Luật về quyền riêng tư không đánh giá được lỗi do con người gây ra

04:40 PM 27/11/2018 In bài viết

Kết quả hình ảnh cho Privacy laws do not understand human error

Dữ liệu có cấu trúc bao gồm các phần tử thông tin riêng lẻ được tổ chức một cách hệ thống để có thể truy cập, lặp lại, có thể dự đoán được, và được quản lý và bảo mật bằng máy theo cách tự động hóa cao. Cơ sở dữ liệu chứa thông tin nhận dạng bao gồm tên, địa chỉ, số an sinh xã hội - là một ví dụ về dữ liệu có cấu trúc.

Dữ liệu phi cấu trúc là dữ liệu phạm vi tự do - sống bên ngoài cơ sở dữ liệu. Điều này được thể hiện bằng thông tin liên lạc kinh doanh hàng ngày, tệp hoạt động, bảng tính, video, PDF, tài liệu Word, email và hàng trăm ứng dụng khác có trên máy tính xách tay, điện thoại và các thiết bị khác của chúng ta.

Gartner hiện ước tính rằng gần 80% tất cả dữ liệu trong doanh nghiệp là thuộc nhóm dữ liệu không có cấu trúc. Trong một thế giới ngày càng có nhiều quy định về bảo mật dữ liệu nghiêm ngặt như quy định về an ninh mạng NYDFS, quy định về quyền riêng tư của công dân California mới AB 375 và GDPR đang được ban hành, điều quan trọng là các tổ chức làm thế nào để giảm thiểu nguy cơ này để ngăn chặn vi phạm dữ liệu đi kèm với chi phí tài chính khổng lồ và đảm bảo uy tín.

Những thách thức của con người về dữ liệu phi cấu trúc

Dữ liệu phi cấu trúc đem đến rủi ro lớn hơn chủ yếu bởi vì thông tin này được xử lý bởi con người, trái với các quy trình hoàn toàn dựa trên máy. Việc thêm con người vào phương trình tạo ra một loạt các rủi ro tiềm ẩn do cách chúng ta chia sẻ, tích trữ, lưu trữ và truyền bá thông tin. Ngoài ra, dữ liệu có cấu trúc thường có thể được người dùng và quản trị viên CNTT dễ dàng xuất và kết thúc ở định dạng không có cấu trúc.

Đây là lý do tại sao các phương pháp tiếp cận mới và sáng tạo là cần thiết để xử lý hiệu quả các rủi ro của dữ liệu phi cấu trúc. Thông thường, các doanh nghiệp dựa vào các chiến lược được chuyển từ các giao thức bảo mật dữ liệu có cấu trúc để đối phó với nguy cơ lỗi của con người.

Thông thường, các công cụ được áp dụng trong phương pháp này là clunky, nó khá phức tạp và khó sử dụng cho người dùng phi kỹ thuật. Nếu người dùng không được trao quyền với các cách đơn giản để bảo mật dữ liệu của họ, họ có nhiều khả năng sẽ hiển thị thông tin cho các rủi ro tiềm ẩn mà thậm chí không biết rằng họ đang làm như vậy.

Một thách thức khác được đặt ra bởi cách giải quyết mà mọi người có thể sử dụng trong việc triển khai các hoạt động kinh doanh. Ví dụ, nhân viên sử dụng hệ thống chia sẻ tệp trên đám mây để thực hiện các tác vụ họ cần làm trong công việc của họ, đồng thời phơi bày một số thông tin về doanh nghiệp của mình với các rủi ro và thỏa hiệp chưa được giải quyết vì họ không hiểu về giao thức bảo mật của ứng dụng họ đang sử dụng.

Những rủi ro do hệ thống này được kết hợp với những thách thức gây ra bởi lỗi của con người. Ví dụ, tự động hóa chung các công cụ được tích hợp trong các ứng dụng email như Outlook và Gmail giúp mọi người giao tiếp một cách tự do và dễ dàng. Tuy nhiên, chức năng tự động hoàn tất nhập địa chỉ khi bạn nhập cũng có thể dẫn đến những khả năng bị xâm nhập và tấn công và thông thường, các lỗi này có thể dẫn đến sự xâm nhập và vi phạm dữ liệu.

Đây là những vấn đề phổ biến mà mọi tổ chức phải đối mặt và đấu tranh, nhưng có những công nghệ mới có thể giúp giảm thiểu mối đe dọa của dữ liệu phi cấu trúc.

Bắt đầu với phát hiện dữ liệu

Bước đầu tiên là xác định dữ liệu nào có nguy cơ bị tấn công. Đây là một trong những vấn đề lớn nhất của các công ty. Điều này rất quan trọng để tuân thủ các quy định và bảo mật dữ liệu - đặc biệt khi một tổ chức duy nhất có thể lưu trữ và xử lý dữ liệu tuân theo nhiều quy định.

Các công nghệ mới có thể tự động hóa quá trình phát hiện và phân loại dữ liệu phi cấu trúc - chọn lọc qua số lượng lớn email, tệp và thư mục mà người dùng tạo ra để chỉ ra nơi dữ liệu nhạy cảm tồn tại. Quá trình phân loại này sẽ thúc đẩy các chính sách mở cho những người trong tổ chức có thể truy cập và chia sẻ thông tin này.

Các tổ chức cũng có thể thêm thẻ siêu dữ liệu vào tài liệu cho thông tin nhạy cảm và theo dõi nó ở bất cứ đâu. Điều này cung cấp sự hiểu biết về mức độ rủi ro mà một tổ chức phải đối mặt khi dữ liệu di chuyển từ người dùng sang người dùng khác và thay đổi các chính sách về cách dữ liệu được bảo mật để tuân thủ tất cả các quy định bắt buộc.

Mã hóa mọi thứ

Là một phần của quá trình phát hiện và phân loại, các tổ chức có thể thực thi mã hóa tự động trên bất kỳ thông tin nào được coi là nhạy cảm. Nếu dữ liệu không an toàn, thì mọi bước nhằm đạt được an ninh bảo mật và tuân thủ đều có nguy cơ bị tấn công.

Quá trình mã hóa đã diễn ra trong một thời gian dài - nhưng thường thuộc nhóm công nghệ “khó sử dụng” mà người dùng không được đào tạo kỹ thuật khó nắm bắt và ứng dụng. Việc thực thi việc sử dụng mã hóa bắt đầu bằng cách đảm bảo rằng mã hóa được nhúng trong quy trình làm việc của người dùng và không đại diện cho một bước thực hiện, ứng dụng hoặc quy trình khác mà họ cần thêm vào. Nó cần phải được liền mạch với cách nhân viên hiện đang làm việc với và chia sẻ thông tin.

Mã hóa dữ liệu là một bước tiến lớn để đảm bảo rằng thiết bị bị mất hoặc email ngẫu nhiên không đặt tổ chức của bạn vào rủi ro tài chính.

Dự đoán và dừng lỗi của con người

Tất cả chúng ta sẽ phạm sai lầm - cho dù đó là vô tình tải lên sai tệp, chia sẻ quyền với những người không được phê duyệt để xem xét thông tin hoặc chỉ cần gửi email đến nhầm người. Dừng lỗi không được thực hiện là một trong những phần bảo mật khó nhất.

May mắn thay, một lĩnh vực mà chúng ta đang thấy là tiến bộ lớn - nơi ứng dụng AI được phát triển để dự đoán lỗi người dùng trước khi nó xảy ra. Ví dụ, giống như Outlook dự đoán và tự động chèn địa chỉ email, AI có thể hiểu các mẫu email và hành vi người dùng thể hiện để ngăn chặn địa chỉ email sai được chèn vào - hoặc người dùng chia sẻ thông tin với người mà họ thường không liên lạc.

Nó có thể xác định tải xuống và truy cập bất thường và kết hợp với quản lý quyền, từ đó hỗ trợ ngăn nhân viên chia sẻ tệp dữ liệu nhạy cảm với ứng dụng đám mây, loại bỏ thực hành 'sao chép và dán' cho dữ liệu nhạy cảm và các cách khác mà chúng ta vô tình làm rò rỉ dữ liệu của chính mình.

Phần kết luận

Cho dù họ có nhận ra nó hay không, các tổ chức đang ở thời điểm bùng phát các dữ liệu nhảy cảm. Khối lượng dữ liệu phi cấu trúc chắc chắn sẽ tăng lên, và làm gia tăng các nguy cơ. Những luật mới như Quy định về an toàn không gian NYDFS, California AB 375 và GDPR đã thay đổi trò chơi để khiến các tổ chức phải tuân thủ quy định. Và các tổ chức cần bắt đầu bảo vệ dữ liệu phi cấu trúc theo một cách mặc định chứ không phải là suy nghĩ để tìm ra hành động phù hợp.

Cách đúng đắn để làm điều này là xem xét cách người dùng tạo, lưu trữ và tương tác với dữ liệu này, hiểu các mức độ nhạy cảm khác nhau và đảm bảo mức độ bảo mật và đưa ra kiểm soát phù hợp được áp dụng.

Các công nghệ cần được chấp nhận để trao quyền cho người dùng làm việc một cách an toàn, cho phép quyền riêng tư như một phần tự nhiên của doanh nghiệp nhằm xây dựng lòng tin của khách hàng và được xem là một yếu tố quan trọng đối với cách thức thực hiện công việc. Nếu không, các tổ chức sẽ lại để bản thân họ và khách hàng của họ tiếp xúc với nguy cơ ngày càng tăng của một vi phạm dữ liệu, mà bây giờ thường đi kèm với một sự trả giá về tài chính đắt giá.

Mai Linh