CISO
БезопасностьДайджесты

Как CISO могут управлять пересечением безопасности, конфиденциальности и доверия

Масштабное управление запросами прав субъекта: пять советов от Microsoft по автоматизации ваших SRR (электронная книга)

Среди специалистов по кибербезопасности есть старая поговорка: вы не можете защитить то, чего не видите. А поскольку данные буквально взрываются повсюду, их становится все труднее защищать.

По оценкам Всемирного экономического форума, к 2025 году объем данных, генерируемых каждый день, достигнет 463 экзабайт (EB) во всем мире. Чтобы представить это число в перспективе, 1 EB эквивалентен 1 миллиарду гигабайт. CISO уже обязаны любой ценой защищать огромные корпоративные данные и данные клиентов или рисковать крупными юридическими штрафами; теперь они сталкиваются с еще более сложной задачей.

Страны по всему миру внедряют комплексные требования к конфиденциальности, при этом в 71% стран уже действует законодательство в той или иной форме о защите данных и конфиденциальности. В условиях возрастающих сложностей и изменений в нормативно-правовом поле организации должны обеспечить, чтобы защита конфиденциальности оставалась центральной в их деятельности.

Проблемы конфиденциальности и защиты данных

Существует значительное совпадение между конфиденциальностью данных и их защитой. У вас не может быть одного без другого, а повышенная безопасность данных и прозрачные обязательства по обеспечению конфиденциальности клиентов могут повысить доверие. CISO играют важную роль в обеспечении этого общего доверия, выбирая правильное сочетание автоматизированных решений для защиты данных следующего поколения, которые могут защитить данные и уважать предпочтения клиентов в отношении того, как они используются.

В последние несколько лет клиенты запрашивали решения для защиты данных, встроенные в облачные сервисы, которые они используют для управления своим бизнесом. Они столкнулись с тремя ключевыми проблемами:

  • Они изо всех сил пытались идентифицировать личные данные и управлять ими в своих существующих облачных средах. У них также не было подходящих инструментов для обнаружения и определения того, что на самом деле представляют собой персональные данные.
  • У них было много архаичных ручных процессов для управления рисками. Они использовали электронные таблицы для обеспечения конфиденциальности данных и изо всех сил старались не отставать.
  • Они столкнулись с запросами о правах субъекта (SRR), которые были введены GDPR, CCPA и многими другими нормативными актами. Клиентам нужен был способ выполнения этих запросов о правах субъекта.

Масштабное управление SRR

Реагирование на SRR может быть ресурсоемким, дорогостоящим и сложным в управлении. Согласно отчету IAPP / EY, более половины организаций обрабатывают SRR вручную, в то время как каждая третья организация автоматизировала этот процесс. По данным Gartner, большинство организаций обрабатывают от 51 до 100 SRR в месяц по цене более 1500 долларов США за запрос. По мере вступления в силу большего количества правил конфиденциальности и повышения осведомленности общественности о своих правах ожидается, что объем SRR значительно возрастет, что еще больше повлияет на ресурсы организаций.

Для обработки SRR организация должна проверить субъекта данных, чтобы убедиться, что это лицо является тем, за кого они себя выдают, и имеет права на информацию. Затем он может собирать информацию, просматривать, редактировать, где это уместно, и предоставлять ответ отправителю запроса проверяемым образом.

В большинстве организаций существуют процессы для ответов SRR, но для совместной работы они полагаются на электронную почту, электронные средства обнаружения для поиска и ручные проверки для выявления конфликтов данных, таких как файл, содержащий данные, относящиеся к конфиденциальности нескольких людей. Эти процессы могут работать, но онине масштабируются. Они также создают разрастание данных и дополнительный риск для безопасности и соответствия требованиям.

Вместо этого организациям следует сосредоточиться на создании стандартизированного и интегрированного процесса для поддержки управления SRR. Этот процесс начинается с поиска соответствующих данных, выявления конфликтов данных, сортировки данных с участием нескольких человек и юридических конфликтов и, наконец, просмотра набора данных в нескольких группах, прежде чем отвечать на запрос субъекта. Автоматизация обнаружения и извлечения данных имеет решающее значение. В конце концов, чем быстрее и проще компания сможет осуществлять поиск данных, оценивать объем данных и корректировать поисковые запросы, тем эффективнее будет ее процесс SRR. Это также может помочь снизить риск отсутствия ключевой информации, которая может быть дорогостоящей ошибкой, приводящей к несоблюдению компаниями требований.

Интеграция инструмента SRR с решениями по информационной безопасности и соблюдению нормативных требований может помочь более эффективно и с большей точностью выявлять потенциальные конфликты данных. Мы также рекомендуем организациям воспользоваться преимуществами надежной платформы сортировки и анализа, обеспечить безопасное и совместимое сотрудничество и выбрать решение, совместимое с их существующими экосистемами конфиденциальности. Это позволит им реагировать на SRR унифицированным образом во всех своих массивах данных.

admin
Author: admin