2023年CISO与DPO面临的新挑战

关键要点

• 2023年将带来CISO与DPO的角色变革。
• 新任CISO将会质疑公司数据存储的现状并进行积极的改变。
• DPO将重新审视数据收集的必要性，并确保符合日益严格的法规。
• CISO与DPO需要协助高管层建立对数据的统一理解。

在2022年，首席信息安全官（CISO）和数据隐私官（DPO）无疑忙碌不已，新的一年将带来各类新挑战。2023年将会迎来变化，过去许多公司在数据安全策略上建立在几个重要假设之上——如数据存储位置、必要的数据类型及内部处理方式。然而，未来一年，企业高管将帮助公司超越这些成见，基于事实实施更强大、全面的数据安全策略。接下来，让我们深入了解这些变化及其好处。

• CISO更替带来新视野。

众所周知，CISO的任期通常较短，主要因为工作疲惫、外部公司的激烈招聘以及较长的任期可能会增加出现数据泄露的风险。因此，许多新任CISO将在2023年接手，力求为新公司带来积极变化。

新上任的将努力实现最大的影响。他们会质疑组织是否保留了其存储数据的权威记录。令人惊讶的是，很多时候并不存在这样的记录，安全团队认为他们了解数据的存储位置。新任CISO往往通过彻底的数据发现过程发现存放数据的意想不到的地方，并利用这些信息快速建立他们的权威。

尽管如此，首次担任CISO时建立必要信誉感以自信引导高管层对话仍然充满挑战。CISO的指导计划将在未来一年内蓬勃发展，年轻的CISO将寻求平衡自己视角与导师的经验和指导。

• DPO质疑数据收集的“必要性”。

对于DPO而言，日益增长的数据保护和隐私法规提供了复杂的规则与指引的纠结。在2023年，我们可能目睹《美国数据隐私保护法案》（ADPPA）的通过，进一步加大了对数据的审查力度。DPO需要挑战公司从客户那里需要哪些数据的传统逻辑，以保持对新法规的合规，并与客户保持良好的关系。

经过深入挖掘，DPO可能会识别出看似显而易见但实则不必要的数据。例如：为了在电子邮件中使用像“先生”或“女士”这样的称呼而获取客户的性别。DPO并不需要性别来实现这一目的，因为许多公司已经采用更为随意的方式，比如说“你好
[名字]”。识别出类似能够减少数据收集的情况将使DPO的工作变得更轻松。

DPO还将专注于识别敏感个人信息（SPI），这是新立法中越来越被认可的特殊数据类别（如基因信息）。像刚入职的CISO一样，DPO需要抵制关于SPI的假设，并根据目标数据发现建立全面的清单。即使公司认为没有办法收集某些类型的数据，但确保得出确切结论是至关重要的，因为没有任何错误的余地。

• CISO与DPO帮助高管层在数据问题上达成共识。

关于数据泄露的高调新闻使数据安全成为整个的焦虑来源，而不仅限于负责数据的人员。随着日益复杂的深度伪造技术使得模仿高管的语音消息成为可能，
paranoia急剧上升。在2023年，这种恐惧感将达到顶峰，C-suite将面临数据价值的审视。

一些高管（如首席营销官）通常将数据称为“石油”——一种企业应该尽可能储备的必要燃料。而其他高管（可能包括CISO和DPO）则认为数据是“铀”——一种需要尽可能丢弃