Як філософія компанії «зрушити вліво» просувається у світі конфіденційності даних.
Конфіденційність даних
AdobeStock_374897753
У той час як конфіденційність даних продовжує поширювати щоденні заголовки від порушень до нових законів, багато представників ділового світу борються над тим, як розробити енергійну та продуману програму конфіденційності, не сповільнюючи необхідну швидкість життєвого циклу розробки програмного забезпечення.
Крім того, підприємства з перших вуст дізнаються про основну цінність підтримки та підвищення загальної довіри клієнтів і конфіденційності в центрі розмови. Відповідно до нещодавнього звіту Forrester, після пандемії зменшена залежність від технологій у поєднанні з проблемами довіри та конфіденційності, включаючи нездатність захистити користувачів від нових ризиків і відсутність ефективних етичних заходів у цифровому середовищі, поступово підриває довіру споживачів. Ми прогнозуємо, що до кінця 2023 року довіра споживачів до технологічних компаній впаде на 15%.
Нещодавно я мав нагоду поспілкуватися з експертом із конфіденційності даних, співзасновником і генеральним директором TerraTrue Джадом Бутросом, щоб обговорити, чому він створив компанію, мінливий ландшафт конфіденційності та куди вона рухатиметься далі.
Гері Дренік: Розкажіть мені про своє походження та що спонукало вас створити TerraTrue.
Джад Бутрос: За професією я комп’ютерний інженер і на початку своєї кар’єри почав працювати в сфері безпеки програм. Я приєднався до Google у 2004 році як один із перших десяти інженерів із безпеки та мав рідкісну нагоду стати співзасновником, очолити та розширити групу інформаційної безпеки. У Google я надзвичайно оцінив сферу безпеки, зокрема те, наскільки важко захистити веб- та мобільні програми від постійно зростаючого списку загроз безпеці. Розробники та команди безпеки мають нерозривно працювати разом, щоб досягти цього досягнення, і для досягнення цієї мети я допоміг запровадити процес перевірки безпеки світового рівня та провів перевірки безпеки в безлічі продуктів Google.
У 2014 році, коли у Snap (раніше Snapchat) виникла проблема безпеки, яка набула широкого розголосу, вони визнали необхідність створити команду безпеки та звернулися до мене. Мене одразу зацікавили виклики, з якими вони зіткнулися, включно з указом Федеральної торгової комісії про згоду на конфіденційність, і я вирішив покинути Google і приєднатися до них як перший працівник служби безпеки. Там я взяв на себе відповідальність за всі аспекти безпеки, спаму та зловживань, а також розробку конфіденційності, створив організацію із сотні інженерів у цих сферах і працював першим керівником безпеки Snap. Щоб досягти успіху на цій посаді, я вважав неймовірно важливим бути пристрасним ставленням до безпеки та конфіденційності, а також пристрасно прагнути знайти способи зробити безпеку та конфіденційність партнерами для бізнесу, а не перешкодами, щоб компанія могла досягати більшого та швидше. Це та сама пристрасть до безпрограшних результатів, яка пізніше спонукала мене стати співзасновником TerraTrue.
Під час роботи в Snap я зустрів свого майбутнього співзасновника Кріса Хендмана, який був першим головним юрисконсультом Snap. Ми з Крісом очолили сувору програму конфіденційності, яка дозволила Snap швидко масштабуватися, дотримуючись усіх відповідних законів і піддаючись регулярним перевіркам.
Ми зрозуміли, що для того, щоб конфіденційність забезпечувала необхідну суворість, не сповільнюючи невпинно винахідливі уми продукту в Snap, нам потрібно було вплести конфіденційність прямо в структуру розробки продукту. Щоб забезпечити конфіденційність правильно та вчасно надати функції, конфіденційність має бути невід’ємною частиною розробки продукту, а не думкою, зробленою окремо. Пізніше ми вплели цю точку зору в основу нашого продукту тут, у TerraTrue. Ми вважаємо, що конфіденційність має бути зміщена вліво, щоб працювати з розробкою продукту, а не проти цього. Ми дозволяємо командам виявляти, вирішувати та усунути ризики конфіденційності та безпеки перед відправкою продуктів.
До цього часу споживачі наполягали на конфіденційності та прозорості. Згідно з нещодавнім опитуванням Prosper Insights & Analytics, 61,5% споживачів згадали про занепокоєння щодо своєї особистості під час покупок в Інтернеті. Ми уявляємо та створюємо світ, де підприємства очолюють стандарти конфіденційності, що розвиваються, і розуміють цінність бізнесу, що стоїть за збереженням довіри споживачів.
Проспер – питання конфіденційності під час покупок в Інтернеті
Prosper Insights & Analytics
Дренік: Чи бачите ви фундаментальні недоліки в тому, де конфіденційність даних розміщено в організаційній структурі компанії? Як уніфікувати розробку продукту зі стандартами конфіденційності?
Бутрос: Незалежно від того, чи належить конфіденційність до юридичних, безпекових чи обох питань, це менш важливо, ніж забезпечення вашої команди з питань конфіденційності ресурсами та здатністю співпрацювати з організацією в цілому. Ключовим для цієї співпраці є наявність у вас необхідного юридичного та інженерного персоналу для проведення аналізів конфіденційності та орієнтування в нормативному ландшафті, що швидко змінюється. Окремо вам потрібно подолати уявлення про те, що конфіденційність є перешкодою для продуктивності, і змусити ваші команди з розробки продукту та розвитку розглядати конфіденційність як конкурентну перевагу, яка дозволяє їм швидко розвиватися та завойовувати довіру споживачів. Інакше відмова, низька адаптація та апатія не дозволять вам досягти реального прогресу.
Щоб уніфікувати розробку продукту зі стандартами конфіденційності, ви повинні зробити так, щоб команди продукту неймовірно легко дотримувалися стандартів конфіденційності. Це означає впровадження програми конфіденційності безпосередньо в їхній процес, саме там, де вони вже працюють, а також надання їм простих для розуміння захисних огорож, які дозволять їм швидко будувати, без необхідності брати участь у болісних туди-сюди з юристами з питань конфіденційності та інженери, які перевіряють конфіденційність.
TerraTrue допомагає нашим клієнтам створити це міжфункціональне узгодження, забезпечуючи готову інтеграцію з найважливішими інструментами для програмного забезпечення, безпеки та хмарного сховища: JIRA, Slack, Ironclad, Google Cloud Platform, AWS і Github, просто назвати декілька. Наші інтеграції створені, щоб дати тим, хто проводить перевірку конфіденційності, необхідну видимість з мінімальними перешкодами для продуктів і команд розробників. TerraTrue також порівнює вхідні дані від продуктів і команд розробників із чіткими огородженнями законів про конфіденційність у Сполучених Штатах і Європі, включаючи GDPR, CPRA, VCDPA, CPA та налаштовані набори правил конфіденційності, щоб вони могли працювати швидко, не поспішаючи й не чекаючи. типові огляди конфіденційності.
Дренік: У сучасному світі, де бізнес-процеси стають більш динамічними, організації все більше покладаються на треті сторони для надання основних послуг. Як керівники компаній можуть використовувати показники конфіденційності в своїх інтересах і уникнути загроз безпеці третіх сторін?
Бутрос: Організації повинні спочатку зрозуміти стан безпеки своїх третіх сторін, тому що без надійної основи безпеки конфіденційність неможливо захистити. Є запитання, які необхідно поставити під час належної перевірки та перевірки сертифікації безпеки, щоб допомогти CISO уникнути загроз безпеці третіх сторін.
Потім настає робота з конфіденційності, коли організації перевіряють, якими даними обмінюються з цією третьою стороною та як ці дані обмінюються. Дуже часто організації обмінюються більшою кількістю інформації, ніж це суворо необхідно для досягнення їхньої бізнес-цілі, залишаючи їх без потреби наражатися на ризик скомпрометації цих даних. Застосовується багато інших міркувань, наприклад, чи можна ці дані співвідносити між третіми сторонами непередбаченим чином або ідентифікувати осіб на основі їхнього місцезнаходження чи інших точок даних. Деякі треті сторони також можуть зловживати наданими їм даними, якщо вони не мають належної політики та процедур конфіденційності тощо. Добре побудована програма конфіденційності з належним інструментарієм і звітністю автоматично виявить ці типи ризиків, які є особливо чутливими та вимагають більш глибокої перевірки.
Дренік: Розпочався зворотний відлік для всіх нових законів про конфіденційність, які ми збираємося побачити в 2023 році. Як команди з конфіденційності можуть випередити ці закони про конфіденційність?
Бутрос: Оскільки нові закони про конфіденційність набувають чинності в Каліфорнії, Колорадо, Юті, Вірджинії та Коннектикуті, компанії відчайдушно хочуть побачити, як штати тлумачитимуть і забезпечуватимуть дотримання цих законів. CCPA є особливим джерелом невизначеності. Закон надав Каліфорнійському агентству із захисту конфіденційності широкі повноваження щодо створення норм і їх виконання. Однак CPPA зіткнувся з численними затримками. На даний момент правила не будуть завершені вчасно, щоб компанії могли розробити програми відповідності до початку року.
На федеральному рівні все так само туманно. На щастя, європейські регулюючі органи вже отримали чимало уроків. GDPR набув чинності з 2018 року, і регуляторні органи ЄС підготували велику кількість вказівок щодо відповідності. Хоча деталі GDPR відрізняються від законів США, основні проблеми однакові, а основні засоби контролю, такі як DPIA, дуже схожі. Є багато уроків, які GDPR може навчити щодо дотримання законодавства США про конфіденційність.
По-перше, ваш конфіденційний UX має бути максимально зрозумілим, доступним і прозорим, щоб користувачі могли приймати обґрунтовані рішення щодо своїх даних. Хоча закони США не мають таких самих міжнародних правил передачі даних, вони вимагають захисту ваших даних від витоку та зловживання. І якщо ви не знаєте, куди йдуть ваші дані та що з ними відбувається на кожному етапі, ви не зможете цього зробити. Отже, незважаючи на те, що юридичне обґрунтування інше, GDPR все ще служить видатною моделлю для відповідності США. І, нарешті, ви повинні розуміти, коли застосовувати DPIA. По суті, DPIA потрібні щоразу, коли захист даних становить значний ризик для конфіденційності споживачів або прав на дані. Це включає низку варіантів використання, від оцінювання та оцінювання користувачів (наприклад, перевірка кредитоспроможності) до використання інноваційних або нових технологій.
Дренік: Чи вважаєте ви мобільні пристрої наступним полем битви за конфіденційність? Яку роль відіграватимуть розробники додатків?
Бутрос: Я б точно не сказав, що це наступне поле битви. Мобільні та інші інтелектуальні пристрої були в авангарді конфіденційності з моменту їх створення. Варто зазначити, що ці пристрої значною мірою зробили конфіденційність такою, якою вона є сьогодні. Оскільки вони завжди ввімкнені, постійно стежать за власником, потенційно мають доступ до дуже особистих даних (наприклад, адресна книга, інформація про стан здоров’я), включають датчики (наприклад, камера, GPS, стан здоров’я) і забезпечують обсяги телеметрії, включаючи дані про місцезнаходження, вони призвели до великої кількості досліджень конфіденційності. Вони стали необхідними для нашого повсякденного життя, а також створюють безліч загроз конфіденційності. Мобільний телефон є чудовим прикладом інь і ян.
Мені пощастило принести сюди значний досвід за роки роботи в Snap. Головна порада для розробників додатків полягає в тому, щоб вони зрозуміли, як вони використовують дані, мінімізувати дані, які залишають мобільні пристрої (тобто збираються/зберігаються/обробляються на серверах), і керувати життєвим циклом цих даних, дотримуючись конфіденційності (наприклад, видалити якомога швидше). Такі методи, як диференціальна конфіденційність, можуть бути дуже потужними для збору та аналізу телеметрії у спосіб, який більше зберігає конфіденційність. Зі збільшенням обчислювальної потужності мобільних пристроїв також стає все можливим виконувати машинне навчання на мобільних пристроях без передачі даних на сервери, що також покращує конфіденційність.
Дренік: Що далі для TerraTrue? Яке ваше бачення майбутнього?
Бутрос: У цьому складному макросередовищі організації чекають, щоб ми допомогли їм зробити більше з меншими ресурсами. Ось чому ми зараз особливо зосереджені на створенні більшої автоматизації та інтелекту в нашій платформі конфіденційності та безпеки. Завдяки автоматизації ми можемо швидко й надійно виявляти нові ризики, звільняючи дорогоцінний час як для бізнесу, так і для команд перевірки. Завдяки більшому розуму ми усуваємо потребу в багатьох загальних перевірках і дозволяємо організаціям приділяти увагу тим, які представляють найбільші ризики для компанії.
У міру того, як світові закони про конфіденційність стають дедалі складнішими та фрагментарнішими, а компанії прагнуть збирати більше даних, що створює більше ризиків за різними правилами, нам стає дедалі очевиднішим, що конфіденційність більше не можна вважати суто функцією відповідності. Так само, як і безпека раніше, конфіденційність потрібно справді зрушити вліво. Шлях TerraTrue полягає в тому, щоб продовжувати розвивати співпрацю між командами, щоб підвищити конфіденційність і безпеку в життєвому циклі розробки програмного забезпечення, а також надавати правильну інформацію, щоб направляти ці команди до безпечного запуску.
Має виникнути новий рівень довіри до брендів, з якими взаємодіють споживачі, надавши перевагу продуктам, які розширюють право кожного на конфіденційність і безпеку, і всі ми маємо шляхи, якими можна йти. У TerraTrue ми уявляємо майбутнє, де підприємства справді очолюють захист конфіденційності. Згідно з нещодавнім опитуванням Prosper Insights & Analytics, 73,5% споживачів вживають заходів для захисту своєї конфіденційності – ми хочемо, щоб компанії були такими ж зацікавленими, як і споживачі.
Проспер – захист цифрової та онлайн-конфіденційності
Prosper Insights & Analytics
Дренік: Дякуємо, що знайшли час, щоб обговорити, як продовжує розвиватися простір конфіденційності та чого нам слід шукати в майбутньому. У цьому складному мікрокліматі надзвичайно цікаво, що TerraTrue дозволить більшій кількості компаній використовувати конфіденційність як потенційний важіль для зростання. Я з нетерпінням чекаю спостерігати за тим, як ваш успіх поширюється від великих компаній вниз.
