Sicherheit, Datenschutz und Vertraulichkeit: Was ist der Unterschied?

Sicherheit ist umfassender als Vertraulichkeit

Vertraulichkeit ist eines der grundlegenden Konzepte der Cybersicherheit und die Anforderung, über die die meisten Sicherheitsexperten den größten Teil ihrer Zeit nachdenken.

Vertraulichkeit ist jedoch nur eines von drei Kernkonzepten, die zusammen die Grundlage der Cybersicherheitsarbeit bilden. Die verbleibenden zwei Prinzipien, Integrität und Verfügbarkeit, runden den bekannten “CIA-Dreiklang” der Cybersicherheit ab.”

Integrität schützt Informationen vor unbefugter Änderung. Das häufigste Beispiel in einem Bildungsumfeld sind die Noten der Schüler.

Wenn ein Schüler in der Lage ist, sich unbefugt Zugang zu einem Lernmanagementsystem zu verschaffen und seine eigenen Noten zu ändern, stellt dies eine Verletzung der Integrität dar.

Zugriffskontrollen sind der wichtigste Mechanismus zur Durchsetzung von Integritätsanforderungen.

Verfügbarkeit stellt sicher, dass Informationen von autorisierten Personen zum Zeitpunkt ihrer Anforderung verwendet werden können. Verstöße gegen die Verfügbarkeit können auf vorsätzliche Angriffe zurückzuführen sein, z. B. auf Denial-of-Service-Angriffe, die das Lernmanagementsystem an einer Universität in 2015 lahmgelegt haben.

Sie können auch auf technische Ausfälle zurückzuführen sein, z. B. auf den Netzwerkausfall, bei dem die Technologie in einer anderen Institution für eine Woche in 2018 heruntergefahren wurde. Der Schutz der Verfügbarkeit ist in der Regel die Arbeit von Technologen, die fehlertolerante Systeme entwerfen, die Komponentenausfällen standhalten, und Sicherungen implementieren, um den Dienst im Falle eines Ausfalls schnell wiederherzustellen.

MEHR ZU EDTECH: Sollte Higher Ed über den Colorado Privacy Act besorgt sein?

Datenschutz bestimmt Autorisierung

Datenschutz ist eng mit Sicherheit und Vertraulichkeit verbunden, betrachtet Daten jedoch aus einer anderen Perspektive.

Vertraulichkeitskontrollen schützen vor der unbefugten Verwendung von Informationen, die sich bereits in den Händen einer Institution befinden, während die Privatsphäre die Rechte einer Person schützt, die Informationen zu kontrollieren, die die Institution sammelt, verwaltet und mit anderen teilt.

Eine Möglichkeit, die Beziehung zwischen Datenschutz und Vertraulichkeit zu verstehen, besteht darin, dass Datenschutzanforderungen die Arten der Autorisierung von Informationen vorschreiben und Vertraulichkeitskontrollen sicherstellen, dass Personen und Systeme diese Datenschutzverpflichtungen erfüllen.

Datenschutzanforderungen entstehen typischerweise in zwei Formen. Erstens verabschieden viele Institutionen Datenschutzrichtlinien, die auf ihrem eigenen ethischen Sinn für den richtigen Umgang mit Informationen basieren. Zweitens stellen eine Vielzahl von Gesetzen und Vorschriften Datenschutzanforderungen an Hochschulen und Universitäten.

In den Vereinigten Staaten gewährt der Family Educational Rights and Privacy Act (FERPA) Studenten (oder den Eltern minderjähriger Studenten) das Recht, auf Informationen in ihren Bildungsunterlagen zuzugreifen, die Korrektur von Informationen anzufordern, die sie für ungenau halten, und die Weitergabe ihrer Aufzeichnungen außerhalb der Institution zu kontrollieren.

ERKUNDEN: Sehen Sie, wie Universitäten sowohl die Privatsphäre als auch die Sicherheit schützen.

Modernisierung der Fakultäts- und Personalschulung

In den meisten Institutionen wissen IT-Mitarbeiter bereits, wie wichtig es ist, strenge Datenschutz- und Sicherheitskontrollen einzuführen.

Die größte Herausforderung besteht in der Regel darin, der Fakultät und den Administratoren, die täglich mit vertraulichen Studenteninformationen umgehen, die Bedeutung und Art der Vertraulichkeits- und Datenschutzanforderungen zu vermitteln. Es ist nicht ungewöhnlich, dass Institutionen eine Datenschutzschulung benötigen, wenn Dozenten und Mitarbeiter zum ersten Mal Zugang zu Studentenakten erhalten.

Dies beinhaltet normalerweise eine Einführung in die FERPA-Anforderungen und szenariobasierte Fragen, die zur Kontextualisierung dieser Informationen beitragen.

Diese Ausbildungsprogramme greifen jedoch in zwei wichtigen Bereichen oft zu kurz. Erstens enthalten sie oft keine modernen Szenarien, die den digitalen Charakter der heutigen Hochschulinfrastruktur widerspiegeln.

Die Administratoren dieser Programme können sie verbessern, indem sie sie sorgfältig überprüfen und die Schulung aktualisieren, um die in ihrer modernen Computerumgebung verwendeten Tools und Technologien widerzuspiegeln. Zweitens sind diese Trainingsprogramme allzu oft einmalige Anstrengungen.

Effektiver wären regelmäßige Auffrischungstrainings, um Dozenten und Mitarbeiter an ihre Verpflichtungen zu erinnern und ihr Verständnis der Datenschutz- und Vertraulichkeitsumgebung auf dem Campus zu aktualisieren.

Wenn Sie sich die Zeit nehmen, das Training zu modernisieren, wird dies einen großen Beitrag zum Schutz der Vertraulichkeit und des Datenschutzes von Schülerinformationen leisten. Schließlich ist der Schutz von Studentenakten im besten Interesse aller.