La Journée de confidentialité des données n'est plus une journée.Pour la première fois, c'est la Semaine de confidentialité des données - un effort d'une semaine pour permettre aux individus et aux entreprises du monde entier de respecter la confidentialité, de protéger les données, de permettre la confiance et tout aussi important, de sensibiliser et de promouvoir les meilleures pratiques de confidentialité et de protection des données.
Cette année, la National Cyber Security Alliance (NCSA) promeut et encourage les entreprises à respecter la vie privée.Selon le Pew Research Center, 79% de u.S.Les adultes déclarent se soucier de la façon dont les entreprises utilisent leurs données - en tant que telles, le respect de la confidentialité des consommateurs est une stratégie cruciale pour inspirer la confiance et améliorer la réputation et la croissance de votre entreprise en étant ouvert et honnête sur les données collectées, utilisées et partagées avec le troisièmedes soirées.
De plus, la NCSA encourage les entreprises à prendre les mesures suivantes pour atteindre et maintenir la vie privée:
- Conduct an assessment: Conducting a review of data collection practices is a critical step to understanding which privacy laws and regulations apply to your enterprise. Just as critical is maintaining oversight of partners and vendors as to how they collect and use consumers’ personal information.
- Adopt a privacy framework: Researching and adopting a privacy framework can help you manage risk and create a culture of privacy in your organization by building privacy into your business. Get started by checking out the following frameworks: NIST Privacy Framework, AICPA Privacy Management Framework, ISO/IEC 27701 – International Standard for Privacy Information Management.
- Educate employees: Organizations can create a culture of privacy by educating employees of the role they play in protecting assets and information.
Pour créer des dialogues parmi les parties prenantes, sensibiliser et encourager le respect des lois sur la confidentialité, la sécurité a compilé des perspectives détaillées, ainsi que quelques conseils pour une meilleure protection des données sensibles des entreprises, des experts de l'industrie de la sécurité suivants:
Erkang Zheng, fondateur et PDG, Jupiterone:
L'industrie est aux prises avec une approche fragmentaire de la vie privée, qui a des implications de sécurité importantes.Du point de vue de la sécurité, c'est un défi massif car il n'y a pas de norme de confidentialité mondiale unique sur laquelle s'appuyer, ce qui laisse la place aux erreurs.
La sécurité est souvent un jeu de détails, donc comme le paysage de confidentialité devient de plus en plus complexe, il introduit plus de choses qui peuvent mal tourner.De plus, une approche patchwork rend les opérations difficiles car les professionnels de la sécurité doivent comprendre et mettre en œuvre les réglementations disparates de confidentialité et de conformité du monde.
Idéalement, un consortium international aborderait ces diverses règles de confidentialité dans le monde entier.Les nouvelles règles de confidentialité créent une complexité et pas seulement du point de vue de la conformité.Il crée également des complexités opérationnelles pour les équipes de sécurité.
Nous devons voir une plus grande simplification du processus, entraîné par l'unification des réglementations.Tant de choses sonnent bien sur le papier, mais à quel point est-il pratique de mettre en œuvre la sécurité dans tant de cadres réglementaires différents?À tout le moins, les règles nationales devront se réunir pour que les organisations mettent en œuvre un cadre de confidentialité cohésif pour chaque pays.En n'atteignant pas un consensus sur la vie privée, nous introduisons des risques plus importants pour que tout le monde puisse défendre des protections de sécurité adéquates.
Corey O’Connor, directeur des produits, Docontrol:
La confidentialité des données a été au sommet des individus et des organisations.Les réglementations mondiales, nationales et locales exigent que les entreprises de toutes tailles et types aient en place les mesures de cybersécurité appropriées pour empêcher les PII de faire son chemin dans le domaine public.Du point de vue des entreprises, les implications négatives pour la non-conformité de certaines de ces réglementations, telles que le règlement général sur la protection des données (RGPD) ou la California Consumer Privacy Act (CCPA), sont importantes.Au niveau individuel ou des consommateurs, les gens sont plus frustrés que jamais par la perte de contrôle de la façon dont leur propre PII est géré, manipulé et traité par les entreprises.
Les applications logicielles en tant que service (SaaS) sont une source de données essentielle pour l'entreprise aujourd'hui.Ces outils de productivité et de collaboration sont ce qui fait avancer l'entreprise.Les fichiers et données PII sont enveloppés dans de nombreuses applications SaaS que l'entreprise utilise.Qu'il s'agisse de données au sein de SFDC ou de fichiers échangés sur Slack, de nombreux outils et technologies en cours de mise à profit par les organisations ne sont pas suffisamment granulaires pour éviter la fuite de données ou l'exfiltration des données.Il faut aller plus loin dans la pile et introduire des contrôles d'accès aux données granulaires à travers la couche de données de l'application SaaS.
Les réglementations de l'industrie évoluent.Les techniques des cyberattaques s'améliorent et évoluent également.Les organisations doivent avoir les bonnes personnes, les procédés et la technologie en place pour garder une longueur d'avance et établir un solide programme de confidentialité des données qui atténue efficacement le risque de non-conformité et une violation de données.
Archie Agarwal, fondateur et PDG, ThreatModeler:
Une partie importante de la confidentialité des données consiste à protéger les données.Et en ce qui concerne la sauvegarde des données, nous pensons que les organisations devraient fonctionner à partir d'un paradigme très simple: identifier toutes les menaces et les atténuer ensuite.
La sauvegarde des données signifie différentes choses pour différentes organisations.Mais pour les personnes impliquées dans le développement de systèmes logiciels, nous sommes convaincus que la meilleure façon d'identifier toutes les menaces et de les atténuer est d'intégrer la modélisation des menaces directement dans leur cycle de vie de développement.C'est le moyen le plus efficace d'identifier les menaces avant le déploiement, ce qui est évidemment préférable.
Heather Paunet, vice-présidente principale, Untangle:
À l'ère connectée d'aujourd'hui, les gens divulguent des données personnelles pendant des dizaines d'interactions quotidiennes, des achats en ligne, des portails de santé, des médias sociaux, des appareils portables aux services de streaming.Ces données sont utilisées pour créer des expériences spécifiques au profil sur une multitude d'appareils et de médiums, ce qui entraîne des campagnes de marketing personnalisées et efficaces.
Cependant, les informations que les utilisateurs fournissent en échange d'une expérience personnalisée peuvent être très attrayantes pour les pirates, mais il existe une préoccupation croissante sur la façon dont les entreprises utilisent des informations.En conséquence, de nombreuses personnes veulent avoir confiance que les entreprises auxquelles ils donnent leurs informations le maintiendront en sécurité, mais cela signifie également.
À mesure que davantage de violations de données et de cyberattaques de haut niveau apparaissent, les clients se tournent vers les entreprises pour trouver un équilibre entre la protection des données et la collecte.
Pour garantir la conformité aux réglementations actuelles et nouvelles, les entreprises doivent comprendre les données qu'ils prennent et qui a accès.Des lois telles que le Colorado Privacy Act (CPA), avec des versions similaires dans le CCPA et le CDPA, comprennent une exigence pour effectuer une évaluation de la protection des données.Il s'agit d'une première étape importante que toute entreprise collectant des données de consommation devrait franchir.Les entreprises devront comprendre ce qui est collecté et comment protéger les données des clients tout en poursuivant une éducation des employés sur la propriété et la protection des données.
De plus, les entreprises ont besoin d'une stratégie efficace pour communiquer comment les informations des clients sont collectées, utilisées et lorsqu'elles peuvent être vendues ou divulguées à des fins liées à l'entreprise.La transparence dans la collecte de données est un pilier fondamental pour les entreprises qui cherchent à maintenir une relation de confiance avec leurs clients.
Mohit Tiwari, co-fondateur et PDG, Symmetry Systems:
Vous n'avez pas besoin de renoncer à la confidentialité des données afin que les organisations puissent prospérer de la publicité personnalisée ou en hébergeant des données clients dans une application logicielle en tant que service (SaaS).La sécurité routière est un excellent exemple où les protocoles et la formation définissent les attentes appropriées parmi les conducteurs, les motards, les piétons, etc..De même, il existe des recherches considérables et de nouveaux outils commerciaux pour les organisations afin de mesurer comment les données clients sont utilisées en interne et la sauvegarder - et l'exode récent vers le signal montre que le respect de la confidentialité des clients peut en fait être bon pour les entreprises.
Imposer des amendes raisonnables est en effet un bon moyen de faire de la mesure et d'améliorer le risque de données une priorité au niveau de la carte.Et cela ne peut être bon que pour les clients et les entreprises qui hébergent leurs données.
Dan Frank, US Privacy leader, Deloitte Risk & Financial Advisory:
Alors que les lois sur la confidentialité de type CCPA se reproduisent au niveau national et que les réglementations de confidentialité de type RGPD se reproduisent à l'échelle mondiale, de nombreuses organisations se demandent comment elles peuvent résister aux impacts opérationnels.Alors que l'augmentation des montants de demandes de droits individuels, les changements de préférence et de consentement, ainsi que les demandes de confidentialité par conception associées à l'innovation commerciale et technologique, il y a beaucoup à gérer dans la confidentialité des données aujourd'hui et à l'avenir.Technologie émergente et divers services de soutien opérationnel tiers (E.g., le co-source, l'entraînement) jouera un rôle essentiel en aidant les organisations.La technologie émergente de la confidentialité aidera à automatiser les processus de confidentialité historiquement manuels, ce qui en fait moins de main-d'œuvre et de longue date.Les services de soutien opérationnel pour des responsabilités de confidentialité plus transactionnelles aideront à atténuer la charge de travail des ressources internes, en les libérant pour concentrer leur temps sur des besoins de confidentialité organisationnels plus stratégiques.
Vikram Kunchala, Cyber Cloud leader, Deloitte Risk & Financial Advisory:
Lorsque les organisations adoptent une stratégie d'abord dans le cloud, il est essentiel qu'ils comprennent les données dont ils disposent, comment il est utilisé, qui l'utilise, quand il est en mouvement et où il est situé.En fait, après une course axée sur la pandémie vers le cloud, les organisations de premier plan se concentrent désormais sur la confidentialité par conception pour créer et affiner la sécurité du cloud pour la confidentialité et la protection des données qui répondent aux exigences pertinentes de confidentialité, de réglementation et de résidence de données actuelles actuelles pertinentes.Une fois que la confidentialité des données est abordée dans les stratégies cloud, les organisations peuvent également discerner quelles données peuvent être exploitées en toute sécurité et avec autorisation pour stimuler les informations commerciales et l'agilité, ainsi que pour engendrer la confiance des clients.
Naresh Persaud, managing director in Cyber Identity Services, Deloitte Risk & Financial Advisory:
Une approche de la confidentialité des données ne peut pas fonctionner pour chaque organisation, individu ou géographie, car les attentes concernant la vie privée diffèrent considérablement.Malgré le fait que de nombreuses personnes partagent des quantités considérables de données personnelles en ligne, les organisations devraient offrir une solide confidentialité et protection des données dans des expériences numériques de plus en plus sur mesure pour les clients.Essayer d'innover sans garantir la conformité réglementaire nécessaire à la confidentialité, la confidentialité des données et la protection des garde-corps sont en place des risques de dommages de fidélité à la marque et de contrôle réglementaire considérables.
Ricardo Amper, PDG et fondateur, Incode:
Il existe de nombreuses idées fausses sur la façon dont la technologie de reconnaissance faciale est actuellement utilisée.Cependant, malgré les mésaventures et les préoccupations de la confidentialité signalées, les consommateurs ont une véritable tendance à adopter cette technologie.La confiance est essentielle et manque souvent lorsque les consommateurs ne sont pas à l'avant-garde de la conversation autour de la vie privée.L'individu doit être mis en premier, ce qui signifie obtenir son consentement.Plus les individus estiment qu'ils peuvent faire confiance à la technologie, plus ils seront ouverts à l'utiliser à des capacités supplémentaires.
Troy Saunders, directeur de la sécurité de l'information, CentralSquare Technologies:
À mesure que les organisations collectent et gèrent plus de données que jamais, les réglementations de confidentialité des données deviennent de plus en plus critiques pour garantir que les informations personnellement identifiables sont protégées.Il est important de se rappeler que l'accès aux données ne devrait pas se faire au détriment de la sacrification de la confidentialité et de la sécurité des données.
La Semaine des données sur la confidentialité nous rappelle la valeur des données pour permettre aux gouvernements de prendre des décisions éclairées et de collaborer à travers les juridictions et les lignes d'État.Que ce soit par le RGPD, le HIPAA, le FERMA, la PPRA ou la législation locale et locale de confidentialité et de protection des données, les organisations du secteur public et privé doivent travailler ensemble pour équilibrer la confidentialité, la sécurité et la confiance pour construire des communautés plus intelligentes et plus sûres pour l'avenir.
Craig Lurey, CTO et co-fondateur, Keeper Security:
Les données personnelles des gens sont devenues une marchandise chaude.En conséquence, nous avons vu un nombre record de cyberattaques et de violations de données ces dernières années, car les cybercriminels ne s'arrêteront à rien pour mettre la main sur les données des personnes.Les données personnelles sont utilisées pour les attaques avancées d'ingénierie sociale, les attaques de bourrage de mot de passe et les attaques de ransomwares contre les entreprises et les particuliers.
Malgré cela, les personnes et les entreprises ne prêtent pas suffisamment d'attention aux outils et aux logiciels qui accèdent à leurs données personnelles et d'entreprise.La vérification rigoureuse des logiciels installées par les utilisateurs finaux sur les appareils mobiles et de bureau ne se déroule pas dans de nombreux cas, ce qui peut placer par inadvertance les données des utilisateurs et de l'entreprise à risque.
Alors que nous marquons la Journée de la protection des données, il est donc essentiel de mettre en évidence l'importance d'utiliser des outils puissants et sophistiqués qui sécurisent correctement les données des gens.Les utilisateurs doivent accorder une attention particulière que le logiciel a des politiques de confidentialité strictes et utilise une architecture de connaissances zéro, qui garantit que la société développant le logiciel ne peut pas accéder ou décrypter les données de l'utilisateur stockées au sein.Ceci est essentiel si les consommateurs et les utilisateurs professionnels souhaitent s'assurer que leurs données personnelles et sensibles sont - et continue d'être protégée.
Joseph Carson, scientifique en chef de la sécurité et consultatif CISO, ThycoticCentrify:
La notion de véritable «vie privée» est peut-être quelque chose qui n'existe plus vraiment.L'utilisation de l'appareil connecté à Internet a explosé ces dernières années, apportant d'énormes changements à notre société, mais cela est venu avec des risques car nous sommes tous suivis et surveillés 24/7.
Cela signifie que nous devons considérer non seulement la confidentialité des données, mais les garanties qui régissent la façon dont les données sont collectées et traitées.Grâce aux réglementations plus strictes, le public a désormais plus son mot à dire sur la façon dont leurs données sont utilisées, mais les organismes de réglementation doivent continuer à faire pressionAccès transparent à de telles données.
Nos données personnelles deviennent de plus en plus rentables, et beaucoup commenceront à demander comment les citoyens seront incités, ou peut-être à payer pour leurs données?Qu'est-ce que l'avenir réserve à la «location» de données personnelles?
Ryan Abraham, Virtual Ciso, Wisetail:
La confidentialité des données est incroyablement importante dans l'industrie RH.Les professionnels des RH sont confiés aux données sensibles des employés - des numéros de sécurité sociale aux numéros de téléphone aux adresses personnelles et plus encore - il est donc essentiel que chaque entreprise prenne les mesures appropriées pour s'assurer que les données sont sûres.
Une étape importante ici est de certifier votre organisation en tant que conforme SOC 2.SOC 2 est basé sur cinq facteurs - la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité, la confidentialité - et la certification indique aux utilisateurs que votre organisation maintient un niveau élevé de sécurité de l'information et gère leurs données de manière responsable.De plus, la conformité SOC 2 garantit que votre organisation a mis en œuvre des pratiques de sécurité pour se défendre contre les cyberattaques et les violations.
Une autre excellente façon d'honorer la Journée de la confidentialité des données cette année est de commencer une formation régulière des employés sur les meilleures pratiques de confidentialité des données, qui peuvent être facilement créées et affectées à votre équipe via une plateforme d'expérience d'apprentissage (LXP).Ces cours de formation peuvent éduquer les employés sur la façon de repérer une attaque de phishing, de créer des mots de passe forts, d'éviter les sites Web suspects et dangereux, et plus.Vos employés sont votre première ligne de défense contre les menaces de confidentialité des données, il est donc essentiel qu'ils soient équipés pour garder eux-mêmes et votre entreprise en sécurité."
Les robots logiciels - petits codes qui effectuent des tâches répétitives - existent en grand nombre dans les organisations du monde.L'idée derrière eux est qu'ils libèrent du personnel humain pour travailler sur un travail critique, cognitif et créatif, mais aident également à améliorer l'efficacité, la précision, l'agilité et l'évolutivité.Ils sont un élément majeur de l'entreprise numérique.
Le problème de la confidentialité se pose lorsque vous commencez à réfléchir à ce dont ces robots ont besoin afin qu'ils puissent faire ce qu'ils font.La plupart du temps, c'est l'accès: s'ils rassemblent ensemble des données médicales sensibles et personnelles pour aider les médecins à faire des prédictions cliniques éclairées, ils ont besoin d'y accéder.S'ils ont besoin de traiter les données clients stockées sur un serveur de cloud public ou un portail Web, ils doivent y arriver.
Nous avons vu les problèmes qui peuvent survenir lorsque les humains sont compromis, et il en va de même pour les bots - et à grande échelle.Si les robots sont mal configurés et codés, ils peuvent accéder à plus de données qu'ils n'en ont besoin, la sortie peut fuir ces données aux endroits où il ne devrait pas être.
De même, nous entendons parler des attaques d'initiés et des humains compromis pour obtenir des données sensibles pratiquement quotidiennement.Les machines ont les mêmes problèmes de sécurité;S'ils peuvent accéder aux données sensibles et qu'ils ne sont pas correctement sécurisés, c'est une porte ouverte pour les attaquants - qui peut mettre en danger la vie privée des individus.Les attaquants ne ciblent pas les humains pour accéder aux données;Ils ciblent juste les données.Si les machines, en particulier celles en charge des processus automatisées (pensez aux tâches reproductibles comme les transferts bancaires, le grattage des données Web et le déplacement des fichiers de données clients) sont le meilleur chemin à suivre pour y accéder, c'est celui qu'ils choisiront.
