趋势与观点 | 数字信任:隐私与安全的融合

人们常说,隐私离不开安全,安全也离不开隐私。良好的安全性也需要依赖于良好的隐私保护,以实现全方位的信息保护。

安全和隐私都是数字信任的关键组成部分,正如ISACA数字信任状况调查报告所指出的那样。数字信任处于隐私和安全的交叉点。这两个概念,以及质量、可用性、道德和诚信、透明度和诚实以及韧性等其他要素,共同为数字信任奠定了坚实的基础。

有了数字信任,客户和利益相关者会说:“我相信你能正确处理我的数据”。正如ISACA调查报告显示,企业良好的声誉会减少隐私泄露和网络安全事件。信任是建立在我们对第三方能够保护我们的数字交互安全的信心之上,它们可以作为网络世界中的真实记录值得信赖。如果一个组织不能在数字领域为用户灌输信心,那么该组织就难以创造一个数字信任的环境。

获得数字信任依赖于获得用户的信心。对实体世界的信心通常是随着时间的推移而建立起来的。但时间不是我们在数字世界中所拥有的东西,在数字世界中,互动是瞬间的,关系可能是变化无常的。组织只有一次机会做对,一次错误的交互可能会让组织损失一个用户甚至是一个用户的好友的好友。用户在把自己的个人数据托付给你的时候,他们对你有很高的期望,他们也应该有这样的期望。

建立信任需要组织证明良好的隐私和安全实践、高度可靠的良好数据完整性,以及所有在线互动中的道德行为。

这也让人想起CIA(机密性、完整性和可用性)三要素,并侧重于:

  • 机密性-确保数据只提供给那些需要知道的人

  • 完整性-确保信息完整准确

  • 可用性-确保信息在需要时可供需要它的人使用

机密性和完整性安全概念很容易转化为隐私,因为从本质上讲,隐私和安全是交织在一起的,并且共享许多共同的概念。在隐私方面,我们倾向于以下方式考虑保密性和完整性。

  • 机密性-确保所提供的个人信息仅与需要知道的人使用或共享,并且在不使用时得到充分保护和安全。用适当的程序和技术控制来保护,以便那些可能想以有害方式访问和使用信息的人被阻止、限制或禁止,例如公开披露和/或使用个人信息和数据对数据所有者造成负面影响。

  • 完整性-GDPR第4(d)条要求您保管的任何个人信息都是准确的,并在必要时保持最新。当与其他方共享数据时,该数据的所有者期望当在处理中使用该信息时,它是准确的,是数据所有者的真实反映。维护数据的完整性是持有者的责任比如控制者,并且如果存在不能维护数据完整性的流程,则对所有者的负面影响可能是昂贵的,并且修复成本很高,例如否认或拒绝接受服务。

在数字世界中,信任必须是每一次互动的核心,透明度和公开性必须嵌入到系统中。如果你能通过做正确的事情来获得用户的信任,你就能获得他们的信任。

因此,即使安全可以在没有隐私的情况下存在,如果没有安全和隐私共同发挥作用,数字信任依然无法建立。

编者按: 本文于2022年9月14日首次发表 于ISACA官网News and Trends/Newsletter/@isaca。文章内容仅代表作者本人观点。
作者:Yunique Demann
翻译:唐雅琪(Andrea Tang),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,任职于安永企业咨询有限公司。
校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、CCAK、Cybersecurity Audit、CISSP、CCSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA,ISACA中国技术委员会主席,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某国际酒店集团信息安全副总裁。