[ISC]Confidentiality and Privacy - Key Differance

 

Privacy : rights of an individual
Confidentiality : information gathered by the Company, System or individuals

Confidentiality : 
- NIST defines - including personal privacy, proprietary information
- PII(Personal Idenifiable Information) - identify an individual
- SSN(Social Security Number) : identification numbers
- confirm the data is accurate, relevant, timely, and complete

Privacy : 
- human autonomy, dignity
- best practices as they design and deploy systems, products, and services that affect individuals

Methods of Protection of Confidential Data
- legal, regulatory, and policy
- guidline
- privacy-specific safeguards
- Data collection 
- Conducting Training
- Data processing : De-identifying Personal Information
- Data storage : Using Access Enforcement, Implementing Access Control for Mobile Devices, Auditing Events
- Data transmission : encrypting the information
- Data Deletion/Purging : Archiving and Purging Policies

Confidentiality - System Development Life Cycle
- Obfuscation
- Encyption
- Tokenization : hashing, Same digit but fake
- Masking : to the unmodified data set
- Encryption :Algorithm 

Data Encryption - important***
-data is a critical asset
-collection, processing, storage
- ciphertext can only be decoded

Encyption Methods
- pubic key
- private key : only a person

Two Most Common Encryption Methods
- Symmetric Encryption : both encrypt and d decrypt data, no way to tell where a message originated
- Asymmetric Encryption : public key - encrypt, private key - decrypt,
include digital signing and blockchain, complex algorithm, time-consuming, technology expense

Hashing
- variable lengths to a fixed-length message or code called a message digest or hash value

Key differance
- Encryption : maintain confidentiality
- Hashing : maintain the integrity of the  data transmitting, validating, hash values cannot be decrypted

** A shared private key among a group is symmetric encryption, but a single private key paired with a public key is a asymmetric encryption

Cipher Techniques
- modulo function : letters or numbers can be converted into a number

** When used in combination with other ciphers, these forms of encryption can be difficult to decode

DLP(Data Loss Prevention)
- protocols, ports, communication methods
- centralized DLP program

Network-based DLP
-scan outgoing data
-file transfer protocols (ftp sites that facilitate file transfer) 

Endpoint-based DLP
- scan files stored or sent to devices

Fire drills - important : less common but can be an effective way to test security policies and determine if employees
Walk-Trough : more commonly performed than fire drills
1. plan and prep : scope, identify key controls and processes, personnel
2. obtain an understanding : review, interview, create notes
3. performing : verify result and effectiveness, reperform processes
4. create doc
5. test control : obtain samples if needed
6. evaluate and report : interpret results, prepare a report, provide recommend

Walk-throughs in company functions and departments
- Finance and Accounting : C.P.R
--withdrawing or transferring cash; Cash
--collecting or diverting payments; Payment
--reporting financial information; Reporting information
-Corporate Training and Education, HR, IT Risk Mgt, Service auditors

Detect deficiencies in the operation of controls
- SOC2(service auditor)