趋势与观点 | 零信任隐私的挑战和回报

编者注:近期,在美国马萨诸塞州波士顿举行的2023年ISACA北美会议:数字信任世界上,Lisa McKee 博士发表了关于零信任隐私的演讲。本文概括了她对零信任战略、好处、挑战、实施和利益相关者讨论的一些看法。如需更多的对零信任的见解,请在 ISACA官网资源库下载“掌握零信任安全战略( “Mastering a Zero Trust Security Strategy”)”。

零信任隐私的基础必须是数据,这是有充分理由的。对数据和相关活动具有可见性的组织可以更好地利用零信任的隐私原则实施成功的隐私计划。隐私的核心是个人数据。大多数的隐私义务要求了解组织收集、存储、处理、共享或传输了哪些个人数据。完整和准确地回应数据主体的请求、隐私通知和处理活动的记录都需要了解个人数据以及个人数据在网络内外的移动情况。

零信任隐私还有其他好处:

  • 它可以识别整个组织的隐私风险。

  • 降低隐私风险可以提高客户的信任度和收入。

  • 零信任隐私支持组织的财务状况。

  • 数据作为基础将最大限度地减少基础设施的返工和变更,这些返工和变更通常会导致追加计划之外的成本和投入更多的时间。

  • 它还加强了对所有个人数据的安全保护,从而限制了发生违规或罚款的可能性。

当数据成为零信任项目的基础时,它支持遵守隐私义务的合规并减少网络变更时所需的时间和成本。零信任隐私原则使正确的人能够在正确的时间、地点、设备、服务和建筑物中正确地访问正确的资源,通常称为“即时访问(just in time access)”。零信任隐私原则支持基于角色的访问控制和最小权限访问的隐私合规义务。个人在组织中的角色变成确定访问个人数据的适当权限。“即时访问”和最短期限授权将降低对手破坏数据的风险和机会。零信任隐私支持隐私合规义务,例如但不限于,确保组织具有处理数据的法律依据、准确的隐私通知和完整的数据主体响应;将数据流向来源国以外的地方时,限制在必要的范围内;并帮助组织记录其处理活动的记录。

实施零信任隐私时面临的主要挑战是缺乏合规足迹。合规足迹是组织必须遵守的所有法律、法规和标准的清单。通常,公司没有团队或个人负责监控合规环境的变化。如果不这样做,就会影响隐私合规性和实施零信任隐私的能力。组织无法确保系统架构可以超出法律所允许的范围限制数据流,因为他们不知道自己的义务。我们今天看到了这一点,因为针对不当收集和传输个人数据而开出的隐私罚款有所增加。另一个挑战是组织通常从身份和访问管理开始。当为一组未知的数据元素启用用户的访问和授权权限时,组织无法保证符合最低权限要求。

虽然大多数隐私法要求在类别层级上披露个人数据,但有些法律要求在数据元素的层级上披露。与个人数据和传统资产清单类别相比,这是一个更深层次、更难以识别和记录的层级。一个组织拥有属于个人数据类别的医疗信息是很容易的。但需要更多的时间和精力才能准确的了解组织收集、存储、处理、传输或共享哪些数据元素,例如血压、胆固醇、身高和体重。然后,必须识别整个组织内数据元素的所有处理活动,因为这对于确保遵守法律依据的要求是必须的。该组织可能有法律依据收集和存储身高和体重,但没有收集和存储血压的法律依据。这将导致过度收集个人数据,这样做可能侵犯个人根据隐私法的要求选择参与敏感数据处理的权利。

组织可以通过自上而下、自下而上、中间会商的方法成功实施零信任隐私。最高管理层和董事会的支持是必要的。最高管理层将这一情况向下传达给中层管理人员。第一道防线负责日常运营和实施。他们与中层经理进行沟通。中层管理者负责上下沟通——向高层汇报进展情况,向基层推行执行。每个人都必须获得支持,以便在透明、非对抗性的环境中汇报问题、挑战或疑虑。让每个人都有机会分享他们的意见,并在适当的情况下采取行动纠正情况。这种自上而下、自下而上、中间会商的方法可确保组织各个层面的协调并成功实施零信任隐私。成功的项目重视每位成员,并为每个人成为提供平等分享解决方案的机会。

零信任隐私需要组织内所有部门的参与。个人数据存在于无数经常被遗忘或忽视的地方。通常由技术和安全部门参与,但个人数据并不总在组织的公司部门如财务、会计、营销、人力资源或法律系统中考虑。作为零信任隐私实施的一部分,每个部门可以在报告、电子邮件、应用程序、合同等中记录不同的个人数据元素。识别并记录整个组织中的每个数据元素,然后评估每个元素是否仍在使用和是否需要。通常确定组织已经收集了不再使用或不再需要的数据元素。在需要的地方,删除没有法律依据的不必要的信息。这需要整个组织的协调,并有可能需要启动变更控制。

软件开发的一项关键考虑因素是API。当组织采购新工具或解决方案时,通常将API集成到现有工具中。然而,很少对通过API传输的数据元素进行评估和记录。有必要确保API连接是适当的,并且仅将个人数据的传输限制在必要且有法律依据的范围内。API是另一个可能影响跨境数据传输合规性要求的地方。

有几种方法可以引发有关零信任隐私的讨论:

  • 直接向指导委员会或负责组织方向和战略的其他内部团队提出想法。

  • 被动地与同事、管理层和业务代表交流想法。初步讨论提供了其他人对零信任隐私是什么及其为组织提供的价值的理解。

  • 努力了解他们可能表达的担忧或挑战。

  • 就零信任隐私以及对组织、员工和客户的益处进行教育并与他人进行信息分享。

  • 以开放的心态倾听,因为每个人都有不同的经验和知识进行分享,这将有助于项目取得成功。

  • 一旦获得主要利益相关者的非正式批准,就向执行领导层和董事会提交一个业务案例。无论如何,自上而下的支持是零信任隐私的关键成功因素。

零信任隐私实施期限因组织而异。组织的规模、复杂性、数据量级、隐私义务、人员和资金都会因组织而异,制定实施零信任隐私的时间表也是如此。虽然零信任隐私是对时间、资源和资金的投资,但它也是对客户信任和安全的承诺。实施零信任隐私没有明确的时间周期。平均而言,与我合作过的组织都表示需要花费18个月以上的时间来实施零信任隐私,并进入监控和维护阶段。然而,大型或复杂的组织通常会超过24个月以上。

勇于创新——实现零信任隐私不存在"一刀切 "或单一的零信任隐私保护解决方案。专注于数据,因为数据是基础,是成功实施零信任隐私的必要条件。详细的实施计划和战略请访问:https://www.rsaconference.com/experts/lisa-mckee。‍

编者按:本文于2023年7月12日首次发表于ISACA官网News and Trends/Newsletters/@isaca。文章内容仅代表作者本人观点。
作者:Lisa McKee, Ph.D., CISA, CDPSE, CRISC。
翻译:王彪,COBIT2019、CISA、CDPSE、CDMP、CDSP、CISP-DSGI、ISO27001LA、信息安全工程师(软考)、ISACA微信公众号特邀通信员、天融信数据安全治理专家。
校对:王岩(Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。