2024年隱私保護態勢研究:超半數企業或將縮減隱私保護預算投入
責編:gltian |2024-01-31 14:22:57在過去的一年里,全球各地的隱私保護法規持續發展和更新,如印度的《個人數據保護法案》和巴西的《通用數據保護法》等。然而,據國際信息系統審計協會(ISACA)最新發布的《2024年隱私保護實踐研究報告》調研數據顯示,只有34%的受訪組織表示能夠充分了解其隱私保護的責任,只有43%的組織對其確保數據隱私合規工作的能力非常有信心。報告數據同時顯示,超過一半(51%)的受訪者表示其用于隱私保護的預算投入將會縮減,這一數據同比去年(12%)顯著上升。
隱私挑戰
組織不僅在理解隱私監管環境方面存在困難,還面臨著隱私預算等其他數據隱私挑戰。近一半的受訪者(43%)表示其所在組織的隱私預算不足,只有36%的受訪者表示其所在組織的隱私預算充足。對于未來一年的預算展望,只有24%的受訪者認為隱私預算會增加(比去年下降10個百分點),只有1%的受訪者認為預算將保持不變(比去年下降26個百分點)。超過一半(51%)的受訪企業表示其隱私預算將縮減,這一比例較去年顯著上升,去年該比例僅為12%。
受訪者表示,其所在的企業推行貫徹隱私計劃的道路也并非一帆風順,組織面對的主要障礙包括:
- 缺乏有能力的隱私團隊和隱私專業人員(41%)
- 計劃分配的任務、角色和職責不明確(39%)
- 缺乏行政或業務支持(37%)
- 在組織內部缺乏可見度和影響力(37%)
在尋求有能力的人才時,隱私技術職位的需求量最大,62%的受訪者表示明年對隱私技術職位的需求將增加,55%的受訪者表示法律/合規職位的需求將增加。但受訪者表示,隱私專業人員存在技能差距。調查結果顯示,隱私專業人員最大的技能差距是不同類型的技術和/或應用程序的經驗(63%)。
關于隱私事故,調查結果顯示,缺乏培訓或培訓效果不佳(49%)、未貫徹隱私設計(44%)和數據泄露(42%)是最常見的隱私事故原因。
ISACA 隱私實踐負責人 Safia Kazi 表示:“當隱私團隊面臨預算緊張和員工技能短缺的雙重挑戰時,跟進不斷變化完善的數據隱私法規將更加困難,這甚至可能會導致數據泄露的風險增加。認識到這些挑戰可以幫助組織采取必要措施進行補救,調整策略以強化其隱私團隊和隱私計劃。”
采取行動
培訓是幫助組織彌補員工缺口和避免隱私事故的有效手段之一。半數受訪者(50%)表示其所在組織通過培訓使對非隱私專業人員轉而從事隱私工作,而 39% 的受訪者表示其所在組織聘用更多的合同員工或外部顧問。
在員工培訓方面,86%的受訪者表示其所在組織為員工提供隱私意識培訓,其中 66% 的受訪者表示其所在組織每年都為全體員工提供培訓,52%的受訪者表示其所在組織為新員工提供隱私意識培訓。60%的受訪組織至少每年審查并修改一次隱私意識培訓內容。71%的受訪者認為,隱私培訓對組織隱私意識有很大或一定的積極影響。有趣的是,受訪者表示,組織最常用來追蹤隱私培訓效果的指標不是隱私事件的減少(56%),而是完成培訓的員工人數(65%)。
除此之外,組織還利用各種隱私控制措施來加強數據隱私,最常用的三大隱私控制措施為身份和訪問管理(74%)、加密(73%)和數據安全(72%)。
盡管組織在隱私領域面臨著多種挑戰,但63%的組織表示在過去12個月中沒有發生重大隱私泄露事件,18% 的組織表示隱私泄露事件的數量未發生變化。受訪者對未來一年的預測也較為樂觀:僅有不到五分之一(16%)的受訪者認為其所在組織在未來12個月預計會發生重大隱私泄露事件。
為評估隱私計劃的有效性,受訪者表示組織最常用的方法是:
隱私設計的價值
調查結果最明顯的啟示之一是,采用隱私設計的組織掌握了一些關鍵優勢:
- 隱私團隊規模更大(員工人數中位數為15人,而在所有受訪組織中該數據為 9 人),并且更傾向于認為其技術性隱私部門的人員配置得當(42%:34%)。
- 堅信董事會將組織隱私放在首位(77%:57%)。
- 將組織隱私計劃視為純粹合規驅動的可能性較低(35%:44%),而更傾向于認為隱私計劃是合規、道德和競爭優勢的結合(39%:29%)。
- 更傾向于認為其所在組織的隱私戰略與組織目標相一致(90%:74%)。
- 總體而言,這些組織實施比法律要求更多的隱私控制措施:○ 數據最小化和保留控制(54%:39%)??○ 數據質量和完整性(50%:38%)??○ 加密保護(59%:46%)
- 認為組織隱私預算資金充足(50%:36%)
總之,長期貫徹隱私設計的組織也更傾向于對其隱私團隊確保數據隱私和遵守新隱私法律法規的能力非常或完全有信心(71%:43%)。
美國安全與隱私公司(American Security and Privacy)創始合伙人兼ISACA新趨勢工作組成員 Lisa McKee 博士強調:“堅持采用主動且全面的方法來貫徹隱私設計對組織而言具有巨大價值。對多數組織來說,確保隱私的優先地位并保護用戶數據不僅是一項正確的策略,還能在戰略調整、預算、人員配置、合規性和組織聲譽等方面帶來顯著益處。
更多隱私相關資源請訪問:www.isaca.org/resources/privacy?
來源:安全牛