Упражнение: «Жизненный цикл данных как способ понимания риска» [Углубленное упражнение]
Данное обучающее упражнение направлено на рассмотрение оценки рисков с точки зрения жизненного цикла данных. Активисты_ки, организации и движения работают с данными - от создания / сбора / сбора данных до публикации информации, основанной на данных.
Введение
Картинка. Надпись на картинке: Углубленные Упражнения
Рисунок на картинке: зеленый круг. Сверху картины дерево и по всему кругу распущены корни
Данное обучающее упражнение направлено на рассмотрение оценки рисков с точки зрения жизненного цикла данных. Активисты_ки, организации и движения работают с данными - от создания / сбора / сбора данных до публикации информации, основанной на данных.
Существует два основных подхода к технике проведения данного мероприятия:
- Общий семинар проводится в рамках общего семинара по цифровой безопасности, участники_цы которого представляют различные организации и/или не принадлежат к каким-либо организациям.
- Организационный семинар предназначен для отдельных групп и их сотрудников_ц. Общий контекст для этого типа семинара заключается в том, что различные команды одной организации объединяются для оценки рисков, связанных с практикой и процессами работы с данными в их организации.
Цели обучения и общие темы, рассматриваемые в обоих подходах, одинаковы, но методологии и техники фасилитации должны быть скорректированы для двух различных сценариев семинаров.
Цели обучения
В процессе выполнения этого упражнения участники_цы смогут:
- понимать риски и аспекты безопасности на каждом этапе жизненного цикла данных;
- применять механизмы оценки рисков для обеспечения личной и/или организационной безопасности.
Для кого предназначено данное упражнение?
Это упражнение предназначено для отдельных активистов_к (в рамках общей оценки рисков или семинара по цифровой безопасности) или для группы (организации, сети, коллектива), проходящей процесс оценки рисков. Существуют две техники проведения, два подхода к этому упражнению, в зависимости от того, будет ли это общий семинар или занятие для отдельной группы.
Упражнение также может быть использовано в качестве диагностического для определения приоритетов, на каких практиках или инструментах следует сосредоточиться в оставшейся части семинара по цифровой безопасности.
Продолжительность
Зависит от количества участников_ц и размера группы. В целом, процесс может занять минимум четыре часа.
Ресурсы
- Бумага для флипчарта
- Маркеры
- Проектор для презентации жизненного цикла данных и направляющих вопросов, а также для совместного использования участниками_цами, если необходимо.
Техника проведения для общего семинара
(Этот материал предназначен для общего семинара по оценке рисков или цифровой безопасности, в котором участвуют активисты_ки из разных контекстов. Цели обучения остаются теми же, но некоторые тактики обучения и фасилитации будут отличаться от семинара для уже сформировавшейся группы людей.)
Первая фаза: что вы публикуете?
В этой части упражнения участникам_цам задается вопрос: «Что вы публикуете в рамках своей работы в качестве активиста_ки?»
Смысл здесь в том, чтобы начать с самой очевидной части жизненного цикла данных - обработанных данных, которые распространяются в виде информации. Это могут быть отчеты об исследованиях, статьи, сообщения в блогах, руководства, книги, веб-сайты, сообщения в социальных сетях и т. д.
Это можно сделать на пленарном обсуждении, в стиле "попкорн". Это когда ведущий_ая задает вопрос и просит участников_ц дать короткие и емкие ответы - как кукуруза, лопающаяся на сковороде!
Вторая фаза: презентация жизненного цикла данных и соображений по безопасности
Цель презентации - напомнить участникам_цам о цикле управления данными. Ключевые моменты презентации можно найти здесь (см.файлы основы-жизненного цикла данных-презентация.odp а также Презентация).
Третья фаза: время рефлексии о жизненном цикле персональных данных
Сгруппируйте участников_ц в соответствии с тем, что они публикуют. Попросите их выбрать конкретный пример того, что они опубликовали (статья, исследовательский отчет, книга и т.д.), и попросите их сформировать группы на основе аналогичной работы.
Здесь у каждого_й из них будет время проследить жизненный цикл опубликованных данных, а затем у группы будет время поделиться своими рефлексиями.
Время на рефлексию должно составлять около 15 минут. Далее потребуется около 45 минут на обсуждение в группе.
Вопросы для индивидуальной рефлексии будут представлены в презентации.
При работе в группе все участники_цы группы по очереди расскажут о жизненном цикле данных своей опубликованной работы.
Четвертая фаза: обратная связь и соображения по безопасности
Вместо презентации групповых отчетов тренер_ка-фасилитатор_ка задает каждой группе вопросы, которые помогут выявить то, о чем шла речь в группах.
Ниже приведены вопросы, которые вы можете использовать для подведения итогов времени, проведенного в рефлексии и групповой дискуссии:
- Какие устройства хранения данных были наиболее распространены в группе? Какие из них использовал только один человек?
- Каковы были различия и сходства в доступе к хранилищу данных в вашей группе?
- Как насчет обработки данных? Какие инструменты использовались в вашей группе?
- Опубликовал ли кто-нибудь в группе что-то, что подвергло риску его или кого-то из его знакомых? Что именно?
- Задумывался ли кто-нибудь в группе о практике архивирования и удаления данных до сегодняшнего дня? Если да, то какова была практика в этой области?
- Возникали ли на каком-либо этапе жизненного цикла ваших данных проблемы с безопасностью и защитой? Каковы они?
Подведение итогов упражнения
По завершении групповых презентаций и обмена опытом тренер_ка-фасилитатор_ка может подвести итоги упражнения:
- Указать на ключевые моменты
- Спросить участников_ц об основных выводах, сделанных в ходе упражнения
- Спросить участников_ц об изменениях в практике управления данными, о которых они узнали в ходе мероприятия.
*Картинка с рисунком. На рисунке растения синего цвета
Техника проведения для организационного семинара
Данный семинар предназначен для организаций и их сотрудников_ц.
Первая фаза: какая информация является общей для каждого отдела/ программы / команды организации?
Исходя из конфигурации и структуры организации, попросите каждый отдел или команду привести пример чего-то общего для них - внутри организации или за ее пределами.
- Вот примеры для стимулирования ответов:
- Для отделов коммуникаций - какие сводки вы публикуете?
- Для исследовательских команд - какие исследования вы проводите, о чем отчитываетесь?
- Для администраторов и финансистов - кто может ознакомиться с платежными ведомостями вашей организации? Как насчет финансовых отчетов?
- Для отделов кадров - как насчет оценки персонала?
Примечание по фасилитации: на этот вопрос гораздо легче отвечать командам, у которых есть цели, ориентированные на внешний мир, например, отделу по коммуникациям, или программе, которая публикует отчеты и исследования. В отношении более ориентированных на внутренний мир отделов, таких как финансово-административный или отдел кадров, тренеру_ке-фасилитатору_ке, возможно, придется потратить время на примеры того, какой информацией они обмениваются.
Цель этого этапа - заставить различные команды признать, что все они обмениваются информацией, как внутри организации, так и за ее пределами. Это важно, поскольку каждая команда должна быть в состоянии определить один или два вида информации, которыми они обмениваются при оценке риска в своей практике управления данными.
Вторая фаза: презентация жизненного цикла данных и соображений по безопасности
Цель презентации - напомнить участникам_цам о цикле управления данными. Ключевые моменты презентации можно найти здесь Презентация_Жизненный Цикл Данных
Третья фаза: групповая работа
В рамках команд попросите каждую группу определить один-два вида информации, которой они делятся/которую публикуют.
Чтобы расставить приоритеты, предложите командам подумать о том, какую информацию они больше всего хотят обезопасить, или о том, какая информация, которой они делятся, является конфиденциальной.
Затем, для каждого вида совместно используемой или публикуемой информации, попросите команды вернуться назад и отследить его жизненный цикл данных. Используйте приведенную ниже презентацию, чтобы задать ключевые вопросы о практике управления данными для каждого фрагмента опубликованных или совместно используемых данных.
В конце этого процесса каждая команда должна быть в состоянии поделиться с остальными результатами своих обсуждений.
В целом групповая работа займет около часа.
Четвертая фаза: презентации групп и рефлексия по поводу безопасности
В зависимости от размера организации и проделанной каждым отделом работы, дайте им время представить результаты обсуждения своим коллегам. Поощряйте каждую группу подумать о креативной презентации и ключевых моментах своих обсуждений. Им не обязательно делиться всем.
Призовите слушателей делать записи о том, что им рассказывают, поскольку после каждой презентации будет дано время для обмена комментариями и обратной связи.
В реалистичных условиях этот процесс займет около 10 минут на группу.
Роль тренера_ки-фасилитатора_ки здесь, помимо учета времени и управления обратной связью, заключается также в предоставлении обратной связи по каждой презентации. Сейчас самое время надеть шляпу практикующего специалиста по безопасности.
Некоторые области, о которых следует спросить:
- Если процесс сбора данных должен быть конфиденциальным, не лучше ли использовать более безопасные средства связи?
- Кто имеет доступ к устройству хранения данных в теории и в реальности? Если речь идет о физическом устройстве хранения данных, то где оно находится в офисе?
- Кто имеет доступ к исходным данным?
Как тренер_ка-фасилитатор_ка, вы также можете использовать эту возможность, чтобы поделиться некоторыми рекомендациями и предложениями по повышению безопасности практики управления данными в организации.
Примечание для фасилитатора_ки: существует ресурс под названием Alternative Tools in Networking andCommunications («Альтернативные инструменты для нетворкинга и коммуникаций») в «FTX: перезагрузка безопасности», с которым вы можете ознакомиться для проведения данного упражнения.
Пятая фаза: возвращение к группам: улучшение безопасности
После того, как все команды представили свои презентации, они возвращаются в свои группы для дальнейшего обсуждения и рефлексии по поводу того, как они могут лучше защитить свой процесс управления данными и собственно данные.
Цель каждой группы - спланировать методы повышения безопасности на всех этапах жизненного цикла данных.
К концу обсуждения каждая группа должна иметь некоторые планы по повышению безопасности своей работы с данными.
Примечание: предполагается, что для этого группа прошла базовый тренинг по безопасности. Как вариант, тренер_ка-фасилитатор_ка может использовать четвертую фазу как возможность предоставить некоторые рекомендации по более безопасным альтернативным инструментам, опциям и процессам для практики управления данными группы.
Методические вопросы для обсуждения в группе
- Какие из данных, которыми вы управляете, являются общедоступными (о них может знать каждый), частными (о них может знать только организация), конфиденциальными (о них может знать только команда и определенные группы внутри организации) - и как ваша команда может гарантировать, что эти различные типы данных могут оставаться частными и конфиденциальными?
- Как ваша команда может обеспечить контроль над тем, кто имеет доступ к вашим данным?
- Какова политика содержания и удаления данных на платформах, которые вы используете для хранения и обработки данных в интернете?
- Как команда может практиковать более безопасные коммуникации, особенно в отношении частных и конфиденциальных данных и информации?
- Какие практики и процессы должна иметь команда, чтобы сохранить конфиденциальность и секретность данных?
- Что следует изменить в вашей практике управления данными, чтобы сделать ее более безопасной? Посмотрите на результаты предыдущей групповой работы и определите, что можно улучшить.
- Какие роли должны быть у каждого члена команды, чтобы управлять этими изменениями?
Шестая фаза: финальная презентация планов
На этом этапе каждой команде будет предоставлено время для представления способов, которыми они будут обеспечивать безопасность своей практики управления данными.
Это возможность для всей организации поделиться стратегиями и тактиками и поучиться друг у друга.
Подведение итогов упражнения
После завершения групповых презентаций и обмена мнениями тренер_ка-фасилитатор_ка может подвести итог упражнения:
- Указать на ключевые моменты
- Спросить участников_ц об основных выводах, сделанных в ходе упражнения
- Согласовать дальнейшие шаги по практической реализации планов.
Презентация
Существует еще один способ понять риски по возрастанию — это взглянуть на практику работы с данными в организации. Каждая организация имеет дело с данными, и каждое отделение внутри организации тоже.
Ниже приведены некоторые аспекты безопасности и защиты для каждого этапа жизненного цикла данных.
Создание / получение / сбор данных
- Какого рода данные собираются?
- Кто создает/получает/собирает данные?
- Подвергнет ли это людей риску? Кто подвергнется риску в случае обнародования этих данных?
- Насколько публичным / частным / конфиденциальным является процесс сбора данных?
- Какие инструменты вы используете для обеспечения безопасности процесса сбора данных?
Хранение данных
- Где хранятся данные?
- Кто имеет доступ к хранилищу данных?
- Какие методы / процессы / инструменты вы используете для обеспечения безопасности устройства хранения данных?
- Облачное хранилище в противовес физическому хранилищу или хранилищу на устройстве.
Обработка данных
- Кто обрабатывает данные?
- Будет ли анализ данных подвергать риску отдельных лиц или группы лиц?
- Какие инструменты используются для анализа данных?
- Кто имеет доступ к процессу/системе анализа данных?
- При переработке данных сохраняются ли вторичные копии данных в других местах?
Публикация/обмен информацией из обработанных данных
- Где публикуется информация / знания?
- Будет ли публикация информации подвергать людей риску?
- Кто является целевой аудиторией публикуемой информации?
- Есть ли у вас контроль над тем, как публикуется информация?
Архивирование
- Где архивируются данные и обработанная информация?
- Архивируются ли исходные данные или только обработанная информация?
- Кто имеет доступ к архиву?
- Каковы условия доступа к архиву?
Удаление
- Когда происходит уничтожение данных?
- Условия удаления?
- Как мы можем убедиться, что все копии удалены?
Примечание для фасилитатора_ки
Это упражнение - хороший способ узнать и оценить контекст цифровой безопасности, практику и процессы участников_ц. Хорошо бы сосредоточиться на этом аспекте, а не ожидать от этого упражнения выработки стратегий и тактик для повышения их цифровой безопасности.
В рамках организационного семинара вы, возможно, захотите обратить внимание на кадровые и административные команды / отделы. Во-первых, во многих организациях, как правило, именно у этих сотрудников_ц не было опыта участия в семинарах по цифровой безопасности, поэтому многие темы и вопросы могут быть для них новыми. Во-вторых, поскольку большая часть их работы является внутренней, они могут не воспринимать свои подразделения как ¨публикующие¨ что-либо. Однако во многих организациях эти подразделения хранят и обрабатывают большое количество конфиденциальных данных (информация о персонале, зарплаты сотрудников, записи заседаний совета директоров, банковские реквизиты организации и т. д.) – поэтому важно указать на это в ходе семинара.
Обратите внимание и на физические устройства хранения данных. Если есть картотеки, где хранятся печатные копии документов, спросите, где они расположены, и кто имеет к ним физический доступ. Иногда существует тенденция слишком сильно концентрироваться на практике онлайн-хранилищ, упуская при этом возможность сделать более безопасной тактику физического хранения.
Дополнительное чтение (по желанию)
- FTX: перезагрузка безопасности: альтернативные инструменты для нетворкинга и коммуникаций - FTX Safety Reboot: Alternative Tools in Networking and Communications.
- FTX: перезагрузка безопасности, модуль мобильной безопасности
- Electronic Frontier Foundation's Surveillance Self-Defense – Хотя это руководство в основном рассчитано на американскую аудиторию, в нем есть полезные разделы, объясняющие концепции наблюдения и инструменты, используемые для их обхода.
- Front Line Defenders' Guide to Secure Group Chat and Conferencing Tools – полезное руководство по различным безопасным чат- и конференц-сервисам и инструментам, которые соответствуют критериям Frontline Defender о том, что делает приложение или сервис безопасным.
- Mozilla Foundation's Privacy Not Included website – в котором рассматриваются различные политики и практики конфиденциальности и безопасности различных сервисов, платформ и устройств на предмет их соответствия Mozilla´s Minimum Security Standards (минимальным стандартам безопасности Mozilla), которые включают шифрование, обновления безопасности и политики конфиденциальности.
*Картинка с рисунком. На рисунке растения красного цвета
No Comments