2024年隱私保護態(tài)勢研究:超半數(shù)企業(yè)或?qū)⒖s減隱私保護預(yù)算投入
責(zé)編:gltian |2024-01-31 14:22:57在過去的一年里,全球各地的隱私保護法規(guī)持續(xù)發(fā)展和更新,如印度的《個人數(shù)據(jù)保護法案》和巴西的《通用數(shù)據(jù)保護法》等。然而,據(jù)國際信息系統(tǒng)審計協(xié)會(ISACA)最新發(fā)布的《2024年隱私保護實踐研究報告》調(diào)研數(shù)據(jù)顯示,只有34%的受訪組織表示能夠充分了解其隱私保護的責(zé)任,只有43%的組織對其確保數(shù)據(jù)隱私合規(guī)工作的能力非常有信心。報告數(shù)據(jù)同時顯示,超過一半(51%)的受訪者表示其用于隱私保護的預(yù)算投入將會縮減,這一數(shù)據(jù)同比去年(12%)顯著上升。
隱私挑戰(zhàn)
組織不僅在理解隱私監(jiān)管環(huán)境方面存在困難,還面臨著隱私預(yù)算等其他數(shù)據(jù)隱私挑戰(zhàn)。近一半的受訪者(43%)表示其所在組織的隱私預(yù)算不足,只有36%的受訪者表示其所在組織的隱私預(yù)算充足。對于未來一年的預(yù)算展望,只有24%的受訪者認為隱私預(yù)算會增加(比去年下降10個百分點),只有1%的受訪者認為預(yù)算將保持不變(比去年下降26個百分點)。超過一半(51%)的受訪企業(yè)表示其隱私預(yù)算將縮減,這一比例較去年顯著上升,去年該比例僅為12%。
受訪者表示,其所在的企業(yè)推行貫徹隱私計劃的道路也并非一帆風(fēng)順,組織面對的主要障礙包括:
- 缺乏有能力的隱私團隊和隱私專業(yè)人員(41%)
- 計劃分配的任務(wù)、角色和職責(zé)不明確(39%)
- 缺乏行政或業(yè)務(wù)支持(37%)
- 在組織內(nèi)部缺乏可見度和影響力(37%)
在尋求有能力的人才時,隱私技術(shù)職位的需求量最大,62%的受訪者表示明年對隱私技術(shù)職位的需求將增加,55%的受訪者表示法律/合規(guī)職位的需求將增加。但受訪者表示,隱私專業(yè)人員存在技能差距。調(diào)查結(jié)果顯示,隱私專業(yè)人員最大的技能差距是不同類型的技術(shù)和/或應(yīng)用程序的經(jīng)驗(63%)。
關(guān)于隱私事故,調(diào)查結(jié)果顯示,缺乏培訓(xùn)或培訓(xùn)效果不佳(49%)、未貫徹隱私設(shè)計(44%)和數(shù)據(jù)泄露(42%)是最常見的隱私事故原因。
ISACA 隱私實踐負責(zé)人 Safia Kazi 表示:“當(dāng)隱私團隊面臨預(yù)算緊張和員工技能短缺的雙重挑戰(zhàn)時,跟進不斷變化完善的數(shù)據(jù)隱私法規(guī)將更加困難,這甚至可能會導(dǎo)致數(shù)據(jù)泄露的風(fēng)險增加。認識到這些挑戰(zhàn)可以幫助組織采取必要措施進行補救,調(diào)整策略以強化其隱私團隊和隱私計劃。”
采取行動
培訓(xùn)是幫助組織彌補員工缺口和避免隱私事故的有效手段之一。半數(shù)受訪者(50%)表示其所在組織通過培訓(xùn)使對非隱私專業(yè)人員轉(zhuǎn)而從事隱私工作,而 39% 的受訪者表示其所在組織聘用更多的合同員工或外部顧問。
在員工培訓(xùn)方面,86%的受訪者表示其所在組織為員工提供隱私意識培訓(xùn),其中 66% 的受訪者表示其所在組織每年都為全體員工提供培訓(xùn),52%的受訪者表示其所在組織為新員工提供隱私意識培訓(xùn)。60%的受訪組織至少每年審查并修改一次隱私意識培訓(xùn)內(nèi)容。71%的受訪者認為,隱私培訓(xùn)對組織隱私意識有很大或一定的積極影響。有趣的是,受訪者表示,組織最常用來追蹤隱私培訓(xùn)效果的指標(biāo)不是隱私事件的減少(56%),而是完成培訓(xùn)的員工人數(shù)(65%)。
除此之外,組織還利用各種隱私控制措施來加強數(shù)據(jù)隱私,最常用的三大隱私控制措施為身份和訪問管理(74%)、加密(73%)和數(shù)據(jù)安全(72%)。
盡管組織在隱私領(lǐng)域面臨著多種挑戰(zhàn),但63%的組織表示在過去12個月中沒有發(fā)生重大隱私泄露事件,18% 的組織表示隱私泄露事件的數(shù)量未發(fā)生變化。受訪者對未來一年的預(yù)測也較為樂觀:僅有不到五分之一(16%)的受訪者認為其所在組織在未來12個月預(yù)計會發(fā)生重大隱私泄露事件。
為評估隱私計劃的有效性,受訪者表示組織最常用的方法是:
隱私設(shè)計的價值
調(diào)查結(jié)果最明顯的啟示之一是,采用隱私設(shè)計的組織掌握了一些關(guān)鍵優(yōu)勢:
- 隱私團隊規(guī)模更大(員工人數(shù)中位數(shù)為15人,而在所有受訪組織中該數(shù)據(jù)為 9 人),并且更傾向于認為其技術(shù)性隱私部門的人員配置得當(dāng)(42%:34%)。
- 堅信董事會將組織隱私放在首位(77%:57%)。
- 將組織隱私計劃視為純粹合規(guī)驅(qū)動的可能性較低(35%:44%),而更傾向于認為隱私計劃是合規(guī)、道德和競爭優(yōu)勢的結(jié)合(39%:29%)。
- 更傾向于認為其所在組織的隱私戰(zhàn)略與組織目標(biāo)相一致(90%:74%)。
- 總體而言,這些組織實施比法律要求更多的隱私控制措施:○ 數(shù)據(jù)最小化和保留控制(54%:39%)??○ 數(shù)據(jù)質(zhì)量和完整性(50%:38%)??○ 加密保護(59%:46%)
- 認為組織隱私預(yù)算資金充足(50%:36%)
總之,長期貫徹隱私設(shè)計的組織也更傾向于對其隱私團隊確保數(shù)據(jù)隱私和遵守新隱私法律法規(guī)的能力非常或完全有信心(71%:43%)。
美國安全與隱私公司(American Security and Privacy)創(chuàng)始合伙人兼ISACA新趨勢工作組成員 Lisa McKee 博士強調(diào):“堅持采用主動且全面的方法來貫徹隱私設(shè)計對組織而言具有巨大價值。對多數(shù)組織來說,確保隱私的優(yōu)先地位并保護用戶數(shù)據(jù)不僅是一項正確的策略,還能在戰(zhàn)略調(diào)整、預(yù)算、人員配置、合規(guī)性和組織聲譽等方面帶來顯著益處。
更多隱私相關(guān)資源請訪問:www.isaca.org/resources/privacy?
來源:安全牛
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧