Forrester：2021年隐私与网络安全预测

2021年，由于各企业都需要过渡到一种新常态，Forrester预测隐私问题将变得日渐紧迫。除此之外，潜在的预算问题与不断变化的国际关系也将给网络安全从业者带来切实影响。

Forrester公司的高级分析师Enza Iannopollo表明以下三种与隐私相关的趋势将推动组织机构向新常态过渡：

• 组织机构逐渐需要收集、处理和共享消费者及员工的海量敏感个人数据；

• 尽管经济不景气，但重视价值的消费者将越来越倾向于恪守道德标准的企业，并将个人数据委托给这些企业；

• 数据隐私方面的监管及合规的复杂性将进一步提升。

Forrester公司首席分析师Heidi Shey评论道，

“在面临经济发展的不确定性、社会动荡以及地缘政治格局瞬息万变的当下，各组织机构需要不断适应新型商业模式以及客户期望的变化。”

“这一切将给全球信息及IT安全从业者带来重大影响。”

• 与隐私相关的法规及监管行动将有所增加
  

由于组织机构都希望能充分使用消费者及员工的个人数据，因此我们预测未来一年与员工隐私相关的法规及监管行动也会随之增加。

其中，像是巴西、印度及泰国等国家/地区将遵循欧洲监管机构提出的员工数据监管及保护条例。

因此，企业在处理员工个人数据时，需要采取“在设计层面纳入隐私考量”的新方法，具体包括：

1）确定要求；

2）评估特定的隐私与道德风险；

3）与员工进行透明地沟通。

• 零方数据收集将迎来市场机遇

编者注：“零方数据”一词最早是由Forrester创造的，指客户/消费者为了获取更好体验或优惠，主动与商家共享的数据。

随着第三方Cookies逐渐消失，到2021年，将有25%的首席营销官将在授权与偏好管理方面投入资金。

这使得组织机构可以结合背景信息进行零方数据收集，并允许营销团队管理客户的同意条款，包括退出和不出售客户偏好数据。

此外，这类技术也可以增强组织机构的数据洞察力，并有助于提升客户体验（CX）。

• 更多隐私安全主管向直接向CEO汇报

随着隐私问题对企业营收的影响力越来越大，直接向CEO汇报的隐私主管的比例预计将由2019年的23%增加到2021年的40%。

随着组织机构逐渐将隐私保护视作客户体验的重要组成部分，这就使得数据隐私主要负责人员可以从企业高层团队获得更多支持。

• CCPA 2.0将推动美国的联邦隐私立法

根据Forrester的观点，将于2021年通过的《加利福尼亚州隐私权法案（CPRA）》是当前《加利福尼亚州消费者隐私法案（CCPA）》的演进版本，这会在联邦政府层面增加用户隐私的保护力度。

因此，企业需要更熟悉应当遵循的各项新规，并确定联邦政府发布的政策相较于州级的法规是否更加严苛。

• 英国将在数据保护领域扮演“第三国”角色

Forrester预计英国将从2021年1月开始，正式成为数据保护领域的“第三国”。

这意味着组织机构若想在英国境内存储企业或员工数据，不仅要将数据迁移至能够提供充分保护的其他地方，还要遵守标准合同条款（SCC）。

企业需要关注以下三个要点：

1）评估自身对于英国数据保护要求的遵循情况，包括英国GDPR；

2）明确在决策缺失的情况下，可能对整个生态系统内的数据传输造成怎样的影响；

3）着手制定过渡策略。

• 由内部人员引起的数据泄露事件将有所增加
  

根据Forrester的报告，2021年的内部事件，无论是意外还是恶意的，在全部网络安全事件中的占比将由目前的25%上涨至约33%。

这主要是因为在新冠疫情爆发之后，各公司开始快速推行远程办公制度，再加上员工担心失业以及数据传输的门槛降低等综合因素，共同影响到企业的网络安全保障能力。

因此，组织机构应优先考虑建立威胁防御体系，并考察员工敬业度，同时牢记信任并不等同于可控。

• 对非美国网络安全企业的风险投资额将有所提升

随着欧盟委员会在促进数字主权方面采取的一系列行动，加上亚洲经济保护主义行动的持续升级，预计面向美国以外市场的风险投资（VC）金额将增长20%。

与此同时，跨国公司的安全与风险（S&R）专业人员还需要考虑基于区域的点解决方案，首席信息安全官（CISO）则应关注初创企业以寻求获取区域性安全技术的可能性。

• 安全文化中的陋习可能影响CISO的职业发展

Forrester预计，2021年CISO角色将因安全文化中的陋习而面临新一轮冲击，并直接导致全球五百强企业中相当比例的信息安全领导者被迫离职。

Forrester列出的十大网络安全陋习中，有八项与领导层认知误区有关。换言之，积极推广健康的认知与安全文化已经成为迫在眉睫的重要工作。

• 零售及制造行业由于直接面对消费者而导致安全违规事件将持续增加

2021年，更多品牌需要直接面对消费者，而不再依赖传统零售商与批发商构成的供应链。

这就意味着企业将使用更多应用程序来改进其业务参与模式，由此导致的数据泄露面也会扩大。

面临此类业务转型的品牌需要优先考虑产品安全性问题，建立起开发者激励计划并积极寻求强大的漏洞查找与攻击模拟工具。

• 审计要求与预算压力，迫使组织更多采用风险量化技术

面对经济层面的不确定性，许多组织被迫大幅削减人员与技术投入，这也变相提高了合规性保障难度。

2021年，审计要求与预算压力的提升，意味着CISO们必须努力发现潜在的审计问题与风险，并充分运用风险量化技术的强大功能。

转载微信：security_xc

翻译供稿：security4

投稿邮箱：[email protected]