng)絡(luò)購物、網(wǎng)上銀行、電子政務(wù)、網(wǎng)上醫(yī)療和其它服務(wù)。當(dāng)這種信任被破壞時(shí)，顧客的忠誠度會(huì)在一夜間崩潰。身份竊取和其它的欺詐所帶來的代價(jià)太大了，那些因泄密私人信息而失去顧客信任的公司，其它公司將不會(huì)與其做生意。

在2001和2004年間，有關(guān)部門采取了超過196項(xiàng)法律行動(dòng)來處理隱私保護(hù)問題，有255家公司成為被告，包括金融服務(wù)、健康醫(yī)療、醫(yī)藥衛(wèi)生、信息服務(wù)、電子商務(wù)、制造、媒體、零售等行業(yè)，有超過33類犯罪案件提起訴訟。以下是有些網(wǎng)絡(luò)用戶如何看待隱私的有趣數(shù)字：

86%的人關(guān)心個(gè)人信息保密。
45%的人從未向網(wǎng)站提供真實(shí)姓名。
5%的人利用軟件隱藏計(jì)算機(jī)真實(shí)信息。
86%的人支持在使用數(shù)據(jù)前的身份驗(yàn)證許可為“選擇輸入”。
94%的人希望懲罰破壞隱私者。

#3：IT 程序在隱私保護(hù)中負(fù)有重要責(zé)任

當(dāng)開發(fā)一個(gè)系統(tǒng)時(shí)，有以下幾點(diǎn)需要考慮：

確定你要使用的包括個(gè)人身份識(shí)別信息的數(shù)據(jù)類型，這包括用戶姓名，電子郵件地址，健康狀況和信用卡號(hào)或者社會(huì)安全號(hào)等。不要收集不必要的數(shù)據(jù)。明確如何實(shí)現(xiàn)通知用戶可能要收集他們的個(gè)人信息的機(jī)制，并向他們提供選擇方式不參加那些和許可那些數(shù)據(jù)信息收集。可能還要求簽訂一個(gè)不參加確認(rèn)記錄。確定系統(tǒng)敏感點(diǎn)所在：在應(yīng)用系統(tǒng)，數(shù)據(jù)庫，無線網(wǎng)絡(luò)，web訪問或者其它接口。確定防止個(gè)人身份識(shí)別信息被誤用或被未授權(quán)訪問的措施，包括訪問控制，加密，物理安全，審計(jì)。加密可能是最好的防御措施，當(dāng)一個(gè)加密的膝上電腦被盜時(shí)，至少數(shù)據(jù)是受到保護(hù)的。

#4：數(shù)據(jù)分類策略是必要的

現(xiàn)今，數(shù)據(jù)管理員已成為組織信息的專業(yè)管理人員，組織要求他們把數(shù)據(jù)看作重要資產(chǎn)加以維護(hù)和管理。他們根據(jù)數(shù)據(jù)描述或提供的數(shù)據(jù)進(jìn)行數(shù)據(jù)管理。一個(gè)組織應(yīng)該有一個(gè)確定的數(shù)據(jù)分類策略，秘密的、公開的、明確定義最重要的或秘密的數(shù)據(jù)。這種策略的一個(gè)重要組成部分是數(shù)據(jù)安全規(guī)劃，它將用以處理可預(yù)見的對(duì)于保存在部門系統(tǒng)中的集成信息安全威脅。個(gè)人身份識(shí)別信息控制與存取是最近美國隱私保護(hù)立法的主題。歐盟也有保護(hù)個(gè)人身份信息的明確要求。

#5：識(shí)別關(guān)鍵系統(tǒng)有助于風(fēng)險(xiǎn)分析

一旦你對(duì)數(shù)據(jù)如何分類有了清楚的了解，并且識(shí)別出潛在的數(shù)據(jù)安全威脅，就可以對(duì)管理數(shù)據(jù)的系統(tǒng)進(jìn)行更詳細(xì)的集成數(shù)據(jù)安全風(fēng)險(xiǎn)分析。進(jìn)行這類活動(dòng)的好處是使你對(duì)主要IT技術(shù)和系統(tǒng)的風(fēng)險(xiǎn)等級(jí)有良好的分類，這就允許你將精力主要集中于潛在高風(fēng)險(xiǎn)區(qū)域。按照管理規(guī)則要求的對(duì)包含重要數(shù)據(jù)的關(guān)鍵系統(tǒng)進(jìn)行審計(jì)控制是一個(gè)良好的方法。
#6：公司擔(dān)負(fù)舉證的責(zé)任

你遭受過黑客攻擊嗎？它是成功的嗎？哪些數(shù)據(jù)受到影響？影響了多少用戶？哪些國家？即使不成功的攻擊也必須公之于眾，除非給組織能夠證明沒有個(gè)人信息被未授權(quán)方獲得或訪問。因此，一個(gè)組織的入侵檢測與防范系統(tǒng)必須是有效的，并能夠生成可靠的有效記錄信息。

如果一個(gè)公司得出結(jié)論認(rèn)為，某個(gè)安全事件沒有導(dǎo)致未授權(quán)訪問個(gè)人信息，但是客戶卻由于該攻擊事件遭受身份竊取，該公司可能被發(fā)現(xiàn)是在撒謊。揭露和報(bào)告安全破壞事件肯定會(huì)使公司財(cái)政收入受到影響，僅通知一項(xiàng)每次事件就會(huì)花費(fèi)每個(gè)客戶大約100美元，因此如果10000名客戶受到影響，該事件將至少花費(fèi)10萬美元。

#7:首席信息安全執(zhí)行官負(fù)責(zé)處理隱私安全問題

首席信息安全執(zhí)行官的主要職責(zé)是建立客戶和員工的隱私保護(hù)策略及調(diào)查和查理相關(guān)事件。在一個(gè)大型組織中，首席信息安全執(zhí)行官通常管理一個(gè)隱私保護(hù)委員會(huì)，負(fù)責(zé)提供管理事件指導(dǎo)，隱私保護(hù)策略、安全警告、以及其它相關(guān)問題。在一個(gè)可能影響隨從的技術(shù)或業(yè)務(wù)決定的需要做出時(shí)，首席信息安全執(zhí)行官責(zé)無旁貸?，F(xiàn)今，首席信息安全執(zhí)行官的工作十分繁忙。法律領(lǐng)域的問題常常影響IT技術(shù)，IT技術(shù)負(fù)責(zé)對(duì)隱私保護(hù)問題尋求解決辦法，諸如智能加密。

#8：隱私安全事件管理可以防止未來的風(fēng)險(xiǎn)

誰發(fā)出通知？什么時(shí)候？隱私安全事件管理不像其它事件的反應(yīng)機(jī)制那樣能夠在事件發(fā)生時(shí)發(fā)出通知。通知要求可能在規(guī)章中清楚地說明，但是實(shí)際的通知可能仍是一個(gè)費(fèi)勁的過程。首席信息安全執(zhí)行官可能要求事件反應(yīng)小組確定事件的發(fā)生原因和嚴(yán)重程度，并公布調(diào)查結(jié)果。調(diào)查事件查找發(fā)生根源的一個(gè)重要結(jié)果是修復(fù)系統(tǒng)，并能夠在將來防止發(fā)生類似威脅。

#9:界限變得越來越模糊

誰應(yīng)該負(fù)責(zé)？在組織之間進(jìn)行業(yè)務(wù)往來的過程中什么時(shí)候可以數(shù)據(jù)共享？如果由你們組織內(nèi)的一個(gè)外部采購人員致使數(shù)據(jù)安全破壞將會(huì)怎樣？如果你們公司員工的401K數(shù)據(jù)信息保存在提供這部分?jǐn)?shù)據(jù)的某員工的不安全膝上電腦中，結(jié)果膝上電腦被盜，誰應(yīng)該負(fù)擔(dān)責(zé)任？

IT外部采購是經(jīng)常的，但是當(dāng)你的一個(gè)員工或銷售人員在付費(fèi)時(shí)碰巧將優(yōu)盤丟在柜臺(tái)上，誰負(fù)責(zé)任來保護(hù)你的信息？如果這個(gè)優(yōu)盤里面存有不安全的隱私信息，這個(gè)失誤可能導(dǎo)致一場數(shù)據(jù)破壞。

在與第三方簽訂的所有IT技術(shù)協(xié)議包括隱私和安全條款是十分重要的。事件不可能總被預(yù)防，但是如果你簽訂了一份合適的協(xié)議的話，就可以獲得一定補(bǔ)償。協(xié)議中的數(shù)據(jù)安全條款正變得越來越普遍，如果必要的話，使用你的法律武器。

#10：白領(lǐng)犯罪威脅隱私安全

出售個(gè)人信息存在廣闊空間，尤其是信用卡卡號(hào)。每個(gè)ID號(hào)的平均價(jià)格是50美元。網(wǎng)絡(luò)犯罪體系的復(fù)雜性超出人們的想象，RSA安全公司的市場營銷員，馬克.戈凡，在他的文章“網(wǎng)絡(luò)經(jīng)濟(jì)犯罪已不是秘密”中對(duì)這個(gè)問題進(jìn)行了描述。網(wǎng)絡(luò)犯罪是一個(gè)有組織的犯罪體系，他們有各種角色和明確的分工，還有通訊方式，加入條件，甚至有自己的“道德規(guī)范”。這是一個(gè)完整的有助于進(jìn)行欺詐的利益鏈條，僅在最后將行動(dòng)變成金錢時(shí)才真正表現(xiàn)出來他們的犯罪事實(shí)。

一個(gè)名叫 TalkCash.net的網(wǎng)站是一個(gè)騙子們的集會(huì)平臺(tái)，要想成為其中一員，申請(qǐng)時(shí)需要提交一些信用卡號(hào)以顯示他或她是一個(gè)真正的“騙子”。這個(gè)網(wǎng)站已被關(guān)閉。由全國白領(lǐng)犯罪中心發(fā)起的2005年全國白領(lǐng)犯罪調(diào)查顯示，在過去的12個(gè)月中，幾乎半數(shù)美國家庭成為白領(lǐng)犯罪的受害者。美國聯(lián)邦調(diào)查局做了不少工作。想獲得你所在州的2005年網(wǎng)絡(luò)犯罪報(bào)告，請(qǐng)?jiān)L問：www.ic3.gov/media/annualreports.aspx  (zdnet)