My upcoming presentation at ISACA’s 2024 virtual conference 会涵盖网络安全专业人员应该知道和理解的一些最重要的隐私元素吗. 我敢打赌,大多数读者会说这些元素是GDPR或CCPA或HIPAA等. 然而,我认为,虽然立法很重要,但隐私远不止于此. 我们需要超越单纯的立法来思考隐私问题,更深入地理解它,而不仅仅是合规责任.
隐私 can be classified as an economic responsibility, 由于组织处理信息不当可能会受到监管罚款, 声誉受损和/或加强监管. 隐私可以被归类为一种法律责任,因为隐私立法要求对个人数据的处理进行严格的治理. 由于立法滞后于伦理,隐私也可以归类为一种伦理责任, and morality comes into play.
隐私和网络安全之间的交集越来越多,两者之间的界限越来越模糊. 举个例子,数据泄露在网络安全领域已经存在了很多年. 然而, 因为全球采用了GDPR和一些数据保护和隐私法的强制性披露要求, 数据泄露的责任和所有权之间的平衡已经变得模糊.
Also, the language of privacy is very different from that of cybersecurity – cybersecurity professionals talk about penetration tests, vulnerability assessments, ransomware attacks, 防火墙, operating systems, 恶意软件, anti-virus, 等. 与此同时, 隐私专家谈论数据保护影响评估, case law judgements, privacy by design and default, legitimate interest assessments, proportionality, 等. 事实上, “隐私”一词本身就不一致, 数据保护和隐私之间的根本差异及其在不同司法管辖区的定义之间存在许多混淆.
支持网络安全专业人员与, understand and support privacy teams, 我的演讲首先强调了网络安全专业人员应该理解的关键术语,以便能够更流利地谈论隐私语言. 在我职业生涯的前20年里,我一直在高级网络安全领域工作,在类似级别的隐私领域工作了10多年, 同时还完成了隐私学博士学位,写了一本关于隐私领导力的畅销书, 我学会了网络安全的语言和隐私的语言. 虽然没有通用的语言(这很好), 同时处理隐私和网络安全的框架为这一挑战提供了极好的解决方案, e.g.例如,NIST网络安全和隐私框架或ISO 27001/27701标准.
我的演讲还将概述隐私立法中的关键过程,这些过程与大多数数据保护立法采用的典型基于风险的方法相关, e.g., data protection impact assessments. 然而, 本演讲还描述了隐私的其他重要特征,这些特征对于理解立法之外的内容很重要:例如隐私作为一种商品, 一个资产, a cultural attitude and a form of control. 此外,本文还概述了影响我们隐私行为和态度的因素,以及在1)为团队招聘人员和2)为组织制定培训和意识项目时考虑这些因素的重要性.
最后,本演讲将揭示某些隐私条款的一些挑战.g.即GDPR定义的“数据保护官”或DPO. 使用此术语来描述角色意味着您必须遵守GDPR所描述的要求. 然而, if you have no mandatory requirement to appoint a DPO, 那么在某些情况下,考虑使用其他头衔可能是明智的——比如隐私冠军或隐私领袖.
我是如何选择每个网络安全专业人员都应该知道的10件事的? With eight OECD privacy principles, seven privacy by design principles, 99 articles in GDPR, 173 recitals in GDPR, 至少有20项重要的数据保护立法, six key legal bases for processing, at least 10 acronyms and so on, 根据我最常被问到的问题或客户提出的领域,我将“所有关于隐私的事情”提炼成10个关键问题. 我期待着与你一起探索他们的更多细节 conference!
