2021年,随着企业组织都需要过渡到一种新常态,Forrester预测数据隐私问题将变得更加紧迫,而潜在的预算问题和不断变化的国际关系也将影响网络安全专业人员。
Forrester公司高级分析师Enza Iannopollo确定了三种与隐私相关的趋势,这些趋势将支持企业组织完成向新常态的过渡:
· 企业组织越来越需要从消费者和员工处收集、处理和共享敏感的个人数据;
· 尽管经济不景气,但基于价值的消费者将越来越倾向于和有道德的企业接触,并将其个人数据委托给这些道德企业;
· 与数据隐私相关的监管和合规复杂性将进一步增加;
Forrester公司首席分析师Heidi Shey表示,
因为必须要面对经济不确定性、社会动荡以及不断变化的地缘政治格局,各企业组织将需要不断适应新的业务模式以及不断变化的客户期望。这将对全球的信息和IT安全专业人员产生重大影响。
隐私预测
隐私问题的紧迫程度或许从美国大选中两项重要法案相继出台便可见端倪。据悉,选举日(11月3日)当天,加利福尼亚州选民投票通过了第24号提案,即《加州隐私权法案》(CPRA);密歇根州的选民则投票通过了第2号提案,这是一项州宪法修正案,该修正案禁止执法人员在没有搜查令的情况下搜查电子数据。
而有关2021年的隐私发展预测具体如下:
与隐私相关的法规及监管行动将会增加
由于企业组织希望利用消费者和员工的个人数据,所以,预计未来与员工隐私相关的法律和监管行动将增加100%。
其中,像是巴西、印度和泰国等国家/地区将遵循欧洲监管机构提出的员工数据监管和保护条例。因此,企业组织在处理员工的个人数据时,需要采取“隐私设计”(Privacy by design,PbD)的新方法,这是目前国际隐私保护实践中所推崇的理念,该理念可理解为“透明度”、“用户控制力”和“数据安全”三个方面,具体包括:
1)确定要求;
2)评估特定的隐私和道德风险;
3)与员工进行透明地沟通
零方数据收集将迎来发展机遇
我们都很清楚,第一方数据是那些品牌自己从客户关系中或者与品牌发生过接触的TA处收集来的信息;第二方数据是品牌从其他机构或者合作伙伴处购买、整合来的数据;第三方数据是那些不属于本品牌的,但是品牌在营销活动中可以对其加以利用的数据;
那么,零方数据又是什么呢?
“零方数据”(Zero-party Data)一词最早见于Forrester2018年发布的一份报告之中,指客户/消费者为了获取个性化服务/广告主动分享给品牌的数据。例如,某人明确表示在日韩娱乐频道中屏蔽韩剧只看日剧,或者只喜欢吸猫而不希望自己的宠物频道推荐中出现狗或猪等等。
如今,随着第三方Cookies的逐渐失宠,到2021年,将有25%的首席营销官(CMO)希望投资于授权与偏好管理。这将有利于上下文相关的零方数据收集,并允许营销团队管理客户的同意条款,包括选择退出和不出售客户偏好数据。
此外,这种技术还可以改善企业组织的数据洞察力,并有助于增强客户体验(CX)。
更多隐私安全主管将直接向CEO汇报
随着隐私问题对企业收入的影响越来越大,直接向CEO汇报的隐私领导者的比例预计将从2019年的23%增加到2021年的40%。
随着组织希望将隐私保护嵌入客户体验之中,这将促使数据隐私的主要负责人员可以从企业高管团队获得更多支持。
CCPA 2.0将推动美国的联邦隐私立法
虽然《加利福尼亚州消费者隐私法案(CCPA)》制定了美国最强有力的数据隐私法规,但其薄弱之处却始终是行业和隐私权倡导者们争论不休的焦点。就目前情况而言,CCPA确实存在一些对大型科技公司有利的实质性漏洞。其一是将其简单地重新归类为“服务提供商”而不是“广告商”的能力,这使得一些公司能够避开许多有关个人数据销售的规定。此外,有关“个人信息”的概念也有一些模糊的定义,以至于在销售条件和数据泄露后果方面可以排除在某个时刻公开的信息。
而《加州隐私权法案》(CPRA)意在填补现行《加州消费者隐私法》(CCPA)的诸多漏洞,CPRA结合了共享、出售和货币化数据的概念。它要求公司披露他们从用户处收集的信息,以及他们销售或共享数据的第三方,除此之外,它还赋予加州居民一些新的权利,比如更正“不准确的”个人信息以及限制敏感个人信息的使用和披露的权利。
CPRA创建了一个新的敏感个人信息(SPI)类别,包括广泛的数据元素,例如驾驶执照、护照和社会安全号码、金融账户信息、地理位置、种族、民族、宗教、个人通讯、遗传和生物识别数据、健康数据以及有关性生活或性取向方面的信息。如果企业组织计划收集、共享或出售这些SPI信息,他们必须要提前向用户披露。一旦被告知,用户则有权利阻止公司共享其SPI。
此外,CPRA还将成立一个新的机构——加州隐私保护机构(California Privacy Protection agency,CPPA),并向其拨款1000万美元,赋予其充分的行政权力、特权和管辖权来执行这项法律。该机构将调查并举行听证会,以确定企业、服务提供商或承包商是否符合CPRA的要求,并对违规行为进行处罚。
对于企业如何“分享”个人数据,CPRA同样给出了严格限制。CPRA规定了一项新的跨语境行为广告选择退出机制,其定位为“基于消费者的个人信息而针对特定消费者的广告,该个人信息是通过消费者的各项商业活动、个性化网站、应用或服务而获得的,不同于消费者通过其他商业、个性化网站、应用或服务而有意进行的交互行为”。从事这些活动的企业需要在网站上设置“限制使用个人敏感信息”按钮,以确保用户有权从披露和广告过程中退出。
而如果企业向第三方出售或共享个人信息,或仅仅出于商业目的向服务提供商或承包商披露此类信息,双方必须签署一份包含特定数据处理条款的协议,例如,限制使用条款、违约通知和补救权利等。
根据Forrester的说法,作为当前《加利福尼亚州消费者隐私法案(CCPA)》的演进版本,《加利福尼亚州隐私权法案(CPRA)》将增加联邦政府对用户隐私的保护力度。
由此一来,企业组织需要熟悉适用于他们的新法规的各个方面,并确定它们是否比州立法者通过的法规更加积极有效
英国将成为数据保护事务的“第三国”
Forrester预测,自2021年1月开始,就数据保护角度而言,英国将正式成为“第三国”。
鉴于此,那些在英国境内存储企业或员工数据的企业组织,将需要把这些数据迁移到可以提供充分保护的其他地方,或者遵守标准合同条款(SCC,是欧盟个人数据出境的常规路径之一)。
除此之外,企业组织还需要关注以下三个关键行动:
1)评估自身是否符合英国数据保护要求,包括英国GDPR;
2)明确在决策缺失的情况下,整个生态系统中的数据传输将会发生何种影响;
3)开始制定过渡策略。
网络安全预
由内部人员引起的数据泄露事件将增加
根据Forrester的预测,到2021年,内部人员事件(无论是偶然的还是恶意的)将占所有数据泄露事件的三分之一,而现如今这一比例为25%。
造成这一现象的原因包括,新冠疫情(Covid-19)大流行期间,各企业组织开始迅速过渡到远程办公模式,相应的安全措施尚未到位;员工担心失业,动了其他心思,以及数据传输的门槛降低,导致攻击面激增等等。
因此,企业组织应该优先考虑威胁防御和员工敬业度等相关问题,同时牢记信任并不是控制。
对非美国网络安全企业的风险投资将增加
2020 年 7 月,欧洲对外关系委员会(ECFR)发布《欧洲的数字主权:中美对抗背景下从规则制定者到超级大国》报告,表示欧盟不能继续依赖其监管力量,而必须凭借自身实力成为科技超级大国。此外,欧委会还在考虑出台新规,要求苹果公司向对手开放iPhone支付技术,并将在新规中阐明何为支付领域的基础设施,及如何授予访问基础设施的权限。
今年,在东盟峰会及相关会议期间,区域全面经济伙伴关系协定(RCEP)正式签署。15个国家(东盟十国和中国、日本、韩国、澳大利亚及新西兰)签署了史上最大规模的贸易协定,其中承诺在新冠疫情下提高全球约三分之一人口的收入并给予全球化支持者希望,使其振兴世界贸易与合作并对抗特朗普的保护主义成为可能。
在上述种种因素的综合作用下,Forrester预计,2021年,面向美国以外市场的风险投资(VC)金额将增加20%。
与此同时,跨国公司的安全与风险(S&R)专业人员将需要考虑基于区域的点解决方案,首席信息安全官(CISO)应通过关注初创企业来寻求区域性安全技术的机会。
致命的安全文化将成为终止首席信息安全官(CISO)的理由
Forrester预计,到2021年,CISO的角色将面临巨变,由于更多监管行动的展开,一种“致命的”安全文化将变得更加公开,这将导致全球500强企业中担任首席信息安全官的人员被迫终止合同。
在Forrester列出的网络安全“十大坑”中 ,有八项与领导层的失误有关。这就意味着,在该领域建立积极健康的安全文化比以往任何时候都更加重要。
由于直接面向消费者,零售和制造行业将出现更多安全违规行为
到2021年,更多品牌将需要直接面向消费者,而不再通过零售商和分销商构成的传统供应链。这就意味着企业将需要使用更多的应用程序来改进其业务参与模式,而此举将导致攻击面急剧增加,随之而来的就是更多的数据泄露事件。
正因如此,面临这种业务转型需求的品牌将需要优先考虑其产品安全性,并建立起开发者激励计划以及寻求更强大的漏洞和攻击模拟工具。
审计工作和预算压力将迫使企业采用风险量化技术
由于经济发展的不确定性,许多组织开始大幅削减了人员和技术投资,由此也导致合规性问题变得越发困难。
到2021年,审计和预算压力的持续增加将意味着CISO们必须努力寻求可以解决潜在的审计问题和风险的方式,风险量化技术或将迎来发展机遇。
- 还没有人评论,欢迎说说您的想法!