安全与隐私团队如何协同突破壁垒

虽然网络安全和数据隐私领导者具备不同的专业知识，但我们的基本目标是一致的。通过理解彼此的视角和优先级，我们可以相互支持，以加强组织的网络安全和隐私计划。这是Edy Glozman和我在RSA会议上演讲的重点。Edy和我在Axonius合作，他是法律副总裁，而我是CISO。

网络安全和数据隐私的重叠部分显著，创造了协作的潜力。然而，由于每个角色专注于组织的不同方面，也存在分歧和冲突的可能性：

网络安全侧重于保护公司的系统和数据，通过机密性、完整性和可用性的视角看待世界。我们的语言通常是威胁、漏洞和攻击面。我们关心安全软件开发实践和事件调查等主题。
数据隐私侧重于保护人们的个人数据，旨在为数据主体提供对个人可识别信息（PII）的选择和控制，并跟上隐私法律和法规。其核心原则包括合法性、公平性、透明度和目的限制。

这两个功能显然都涉及保护数据，尽管它们由不同的优先级和专业知识驱动。在我们的演讲中，我们分享了几个网络安全和隐私专业人员利益分歧或一致的场景：

安全监控

安全团队通常希望广泛的可见性和长期的数据保留以进行调查。隐私团队则关心限制对PII的访问并最小化保留。团队需要协商并专注于一致的商业利益。通过这些讨论，我们同意了监控方法，并建立了制衡机制以减轻数据滥用的风险。

在这里，安全和隐私都希望最小化数据，因为更少的数据意味着更少的风险。但商业需求（如保留员工数据以保持运营连续性）可能使事情复杂化。我们开发了分层保留策略和自动化执行，在需要时向业务展示统一阵线。

在潜在违规期间，安全领导调查，而隐私团队确定通知和其他法律义务。清晰的职责划分、定期桌面练习和协作方法帮助我们有效响应并减少摩擦。

在评估AI工具时，两个团队都对数据泄漏和隐私有重叠的担忧。隐私还带来AI治理和训练数据来源等考虑。通过合作，我们将AI审查纳入采购流程，发布了AI使用的内部指南，并编目了公司范围内的AI工具。

我们分享了一个实用框架，以帮助网络安全和数据隐私领导者，无论我们是追求相似的目标还是利益不一致。我们还分享了如何充分利用这些场景的建议。

有效的安全和隐私领导者认识到彼此专业知识的价值。我们在利益一致时努力建立信任，在利益不一致时进行协商。必要时，我们接受健康的分歧——这通常是出现最佳解决方案的地方。要进一步探索这个主题，请观看我们的演讲并下载我们的幻灯片。

更新于2025年6月27日 Lenny Zeltser