貴組織的員工了解多少關于安全性、數據隱私和合規性方面的東西?總部位于華盛頓州博塞爾市(Bothell)的MediaPro在最近的一份報告指出(也許不能完全采信)。由于數據隱私迅速成為熱點問題,歐盟的《通用數據保護法案(GDPR)》即將出臺,如果你的員工不知道如何處理貴公司的數據,這可能會激怒你。
這個消息并不全是壞事。一般來說,美國雇員諳于識別敏感和私人文件,并了解這些數據是否應該銷毀或得到安全存儲。但他們糾結于隱私法規(尤其是《通用數據保護法案》和《歐盟-美國隱私保護》)以及處理個人和職業生活中的敏感數據。
去年10月,安全意識,隱私意識和合規培訓的專家機構MediaPro對1007名美國居民進行了關于數據隱私最佳實踐和法規的調查。 MediaPro向參與者詢問他們在全國幾乎所有企業辦公室可能會出現的五種真實情況下會做什么。MediaPro在今年早些時候發布的《2018年隱私關注報告》中收集了調研結果。
MediaPro的總經理Steve Conrad說:“鑒于我們最近的《2017年隱私和安全意識狀況報告》發現的這些調查結果以及低的讓人驚訝的隱私級別和安全意識,公司要在跨越2018之際認真對待這些話題。《2018年隱私關注報告》顯示,就教育員工如何處理敏感數據而言,企業可以做得更好,就數據隱私來說,現在是時候停止冒險了——趁還來得及。”
下面來看看員工在MediaPro調查中的表現——以及關于這方面的建議——采取何種措施來確保最終用戶知道如何正確地解決工作場所的數據問題。
國家和全球隱私法規
很多首席信息官關心的一個領域是員工對國家和全球隱私法規的了解。
受訪者對《健康保險可攜性和責任法案(HIPAA)》表現出很深的認識,該法規定了美國居民的受保護的健康信息的安全性。報告發現,《健康保險可攜性和責任法案》對21%的受訪者來說是“全新的”。34%的人略知一二,但他們并不認為自己是專家,18%的人表示“知道很多”。當然,熟悉程度因行業而異。醫療行業的受訪者對《健康保險可攜性和責任法案》法規更加熟悉:54%的受訪者表示他們對《健康保險可攜性和責任法案》知之甚少。
但是,論及歐盟將于5月25日開始執行的《通用數據保護法案》等法規時,情況就大不相同了。59%的受訪者表示《通用數據保護法案》對他們來說是全新的事物。24%的人表示聽說過該監管規定,但承認詳情有待了解,13%的人表示略知一二,4%的人認為自己是專家。
這應該是首席信息官們特別關心的問題,因為歐盟已賦予《通用數據保護法案》極大的權利:違規罰款可能占到貴組織全年營業額的4%,或2700萬美元,以較高金額為準。
MediaPro的產品經理Colleen Huber說:“《通用數據保護法案》由于還沒有正式出臺,而且有很多模糊的部分,所以人們很難將其放到具體環境來考察。它需要一種跨功能的方法,你必須在很大程度上了解的事情是——為了做到合規,你需要做什么。”
接受調查的員工對《歐盟-美國隱私保護》所知甚少。這是美國和歐盟的組織和公司之間跨大西洋數據共享的法律體系。63%的受訪者表示,該保護法對他們來說是新鮮事物,只有23%的受訪者表示他們略知一二。為某種形式的政府工作的受訪者意識到該隱私保護法的可能性最小:76%的人表示該體系對他們來說是全新的事物。
Huber強調,組織必須為員工把這些法規放到具體的背景中考慮,這是很重要的。
她說:“你的策略、程序、意識和培訓計劃必須與最終用戶相關并對他們坦率。你要按照所有人都能理解的方式來制定這些法規,這事關你確保自己處理個人信息的做法是正確的,遵守全球最高的隱私標準。在很多情況下,員工并不真正了解這些做法是什么樣的。”
敏感且私密的文件
當MediaPro把辦公環境中常見的文檔和信息的例子呈現給受訪者看時,它要求他們采取三種行動之一——發布到社交媒體,銷毀在安全的粉碎機中,或者放在上鎖的抽屜中。
MediaPro發現,受訪會依據信息的不同,對要采取什么樣的行動有大致的掌握。例如,大多數受訪者選擇將三十年前的舊密碼提示和前員工納稅表銷毀在安全碎紙機里(分別為75%和74%的人),或將其保留在上鎖的抽屜中(分別22%和24%的人)。
Huber說:“總的來說,看到人們把東西鎖在抽屜里或者安全地銷毀東西,這真的很棒,他們選擇發布到社交媒體上的僅有的兩則信息就是他們可以發布到社交媒體上的東西。”
Huber說,員工擁有的背景信息越多,他們在如何正確決定處理文件和信息方面就表現得越好。
Huber說:“確保你的員工知道信息的完整背景,確保他們了解敏感文檔的類型,同時也了解該文檔中有什么信息以及違反該信息可能會對最終用戶造成什么后果。”
將訪問權限授予第三方應用
就授予第三方應用程序權限而言,調查結果與年齡密切相關。55歲以上(包括55歲)的受訪者表示,他們會在59%的情況下對應用權限請求回應“從不”。年齡在35-54歲的受訪者表示他們會在52%的情況下回應“從不”。而在18-34年齡段的受訪者表示,他們會在42%的情況下回應“從不”。
所有年齡群的受訪者都對短信保護備至:68%的受訪者表示他們“從不”允許第三方應用程序閱讀他們的短信。受訪者還保護他們的聯系人,瀏覽器歷史記錄和SD卡內容(分別為58%,56%和56%的人,他們表示絕不會授予第三方應用程序讀取/修改或訪問的權限)。
但受訪者對其它的權限感到更加從容:
• 68%的受訪者表示他們“有時”授予第三方應用許可,這些權限通過GPS和/或網絡數據報送精確位置;9%的人表示他們“總是”對此授予權限
• 50%的人表示,即使應用程序未運行,他們“有時”也會授予訪問設備位置的權限;7%的人表示他們“始終”對此授予權限。
• 48%的人表示他們“有時”授予錄制音頻的權限;7%的人表示他們“總是”授予許可
• 48%的人表示他們“有時”授予添加或修改日歷活動的權限;7%的人表示他們“總是”這樣做
• 54%的人表示他們“有時”授予拍照和錄像的權限;15%的人表示他們“總是”這樣做
Huber指出,理解權限的后果尤其重要,因為移動設備總是包含個人信息和商業信息的混合。
Huber說:“當他們授權別人訪問自己的聯系人等信息時。你的培訓、最佳實踐、所有這一切都要包含所有這些衍生后果——如果設備出了亂子會發生的所有后果。”
Huber還建議按年齡來概述員工,并根據他們的需求為他們提供培訓。
特定類型信息的敏感度
當受訪者被要求根據其敏感度評定八種類型的信息時(其中5是最敏感的),他們一致認為社會安全號碼(Social Security number)是最敏感的:89%的人將它們排在第5,6%的人將其排在第4。信用卡信息也被認為是敏感的:76%的人將其排在第5,19%的人將其排在第4。同樣,71%的受訪者將稅務信息排在第5,19%的人將其排在第5。受訪者認為社交媒體信息是最不敏感的信息類型:58%的人將社交媒體帖子評為0或1。
受訪者對其它類型的信息更為樂觀:
•只有53%的受訪者將醫療記錄評為5,而28%的受訪者將其評為4。
• 28%的受訪者將工作電子郵件評為5,39%的受訪者將其評為4。
• 10%的人將瀏覽器歷史記錄評為5,而31%的人將此評為4。
值得注意的是,金融行業的員工并不比其它行業的員工更傾向于認為稅務信息是更敏感的信息:57%的金融行業的員工對稅務信息評為5,與此相比,給出同樣評分的其它行業的受訪者則占73%。
舉報潛在的隱私事件
MediaPro在一般的工作環境中向受訪者呈現了八種可能的情景,并問他們這些情景是否為可舉報的隱私事件,這些事件可能會違反聯邦、州、地方或公司關于處理敏感或隱私信息的策略。該調查詢問受訪者是否會舉報,不舉報,或不確定要做什么。
調查發現,受訪者通常能夠正確地確定哪些情況需要舉報,哪些情況不需要。例如,83%的受訪者正確地認定在打印機附近發現敏感信息是可舉報的事件。
令人驚訝的是,盡管91%的受訪者正確地指出,如果他們知道網絡犯罪分子竊取了若干客戶的姓名、地址和出生日期,他們應該舉報。但80%的人表示不確定,2%的人選擇“不舉報”。
值得注意的是,MediaPro分析了行業反應之后發現技術部門的員工是最不可能正確識別可舉報的事件的員工。只有82%的技術部門受訪者表示發現網絡犯罪分子竊取了敏感的客戶信息是一起可舉報的事件。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號