企业要如何在网络威胁时代保护数据隐私
更新时间:2024-02-29
企业要如何在网络威胁时代保护数据隐私
企业要如何在网络威胁时代保护数据隐私
上个月,上海市网信办通报称,已依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。
其中一个最让人惊诧的是某知名火锅连锁品牌:在收集个人信息环节,其外送微信小程序仍在强制索取精准位置信息;在存储个人信息环节,其创设近30年来形成的1.5亿条会员个人信息以及18万条公司员工信息未加密存储,“多年来一直处于‘裸奔’状态”。
那么在网络威胁不断加剧的今天,企业必需重新审视如何处理个人身份信息(PII),以确保数据安全。
技术的飞速发展和数据隐私的高度关注使得许多企业面临着严峻的挑战,需要重新考虑如何收集和保管客户的个人信息。
数据是新的“石油”。与十年前相比,企业现在存储的数据类型更加复杂,数量也大大增加。因此,企业在处理客户信息和经营数据等各种数据时,所面临的风险也大幅上升。
每天产生的信息量已高达3.28亿TB,这是一个庞大的数字。先进的技术、互连的IT系统以及个人数据对恶意行为者越来越有吸引力,这使得数据安全成为企业的紧迫任务。
仅在2023年前9个月,数据泄露事件的数量就超过了整个2022年。同时,复杂的勒索软件攻击也变得更加普遍,攻击者甚至能够侵入最先进的系统并加密数据。网络钓鱼攻击也变得更具针对性和说服力。
许多黑客都是在未经授权的情况下访问企业信息和IT系统,因此采用“一刀切”的方法已经不再有效。简而言之,PII政策需要根据企业及其客户群的特殊需求和风险情况进行量身定制。
那么企业究竟要如何在网络威胁时代保护数据隐私?
第一、修订存储的数据类型、制定支持这些数据存储的政策,并减少存储的数据量。
随着威胁不断增加,企业必须仔细审查其所存储的个人信息类型和存储时间。鼓励企业采用“减少和最小化数据”的方法,只收集和存储必要的信息,例如客户的姓名和电子邮件地址。
尽管现有的隐私法规鼓励企业采用合规的数据保留方法,但这可能导致大量PII的存储,可能会引发问题。
许多企业将数据视为“石油”,就会误以为大量存储数据对业务运营或客户营销有独特的优势。然而,实际上,存储大量此类数据的风险很可能大于收益。因为只有在知道如何处理这些数据并为其提供足够的保护时,这些数据才会有价值。对于许多企业来说,这些数据可能会处于“休眠状态”,无法有效利用。
因此,保护PII并不仅仅意味着增强数据存储和其他支持性IT系统,关键在于修订存储的数据类型、制定支持这些数据存储的政策,并减少存储的数据量。
二、小企业采取额外的预防措施。
无论企业规模大小,一旦发生数据泄露,尤其涉及个人信息时,所有组织都将面临同样严厉的处罚。因此,资源有限的小型企业在处理客户数据时应采取额外的预防措施。
最简单的方法是重新考虑客户数据档案的存储内容,尽量只存储公开可用的数据,如姓名和电子邮件地址,而不包括敏感信息如家庭住址和出生日期。此外,限制员工存储客户隐私信息的方式也是减少风险的有效方法,特别是在规模较小的企业中,许多员工可能可以访问或负责企业的其他运营部分。
三、有目的的数据保护。
企业想要降低PII数据受到攻击风险,不仅需要建立更强大、更先进的安全系统,还需要投资于修改信息存储做法,从根本上重新审视政策。
如果不以全新的视角从更广泛的意义上应对这些风险,未来几年内,无论企业规模如何,都可能会遭受更严重的网络攻击和与PII存储相关的网络安全问题。