Конфиденциальность как услуга: почему будущее управления конфиденциальностью

Поскольку инфраструктура облачных технологий стала нормой, а не исключением, термины XaaS (что-либо как услуга), такие как программное обеспечение как услуга (SaaS), платформа как услуга (PaaS), и инфраструктура как услуга (IaaS) теперь являются частью повседневного лексикона технологий. XaaS основан на признании того, что настройка, запуск и поддержка внутренней инфраструктуры, систем, процессов и политик менее эффективны, чем запуск их из облака. Неудивительно, что концепция «конфиденциальность как услуга» стала популярной и все чаще рассматривается как разумная альтернатива управлению рисками, связанными с конфиденциальностью. «Конфиденциальность как услуга» также называется «конфиденциальность данных как услуга» (DPaaS), чтобы избежать путаницы с более устоявшейся аббревиатурой «платформа как услуга».

Конфиденциальность как услуга

В отличие от большинства других XaaS, DPaaS может иметь технологическую и нетехнологическую составляющую. С технологической точки зрения DPaaS может включать платформу SaaS, в которой программное обеспечение для обеспечения соответствия требованиям, управление согласием и уведомления о раскрытии информации объединены, чтобы предоставить отдельным лицам или организациям управляемую службу конфиденциальности, которая повышает прозрачность и контроль пользователей.

Что касается нетехнологических аспектов, то организация может нанять сторонних экспертов по вопросам конфиденциальности, которые выполняют функции уполномоченного по защите данных и предоставляют рекомендации по вопросам конфиденциальности посредством оценки воздействия на конфиденциальность и обеспечения конфиденциальности по замыслу. Обратите внимание, что решение «конфиденциальность как услуга» может быть только технологическим или нетехнологическим. Не обязательно иметь оба.

Конфиденциальность данных важнее, чем когда-либо

Конфиденциальность данных всегда была большой проблемой, но повсеместное распространение информационных технологий на рабочем месте и дома привлекло к конфиденциальности более пристальное внимание, чем когда-либо прежде. Ситуация усугубляется растущей изощренностью кибератак, которые угрожают конфиденциальности пользовательской информации. Теперь потребители, регулирующие органы, акционеры и другие заинтересованные стороны возлагают большие надежды на бизнес в отношении защиты пользовательских данных.

Многие организации и частные лица пришли к выводу, что они не могут продолжать использовать свою текущую модель защиты конфиденциальности, если хотят придерживаться самых высоких стандартов соблюдения конфиденциальности. Цифровой след организации или отдельного лица сложен, что затрудняет ручное отслеживание рисков конфиденциальности. Можно иметь учетные записи пользователей на разных платформах, что делает управление и отслеживание их конфиденциальности рискованным занятием. Таким образом, конфиденциальность как услуга становится предпочтительным подходом к управлению конфиденциальностью.

Регуляторы продвигают более высокие стандарты конфиденциальности

Регуляторные органы заявили и дали понять, что организации должны развивать свой режим защиты данных и предоставлять больше возможностей пользователям. ЕС был наиболее откровенным благодаря Общему регламенту защиты данных (GDPR), который вступил в силу в мае 2018 года.

США прилагают собственные усилия для принятия нового законодательства о защите данных на федеральном уровне и уровне штатов. Например, Калифорнийский закон о конфиденциальности потребителей (CCPA) дает потребителям право нанять защитника конфиденциальности, который будет выступать в качестве их уполномоченного агента по вопросам конфиденциальности данных.

Специалисты по защите данных через DPaaS

GDPR подтолкнул многонациональные организации к привлечению специалистов по защите данных (DPO) с необходимым опытом. В соответствии со статьей 37 регламента, DPO поручено реализовать программу конфиденциальности в масштабах всего предприятия.

В то время как организация может выбрать либо наем DPO, либо назначение внутреннего персонала для запуска программы конфиденциальности, скорость, с которой происходит сбор, обработка и обмен данными, часто слишком высока, чтобы приспособиться к постепенному обучению человека без соответствующего опыта.

Кроме того, GDPR требует, чтобы лицо, отвечающее за защиту данных, не занимало другую должность, которая может привести к конфликту интересов при выполнении им своих обязанностей. Сторонние DPO — это форма нетехнологической DPaaS и практическое решение в этом отношении.

Приложения DPaaS

Вместо того, чтобы изучать и отслеживать каждую политику конфиденциальности, с которой они согласились, предприятия и потребители могут подписаться на службу, которая делает это от их имени. Он будет управляться третьей стороной, предоставляя пользователям полноценный интеллектуальный контроль над своими данными и конфиденциальностью. В идеале это должно происходить в режиме реального времени, чтобы пользователи могли немедленно реагировать, когда видят что-то, что не соответствует их ожиданиям в отношении конфиденциальности.

Например, стартап по обеспечению конфиденциальности Jumbo взимает с индивидуальных или корпоративных пользователей небольшую плату за доступ к своему приложению для управления конфиденциальностью. Приложение позволяет пользователям управлять своими настройками конфиденциальности на основных платформах, таких как Google, Facebook и Amazon. Он сканирует учетные записи, в которые вы входите через свое приложение, а затем анализирует текущие настройки конфиденциальности. Шаг за шагом он проведет вас через весь процесс и даст вам возможность оставить данные без изменений, удалить историю, отозвать разрешения и многое другое.

Право на неприкосновенность частной жизни по цене?

Конфиденциальность как услуга не лишена критики. Некоторые защитники конфиденциальности и гражданских прав опасаются, что DPaaS премиум-класса вскоре может стать еще одной игровой площадкой, которая подчеркивает резкий контраст между имущими и неимущими. Неприкосновенность частной жизни — это право человека, признанное Организацией Объединенных Наций, даже несмотря на то, что право на неприкосновенность частной жизни имеет разную силу в разных юрисдикциях. В США, например, нет существенного закона о конфиденциальности на федеральном уровне, в то время как законы штатов значительно различаются.

С премиальными услугами DPaaS, такими как Jumbo, требующими абонентской платы за полный доступ к своему спектру функций управления конфиденциальностью, критики DPaaS опасаются, что свобода от правительственной и корпоративной слежки может перестать быть бесплатной. Навешивание ценника на контроль конфиденциальности вызывает тревогу у людей, которые рассматривают конфиденциальность как основную ответственность организаций, которым доверена информация, а не самих пользователей.

Premium DPaaS — всего лишь один пример разделения денег

Разрыв между имущими и неимущими — это не то, что вводится технологией DPaaS как таковой. Потребители и организации десятилетиями платили за доступ к определенным службам безопасности, таким как виртуальные частные сети (VPN). Менеджеры паролей премиум-класса позволяют пользователям оставаться в курсе своих учетных данных для входа на самых разных платформах.

Всегда существовал финансовый барьер для доступа к определенным технологиям, повышающим безопасность, и преодоление этого должно было выйти далеко за рамки простого решения DPaaS.

Конфиденциальность как услуга станет центральной частью будущего управления конфиденциальностью

Технологические платформы собирают растущие объемы данных, чтобы улучшить обслуживание клиентов, настроить маркетинг и расширить предложение своих продуктов. Пользователи будут предоставлять эту информацию, ожидая, что это улучшит их опыт.

Однако пользователи требуют большей прозрачности политик конфиденциальности этих платформ и могут нуждаться в внешней помощи, чтобы оставаться в курсе своих проблем с конфиденциальностью. DPaaS обязательно станет ключевым направлением в будущем, поскольку организации стремятся восстановить или сохранить доверие клиентов, вызванное утечкой данных, обменом данными или использованием данных.