首席隐私官的试验和追求

在少数州,首席隐私官员致力于防止滥用和损失组成数据。但他们的工作比你想象的更复杂。

by / February 7, 2017

三十年前,人们写了支票支付他们的公用事业,他们在DMV的线条上注册了他们的车,他们的生活与他们偶尔与其偶然的政府机构分开了。但2017年,数据存储和分享已无限期地改变了客户/政府的动态。 

今天,个人数据在各级渗透政府。它为N’T只需邮寄地址和车辆注册即可。它’S健康数据,付款信息,您的形象。它’S犯罪记录数据。它’S随机的日常旅行数据。 

为了弥补大量的数据涌入和往往围绕其使用(和滥用)少数各州的局部局面依赖于不断发展的角色—首席隐私官员(CPO)。

Cuite的这种补充是一种防止超越的人,并确保国家机构在游戏中有他们的头,当涉及国家和联邦法律中的组成数据如何运作。

这些CPOS每天都会努力努力,并没有害羞地分享忽略良好隐私和数据保护政策的风险。

呼吁更好的培训

适用于导航隐私迷宫的所有国家的一个问题是对参与较大谈​​话的人的适当培训。如果这落到立法者最终使规则或国家人员在那些规则上,培训和理解风险对成功至关重要。 

犹他州CPO Benjamin Mehr非常熟悉固体员工培训的重要性。在最近的国家系统的渗透测试中,安全团队使用了流行百老汇表演的略微改变的版本 汉密尔顿 吸引员工点击电子邮件链接。他说,考试是一个非常“good test.”

这可能是为什么Mehr更关注偶然泄漏的泄漏,而不是试图破解系统。虽然对各种数据造成了大量的风险,但与数据失败,他说你永远不知道没有适当培训的员工会做些什么。 

“我认为我们明显地训练了人们保护信息,[for]各种标准,否则没有泄漏账户信息,确保他们保持信息安全地存放,“他说,”但总是有人冒险的风险你训练他们不做,他们继续做到这一点。”

CPO Sallie Milam表示,西弗吉尼亚州的武吉尼亚州雇用网络卫生课程的一个原因是一个原因。

“我们专注于培训的很多,因为员工在任何工作场所都有很大的风险,所以它’重要的是训练他们的隐私和安全风险。”

按数字,米兰表示,每丢失的平均成本为221美元,但违反该费用的费用在平均为700万美元。

“当您查看统计数据时,一半的隐私泄露是由糟糕的演员造成的,并且您从每天阅读新闻和所有不同的网络钓鱼骗局时,他们都是针对我们的员工,“她说。”他们是非常好,所以我们抵消了培训,我们抵消了一个充满活力的事件管理计划,我们抵消了风险管理和合规计划。“

当帮助最终伤害时

私营部门技术对政府做得很好,但它也增加了公共部门’暴露风险。使用第三方供应商,虽然在今天常见 ’s的契约环境,创建必须管理的新威胁向量。

对于米兰,该问题突出了供应商保证在整个企业中的重要性。 

“当您在任何部门,公共或私人的信息技术上考虑信息技术时,您认为帮助您完成工作的人,他们有分包商’就像蜘蛛网一样,“她解释道。”每一个供应商中的每一个都是一个到网的末尾,影响你的风险水平。”

这个问题是米兰呼叫的一部分“一个特别具有挑战性的地区,”特别是当较小的时,更复杂的供应商可能不知道它们是否完全符合国家要求。这要求州兽医和审计合规性。 

Mehr同意。犹他州泰克是信任之一,而且积极验证。该州的系统仔细跟踪授予供应商的访问。他们还观察了不寻常的或余下的访问。

“每当我们授予供应商访问时,我们都会尝试跟踪他们对访问的使用情况,当他们完成工作时,确保撤销访问,“他解释说,”然后我们有自己的系统事件监控系统,所以我们可以密切关注那些被授予的特权…”

前方的路

虽然保持数据安全的概念在表面上看起来很简单,但在较大的谈话中,在较大的谈话中仍然存在不断移位的面部。和华盛顿州’S亚历们·阿尔文说它是不是’一个会很快就会消失的谈话—特别是聪明的城市变得越来越普遍。

“悖论是我们在智能城市中得出的更聪明,我们正在收集和使用公民数据,” he said.

但问题超出了收集或存储数据的可接受用途,Alben争辩说。 CPOS还必须展望国家在国家,偶尔是世界,阶段的发生。 

他认为本国的CPO角色作为环境的环境和周围的问题变得更加复杂。 

“我也认为,不是每个国家都有很多隐私法。许多隐私法是联邦法律,因此能够理解联邦一级正在发生的事情是重要的,如果您的工作是为特定州机构工作而言,这并不容易。因此,具有CPO功能是一个好处,” he said. “I think it’在其他司法管辖区的法律,甚至欧洲和亚洲开始进入图片时,它将更加重要,因为各国确实收集了关于他们州以外的人的数据。”

白宫中的一个新的管理可能意味着需要转化为州的变化。联邦机构实际拥有隐私和数据保护监管的困惑可能会继续泥泞的水域。

“国家将继续说,“我们有权进行消费者保护”,“Alben说,”,但联邦管辖权和国家刺耳之间的界限都没有明确定义。”

对于Mehr,前方的道路意味着谈判使用国家网络的那些挑战,但谁在国外监督的范围之外。确保他们的政策和程序保持在最佳实践中是必不可少的。

“我们处理的问题专注于我们所服务的代理商,但也有其他国家在国家之外’SUPVIEW,所以说,” he said. “城市和县,乘坐互联网连接的较小实体,但我们不’目前,尽管如此,但确保他们正在遵循良好的政策和程序,并小心他们的数据。”


永远不会错过每日Govtech今天的故事时事通讯。

订阅


Eyragon Eidam. Web编辑器

Eyragon Eidam.是Web编辑器 政府技术 杂志以前担任助理新闻编辑,并涵盖了立法,社交媒体和公共安全的话题。他可以到达 [email protected].

E.Republic平台& Programs