目前,IT技術在保護公司數據安全和個人隱私信息方面擔負巨大責任。本文介紹了在IT技術組織的日常工作中,隱私保護已經變得多麼重要與深入人心。
個人隱私已經成爲大衆關注的焦點。頻繁的數據破壞、身份竊取以及諸如釣魚式***欺騙已經給大量公司和消費者帶來負擔,並嚴重威脅網絡和電子商務服務的可信度。
調查表明,將近半數美國居民對已採取足夠措施保護個人信息安全幾乎沒有信心,伴隨這種信心缺乏的是日益增長的複雜網絡犯罪。很難說清楚,誰是合法的,但越來越多的用戶成爲網絡的受害者。讓我們看幾個隱私保護問題,瞭解它們是如何影響IT技術。
#1:公佈泄密的數據:這是法律規定
美國一部分州規定所有組織、個人以及商家在他們的私人信息確認已被某個未授權者獲得時,應當向居民公佈這個消息。當一個組織擁有的個人信息已經被泄密時,該組織必須公開向大家公佈。2003年,加利福尼亞州通過了一項法案,該法案要求所有組織在它們遭受到可能導致個人信息泄密風險的數據安全破壞時,應當通知居民。最近,有28個州通過了類似法案,其它超過15個州的安全破壞通知法案也是迫在眉睫。數據安全破壞通知的代價是昂貴的,因爲這通常要每個人交罰單。
#2:客戶忠誠度直接取決於個人信息安全
當顧客確信他們的個人和財務信息是受保護的,不會被未授權者非法獲得時,他們就會使用網絡購物、網上銀行、電子政務、網上醫療和其它服務。當這種信任被破壞時,顧客的忠誠度會在一夜間崩潰。身份竊取和其它的欺詐所帶來的代價太大了,那些因泄密私人信息而失去顧客信任的公司,其它公司將不會與其做生意。
在2001和2004年間,有關部門採取了超過196項法律行動來處理隱私保護問題,有255家公司成爲被告,包括金融服務、健康醫療、醫藥衛生、信息服務、電子商務、製造、媒體、零售等行業,有超過33類犯罪案件提起訴訟。以下是有些網絡用戶如何看待隱私的有趣數字:
86%的人關心個人信息保密。
45%的人從未向網站提供真實姓名。
5%的人利用軟件隱藏計算機真實信息。
86%的人支持在使用數據前的身份驗證許可爲“選擇輸入”。
94%的人希望懲罰破壞隱私者。
#3:IT 程序在隱私保護中負有重要責任
當開發一個系統時,有以下幾點需要考慮:
確定你要使用的包括個人身份識別信息的數據類型,這包括用戶姓名,電子郵件地址,健康狀況和信用卡號或者社會安全號等。不要收集不必要的數據。
明確如何實現通知用戶可能要收集他們的個人信息的機制,並向他們提供選擇方式不參加那些和許可那些數據信息收集。可能還要求籤訂一個不參加確認記錄。
確定系統敏感點所在:在應用系統,數據庫,無線網絡,web訪問或者其它接口。
確定防止個人身份識別信息被誤用或被未授權訪問的措施,包括訪問控制,加密,物理安全,審計。加密可能是最好的防禦措施,當一個加密的膝上電腦被盜時,至少數據是受到保護的。
#4:數據分類策略是必要的
現今,數據管理員已成爲組織信息的專業管理人員,組織要求他們把數據看作重要資產加以維護和管理。他們根據數據描述或提供的數據進行數據管理。一個組織應該有一個確定的數據分類策略,祕密的、公開的、明確定義最重要的或祕密的數據。
這種策略的一個重要組成部分是數據安全規劃,它將用以處理可預見的對於保存在部門系統中的集成信息安全威脅。個人身份識別信息控制與存取是最近美國隱私保護立法的主題。歐盟也有保護個人身份信息的明確要求。
#5:識別關鍵系統有助於風險分析
一旦你對數據如何分類有了清楚的瞭解,並且識別出潛在的數據安全威脅,就可以對管理數據的系統進行更詳細的集成數據安全風險分析。
進行這類活動的好處是使你對主要IT技術和系統的風險等級有良好的分類,這就允許你將精力主要集中於潛在高風險區域。按照管理規則要求的對包含重要數據的關鍵系統進行審計控制是一個良好的方法。