隱私保護與IT技術(shù)應該了解10件事

申請免費試用、咨詢電話：400-8352-114

目前，IT技術(shù)在保護公司數(shù)據(jù)安全和個人隱私信息方面擔負巨大責任。本文介紹了在IT技術(shù)組織的日常工作中，隱私保護已經(jīng)變得多么重要與深入人心。個人隱私已經(jīng)成為大眾關(guān)注的焦點。頻繁的數(shù)據(jù)破壞、身份竊取以及諸如釣魚式攻擊欺騙已經(jīng)給大量公司和消費者帶來負擔，并嚴重威脅網(wǎng)絡和電子商務服務的可信度。

調(diào)查表明，將近半數(shù)美國居民對已采取足夠措施保護個人信息安全幾乎沒有信心，伴隨這種信心缺乏的是日益增長的復雜網(wǎng)絡犯罪。很難說清楚，誰是合法的，但越來越多的用戶成為網(wǎng)絡的受害者。讓我們看幾個隱私保護問題，了解它們是如何影響IT技術(shù)。

#1：公布泄密的數(shù)據(jù)：這是法律規(guī)定

美國一部分州規(guī)定所有組織、個人以及商家在他們的私人信息確認已被某個未授權(quán)者獲得時，應當向居民公布這個消息。當一個組織擁有的個人信息已經(jīng)被泄密時，該組織必須公開向大家公布。2003年，加利福尼亞州通過了一項法案，該法案要求所有組織在它們遭受到可能導致個人信息泄密風險的數(shù)據(jù)安全破壞時，應當通知居民。最近，有28個州通過了類似法案，其它超過15個州的安全破壞通知法案也是迫在眉睫。數(shù)據(jù)安全破壞通知的代價是昂貴的，因為這通常要每個人交罰單。

#2：客戶忠誠度直接取決于個人信息安全

當顧客確信他們的個人和財務信息是受保護的，不會被未授權(quán)者非法獲得時，他們就會使用網(wǎng)絡購物、網(wǎng)上銀行、電子政務、網(wǎng)上醫(yī)療和其它服務。當這種信任被破壞時，顧客的忠誠度會在一夜間崩潰。身份竊取和其它的欺詐所帶來的代價太大了，那些因泄密私人信息而失去顧客信任的公司，其它公司將不會與其做生意。

在2001和2004年間，有關(guān)部門采取了超過196項法律行動來處理隱私保護問題，有255家公司成為被告，包括金融服務、健康醫(yī)療、醫(yī)藥衛(wèi)生、信息服務、電子商務、制造、媒體、零售等行業(yè)，有超過33類犯罪案件提起訴訟。以下是有些網(wǎng)絡用戶如何看待隱私的有趣數(shù)字：

86%的人關(guān)心個人信息保密。
45%的人從未向網(wǎng)站提供真實姓名。
5%的人利用軟件隱藏計算機真實信息。
86%的人支持在使用數(shù)據(jù)前的身份驗證許可為“選擇輸入”。
94%的人希望懲罰破壞隱私者。

#3：IT 程序在隱私保護中負有重要責任

當開發(fā)一個系統(tǒng)時，有以下幾點需要考慮：

確定你要使用的包括個人身份識別信息的數(shù)據(jù)類型，這包括用戶姓名，電子郵件地址，健康狀況和信用卡號或者社會安全號等。不要收集不必要的數(shù)據(jù)。明確如何實現(xiàn)通知用戶可能要收集他們的個人信息的機制，并向他們提供選擇方式不參加那些和許可那些數(shù)據(jù)信息收集?？赡苓€要求簽訂一個不參加確認記錄。確定系統(tǒng)敏感點所在：在應用系統(tǒng)，數(shù)據(jù)庫，無線網(wǎng)絡，web訪問或者其它接口。確定防止個人身份識別信息被誤用或被未授權(quán)訪問的措施，包括訪問控制，加密，物理安全，審計。加密可能是最好的防御措施，當一個加密的膝上電腦被盜時，至少數(shù)據(jù)是受到保護的。

#4：數(shù)據(jù)分類策略是必要的

現(xiàn)今，數(shù)據(jù)管理員已成為組織信息的專業(yè)管理人員，組織要求他們把數(shù)據(jù)看作重要資產(chǎn)加以維護和管理。他們根據(jù)數(shù)據(jù)描述或提供的數(shù)據(jù)進行數(shù)據(jù)管理。一個組織應該有一個確定的數(shù)據(jù)分類策略，秘密的、公開的、明確定義最重要的或秘密的數(shù)據(jù)。這種策略的一個重要組成部分是數(shù)據(jù)安全規(guī)劃，它將用以處理可預見的對于保存在部門系統(tǒng)中的集成信息安全威脅。個人身份識別信息控制與存取是最近美國隱私保護立法的主題。歐盟也有保護個人身份信息的明確要求。

#5：識別關(guān)鍵系統(tǒng)有助于風險分析

一旦你對數(shù)據(jù)如何分類有了清楚的了解，并且識別出潛在的數(shù)據(jù)安全威脅，就可以對管理數(shù)據(jù)的系統(tǒng)進行更詳細的集成數(shù)據(jù)安全風險分析。進行這類活動的好處是使你對主要IT技術(shù)和系統(tǒng)的風險等級有良好的分類，這就允許你將精力主要集中于潛在高風險區(qū)域。按照管理規(guī)則要求的對包含重要數(shù)據(jù)的關(guān)鍵系統(tǒng)進行審計控制是一個良好的方法。
#6：公司擔負舉證的責任

你遭受過黑客攻擊嗎？它是成功的嗎？哪些數(shù)據(jù)受到影響？影響了多少用戶？哪些國家？即使不成功的攻擊也必須公之于眾，除非給組織能夠證明沒有個人信息被未授權(quán)方獲得或訪問。因此，一個組織的入侵檢測與防范系統(tǒng)必須是有效的，并能夠生成可靠的有效記錄信息。

如果一個公司得出結(jié)論認為，某個安全事件沒有導致未授權(quán)訪問個人信息，但是客戶卻由于該攻擊事件遭受身份竊取，該公司可能被發(fā)現(xiàn)是在撒謊。揭露和報告安全破壞事件肯定會使公司財政收入受到影響，僅通知一項每次事件就會花費每個客戶大約100美元，因此如果10000名客戶受到影響，該事件將至少花費10萬美元。

#7:首席信息安全執(zhí)行官負責處理隱私安全問題

首席信息安全執(zhí)行官的主要職責是建立客戶和員工的隱私保護策略及調(diào)查和查理相關(guān)事件。在一個大型組織中，首席信息安全執(zhí)行官通常管理一個隱私保護委員會，負責提供管理事件指導，隱私保護策略、安全警告、以及其它相關(guān)問題。在一個可能影響隨從的技術(shù)或業(yè)務決定的需要做出時，首席信息安全執(zhí)行官責無旁貸?，F(xiàn)今，首席信息安全執(zhí)行官的工作十分繁忙。法律領域的問題常常影響IT技術(shù)，IT技術(shù)負責對隱私保護問題尋求解決辦法，諸如智能加密。

#8：隱私安全事件管理可以防止未來的風險

誰發(fā)出通知？什么時候？隱私安全事件管理不像其它事件的反應機制那樣能夠在事件發(fā)生時發(fā)出通知。通知要求可能在規(guī)章中清楚地說明，但是實際的通知可能仍是一個費勁的過程。首席信息安全執(zhí)行官可能要求事件反應小組確定事件的發(fā)生原因和嚴重程度，并公布調(diào)查結(jié)果。調(diào)查事件查找發(fā)生根源的一個重要結(jié)果是修復系統(tǒng)，并能夠在將來防止發(fā)生類似威脅。

#9:界限變得越來越模糊

誰應該負責？在組織之間進行業(yè)務往來的過程中什么時候可以數(shù)據(jù)共享？如果由你們組織內(nèi)的一個外部采購人員致使數(shù)據(jù)安全破壞將會怎樣？如果你們公司員工的401K數(shù)據(jù)信息保存在提供這部分數(shù)據(jù)的某員工的不安全膝上電腦中，結(jié)果膝上電腦被盜，誰應該負擔責任？

IT外部采購是經(jīng)常的，但是當你的一個員工或銷售人員在付費時碰巧將優(yōu)盤丟在柜臺上，誰負責任來保護你的信息？如果這個優(yōu)盤里面存有不安全的隱私信息，這個失誤可能導致一場數(shù)據(jù)破壞。

在與第三方簽訂的所有IT技術(shù)協(xié)議包括隱私和安全條款是十分重要的。事件不可能總被預防，但是如果你簽訂了一份合適的協(xié)議的話，就可以獲得一定補償。協(xié)議中的數(shù)據(jù)安全條款正變得越來越普遍，如果必要的話，使用你的法律武器。

#10：白領犯罪威脅隱私安全

出售個人信息存在廣闊空間，尤其是信用卡卡號。每個ID號的平均價格是50美元。網(wǎng)絡犯罪體系的復雜性超出人們的想象，RSA安全公司的市場營銷員，馬克.戈凡，在他的文章“網(wǎng)絡經(jīng)濟犯罪已不是秘密”中對這個問題進行了描述。網(wǎng)絡犯罪是一個有組織的犯罪體系，他們有各種角色和明確的分工，還有通訊方式，加入條件，甚至有自己的“道德規(guī)范”。這是一個完整的有助于進行欺詐的利益鏈條，僅在最后將行動變成金錢時才真正表現(xiàn)出來他們的犯罪事實。

一個名叫 TalkCash.net的網(wǎng)站是一個騙子們的集會平臺，要想成為其中一員，申請時需要提交一些信用卡號以顯示他或她是一個真正的“騙子”。這個網(wǎng)站已被關(guān)閉。由全國白領犯罪中心發(fā)起的2005年全國白領犯罪調(diào)查顯示，在過去的12個月中，幾乎半數(shù)美國家庭成為白領犯罪的受害者。美國聯(lián)邦調(diào)查局做了不少工作。想獲得你所在州的2005年網(wǎng)絡犯罪報告，請訪問：www.ic3.gov/media/annualreports.aspx  (zdnet)