贵组织的员工了解多少关于安全性、数据隐私和合规性方面的东西?总部位于华盛顿州博塞尔市(Bothell)的MediaPro在最近的一份报告指出(也许不能完全采信)。由于数据隐私迅速成为热点问题,欧盟的《通用数据保护法案(GDPR)》即将出台,如果你的员工不知道如何处理贵公司的数据,这可能会激怒你。
这个消息并不全是坏事。一般来说,美国雇员谙于识别敏感和私人文件,并了解这些数据是否应该销毁或得到安全存储。但他们纠结于隐私法规(尤其是《通用数据保护法案》和《欧盟-美国隐私保护》)以及处理个人和职业生活中的敏感数据。
去年10月,安全意识,隐私意识和合规培训的专家机构MediaPro对1007名美国居民进行了关于数据隐私最佳实践和法规的调查。 MediaPro向参与者询问他们在全国几乎所有企业办公室可能会出现的五种真实情况下会做什么。MediaPro在今年早些时候发布的《2018年隐私关注报告》中收集了调研结果。
MediaPro的总经理Steve Conrad说:“鉴于我们最近的《2017年隐私和安全意识状况报告》发现的这些调查结果以及低的让人惊讶的隐私级别和安全意识,公司要在跨越2018之际认真对待这些话题。《2018年隐私关注报告》显示,就教育员工如何处理敏感数据而言,企业可以做得更好,就数据隐私来说,现在是时候停止冒险了——趁还来得及。”
下面来看看员工在MediaPro调查中的表现——以及关于这方面的建议——采取何种措施来确保最终用户知道如何正确地解决工作场所的数据问题。
国家和全球隐私法规
很多首席信息官关心的一个领域是员工对国家和全球隐私法规的了解。
受访者对《健康保险可携性和责任法案(HIPAA)》表现出很深的认识,该法规定了美国居民的受保护的健康信息的安全性。报告发现,《健康保险可携性和责任法案》对21%的受访者来说是“全新的”。34%的人略知一二,但他们并不认为自己是专家,18%的人表示“知道很多”。当然,熟悉程度因行业而异。医疗行业的受访者对《健康保险可携性和责任法案》法规更加熟悉:54%的受访者表示他们对《健康保险可携性和责任法案》知之甚少。
但是,论及欧盟将于5月25日开始执行的《通用数据保护法案》等法规时,情况就大不相同了。59%的受访者表示《通用数据保护法案》对他们来说是全新的事物。24%的人表示听说过该监管规定,但承认详情有待了解,13%的人表示略知一二,4%的人认为自己是专家。
这应该是首席信息官们特别关心的问题,因为欧盟已赋予《通用数据保护法案》极大的权利:违规罚款可能占到贵组织全年营业额的4%,或2700万美元,以较高金额为准。
MediaPro的产品经理Colleen Huber说:“《通用数据保护法案》由于还没有正式出台,而且有很多模糊的部分,所以人们很难将其放到具体环境来考察。它需要一种跨功能的方法,你必须在很大程度上了解的事情是——为了做到合规,你需要做什么。”
接受调查的员工对《欧盟-美国隐私保护》所知甚少。这是美国和欧盟的组织和公司之间跨大西洋数据共享的法律体系。63%的受访者表示,该保护法对他们来说是新鲜事物,只有23%的受访者表示他们略知一二。为某种形式的政府工作的受访者意识到该隐私保护法的可能性最小:76%的人表示该体系对他们来说是全新的事物。
Huber强调,组织必须为员工把这些法规放到具体的背景中考虑,这是很重要的。
她说:“你的策略、程序、意识和培训计划必须与最终用户相关并对他们坦率。你要按照所有人都能理解的方式来制定这些法规,这事关你确保自己处理个人信息的做法是正确的,遵守全球最高的隐私标准。在很多情况下,员工并不真正了解这些做法是什么样的。”
敏感且私密的文件
当MediaPro把办公环境中常见的文档和信息的例子呈现给受访者看时,它要求他们采取三种行动之一——发布到社交媒体,销毁在安全的粉碎机中,或者放在上锁的抽屉中。
MediaPro发现,受访会依据信息的不同,对要采取什么样的行动有大致的掌握。例如,大多数受访者选择将三十年前的旧密码提示和前员工纳税表销毁在安全碎纸机里(分别为75%和74%的人),或将其保留在上锁的抽屉中(分别22%和24%的人)。
Huber说:“总的来说,看到人们把东西锁在抽屉里或者安全地销毁东西,这真的很棒,他们选择发布到社交媒体上的仅有的两则信息就是他们可以发布到社交媒体上的东西。”
Huber说,员工拥有的背景信息越多,他们在如何正确决定处理文件和信息方面就表现得越好。
Huber说:“确保你的员工知道信息的完整背景,确保他们了解敏感文档的类型,同时也了解该文档中有什么信息以及违反该信息可能会对最终用户造成什么后果。”
将访问权限授予第三方应用
就授予第三方应用程序权限而言,调查结果与年龄密切相关。55岁以上(包括55岁)的受访者表示,他们会在59%的情况下对应用权限请求回应“从不”。年龄在35-54岁的受访者表示他们会在52%的情况下回应“从不”。而在18-34年龄段的受访者表示,他们会在42%的情况下回应“从不”。
所有年龄群的受访者都对短信保护备至:68%的受访者表示他们“从不”允许第三方应用程序阅读他们的短信。受访者还保护他们的联系人,浏览器历史记录和SD卡内容(分别为58%,56%和56%的人,他们表示绝不会授予第三方应用程序读取/修改或访问的权限)。
但受访者对其它的权限感到更加从容:
• 68%的受访者表示他们“有时”授予第三方应用许可,这些权限通过GPS和/或网络数据报送精确位置;9%的人表示他们“总是”对此授予权限
• 50%的人表示,即使应用程序未运行,他们“有时”也会授予访问设备位置的权限;7%的人表示他们“始终”对此授予权限。
• 48%的人表示他们“有时”授予录制音频的权限;7%的人表示他们“总是”授予许可
• 48%的人表示他们“有时”授予添加或修改日历活动的权限;7%的人表示他们“总是”这样做
• 54%的人表示他们“有时”授予拍照和录像的权限;15%的人表示他们“总是”这样做
Huber指出,理解权限的后果尤其重要,因为移动设备总是包含个人信息和商业信息的混合。
Huber说:“当他们授权别人访问自己的联系人等信息时。你的培训、最佳实践、所有这一切都要包含所有这些衍生后果——如果设备出了乱子会发生的所有后果。”
Huber还建议按年龄来概述员工,并根据他们的需求为他们提供培训。
特定类型信息的敏感度
当受访者被要求根据其敏感度评定八种类型的信息时(其中5是最敏感的),他们一致认为社会安全号码(Social Security number)是最敏感的:89%的人将它们排在第5,6%的人将其排在第4。信用卡信息也被认为是敏感的:76%的人将其排在第5,19%的人将其排在第4。同样,71%的受访者将税务信息排在第5,19%的人将其排在第5。受访者认为社交媒体信息是最不敏感的信息类型:58%的人将社交媒体帖子评为0或1。
受访者对其它类型的信息更为乐观:
•只有53%的受访者将医疗记录评为5,而28%的受访者将其评为4。
• 28%的受访者将工作电子邮件评为5,39%的受访者将其评为4。
• 10%的人将浏览器历史记录评为5,而31%的人将此评为4。
值得注意的是,金融行业的员工并不比其它行业的员工更倾向于认为税务信息是更敏感的信息:57%的金融行业的员工对税务信息评为5,与此相比,给出同样评分的其它行业的受访者则占73%。
举报潜在的隐私事件
MediaPro在一般的工作环境中向受访者呈现了八种可能的情景,并问他们这些情景是否为可举报的隐私事件,这些事件可能会违反联邦、州、地方或公司关于处理敏感或隐私信息的策略。该调查询问受访者是否会举报,不举报,或不确定要做什么。
调查发现,受访者通常能够正确地确定哪些情况需要举报,哪些情况不需要。例如,83%的受访者正确地认定在打印机附近发现敏感信息是可举报的事件。
令人惊讶的是,尽管91%的受访者正确地指出,如果他们知道网络犯罪分子窃取了若干客户的姓名、地址和出生日期,他们应该举报。但80%的人表示不确定,2%的人选择“不举报”。
值得注意的是,MediaPro分析了行业反应之后发现技术部门的员工是最不可能正确识别可举报的事件的员工。只有82%的技术部门受访者表示发现网络犯罪分子窃取了敏感的客户信息是一起可举报的事件。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号