كيفية حماية بيانات العميل - وشركتك
نشرت: 2020-12-22 ربما رأى معظمنا ذلك الإعلان حيث يقف حارس أمن البنك مكتوف الأيدي أثناء عملية السطو ، موضحًا أنه هناك فقط للمراقبة ، وليس للمنع. إنه توضيح جيد لمدى أهمية أن تفكر الشركات في النزاهة الرقمية بشكل شامل بدلاً من التفكير في قطعة واحدة في كل مرة.
تواجدك على الإنترنت هو الوجه الذي تظهره شركتك للعالم. إنها هويتك. وتخبر العملاء الكثير عن مصداقيتك ونزاهتك مثل أي استراتيجية عمل. يريد العملاء أن يعرفوا أنه يمكنهم الوثوق بالمحتوى الخاص بك وما وراءه - أنه يقول ما يعنيه ، وأنه متسق ، ودقيق ، وأنك تقف إلى جانبه. وهم يريدون معرفة كيف ستحمي المعلومات التي يشاركونها معك.
يقولkpodnar إن وجودك على الإنترنت يخبر العملاء بقدر ما يتعلق بمصداقيتك مثل أي استراتيجية عمل انقر للتغريدفي حين أن تطوير سياسة رقمية قد لا يكون على رأس قائمة الأشياء لقضاء الوقت والمال ، إلا أنه يجب أن يكون ذلك حقًا لأن عواقب عدم وجود سياسة مخيفة.
لماذا تعتبر النزاهة الرقمية مهمة؟
لنبدأ بانتهاكات البيانات لأن هذه هي المشكلة التي تحتل معظم العناوين الرئيسية. من الطب الشرعي والغرامات إلى الدعاوى القضائية والوقت الضائع ، تتراكم النفقات المرتبطة بالخرق بسرعة. وهذه فقط البداية.
هجوم رفض الخدمة الموزع (DDoS) ، على سبيل المثال ، قد يمنعك من إدارة الأعمال لبعض الوقت. وإذا أدى الهجوم إلى إبطاء وقت تحميل موقعك ، فقد لا يتعامل عملاؤك معك. تظهر الأبحاث أن نصف العملاء تقريبًا لن ينتظروا أكثر من ثلاث ثوانٍ حتى يتم تحميل الصفحة. ينقرون على منافس - والكثير لن يعود.
ثم هناك نقص عام في الثقة. كيف يفترض أن يثق العملاء بك في أعمالهم عندما لا تهتم حتى بأمنك الرقمي؟
كيف يمكن للمشتركين لديك أن يثقوا بك في أعمالهم إذا كنت لا تستطيع حماية بياناتهم الشخصية؟ kpodnar انقر للتغريدإن سلامتك على الإنترنت تتعلق بأكثر من مجرد حماية المعلومات الشخصية للجمهور (على الرغم من أهمية ذلك أيضًا). يتطلب سياسة رقمية شاملة ومتعددة الأوجه مدمجة في عمليات عملك اليومية.
لنلق نظرة على ما يعنيه ذلك.
مكونات السياسة الرقمية الشاملة
جمع البيانات
لقد تبنت العلامات التجارية ببطء ولكن بثبات عقلية "أكثر هو أكثر" عندما يتعلق الأمر بالبيانات. كلما زادت نقاط البيانات ، كان ذلك أفضل ، أليس كذلك؟ حتى في المتاجر التقليدية ، من الصعب إجراء عملية شراء دون أن يُطلب منك الاسم أو العنوان أو رقم الهاتف أو البريد الإلكتروني أو ربما حتى عيد الميلاد. وبالتأكيد ، يمكن لعملك أن يفعل الكثير بهذه المعلومات فيما يتعلق بتجزئة السوق والتحليلات.
ولكن ... كلما زادت البيانات التي تجمعها من جمهورك ، زاد احتمال خسارتك - وهم - إذا تعرضت لخرق. لوضعها في شروط العمل ، تحتاج إلى إجراء تحليل المخاطر والفوائد. إذا كنت تستخدم حقًا جميع البيانات التي تجمعها - والعائد على الاستثمار يستحق المخاطرة - فلا بأس. ولكن إذا كنت تجمع البيانات فقط لأنك تستطيع ، فإن المخاطر تفوق الفوائد بسرعة. اجمع البيانات فقط عندما تكون ضرورية لعملك.
اجمع البيانات فقط عندما تكون مهمة لعملك ، كما يقولkpodnar. انقر للتغريدأسئلة يجب طرحها:
- ما هي المعلومات التي نجمعها من عملائنا؟ أين نحتفظ به؟ كيف نقوم بتأمينه؟
- من يريد البيانات (تسويق ، تطوير منتج ، إلخ)؟ ماذا تفعل به؟ هل يمكن للآخرين داخل شركتنا استخدام نفس المعلومات لزيادة الفوائد ، مما يجعل المخاطرة جديرة بالاهتمام؟
- ما هي المعلومات التي نحتاج حقًا إلى جمعها من عملائنا ، ولماذا نحتاج إليها؟
- كيف تعزز كل نقطة بيانات نموذج أعمالنا أو تدعمه؟
مخزن البيانات
النتيجة الطبيعية لجمع الكثير من البيانات هي الحاجة إلى تخزين تلك البيانات. والبيانات المخزنة مسؤولية. هل تحتاج حقًا إلى الاحتفاظ بعناوين البريد الإلكتروني وشراء التواريخ من أشخاص لم تتصل بهم منذ سنوات؟ لا يمثل جمع بيانات العملاء موقفًا لـ ، "حسنًا ، قد يكون مفيدًا يومًا ما." العلاج الأكثر أمانًا هو تخزين قدر من البيانات فقط بقدر ما هو ضروري لعملك.
قد يكون من المفيد التفكير في الأمر بهذه الطريقة: تخيل أنك تعرضت لخرق ، وأنك في اجتماع وجهًا لوجه مع عميل سُرقت بياناته الشخصية. ما مدى الراحة التي ستشعر بها هذا العميل في عينيه وتشرح حاجتك لكل نقطة بيانات؟
أسئلة يجب طرحها:
- ما هي البيانات التي نخزنها؟ هل هناك مبرر تجاري لكل نقطة بيانات؟
- أين نخزن بياناتنا؟ من لديه حق الوصول إليه؟ ما هي الإجراءات الأمنية المعمول بها؟
- ما هي مخاطر حفظ البيانات؟ هل تتضمن البيانات نقاطًا كافية لتعريف الشخصية؟ إذا كان الأمر كذلك ، ما هو التزامنا تجاه عملائنا؟
- إذا احتجنا إلى تخزين نقاط بيانات متعددة ، فكم من الوقت نحتاج للاحتفاظ بها؟ (على سبيل المثال ، هل نحتاج إلى الاحتفاظ بعنوان البريد الإلكتروني الخاص بالعميل والمعلومات الأخرى بعد انتهاء الفترة التجريبية؟) ما هي العمليات التي يمكننا استخدامها لتحقيق ذلك؟ هل يجب حذف البيانات تلقائيًا بعد فترة زمنية معينة أم يجب أن تكون هناك عملية مراجعة بشرية؟
- هل الخوادم التي تخزن البيانات الحساسة منفصلة عن خوادمنا على شبكات أقل أمانًا؟ أو هل يمكن لشخص ما الوصول إلى بيانات حساسة من خلال اختراق جهاز أقل أمانًا؟
المتطلبات التنظيمية
أحد أصعب تحديات العمل في الاقتصاد العالمي هو الفرز من خلال القواعد واللوائح المعمول بها. الولايات المتحدة ، على سبيل المثال ، لديها قوانين تنظم جمع واستخدام وتخزين معلومات العملاء. العديد من الولايات لديها أيضًا لوائحها الخاصة ، وبعضها أكثر صرامة من القوانين الفيدرالية. ويصبح الأمر أكثر تعقيدًا عندما يتجاوز عملك الحدود الوطنية.
للحصول على منظور حول مدى تعقيد هذه العملية ، فكر في الخدمات المستندة إلى السحابة ، والتي ، بطبيعتها ، مستقلة عن الموقع الجغرافي. ماذا يعني ذلك من الناحية القانونية؟ هل يتم تطبيق اللوائح المتعلقة بالبيانات المحفوظة في تلك الخدمة السحابية بناءً على مكان وجود الشركة ، أو حيث توجد مواقع فعلية ، أو حيث يعيش العملاء ، أو حيث يتم تخزين الخوادم مع جميع البيانات؟ أو كل ما سبق؟
هذا هو أحد المجالات التي يكون من الضروري فيها الحصول على إرشادات مهنية ، سواء من محامٍ أو من خبير في السياسة الرقمية. هناك الكثير من القطع المتحركة لتحمل هذا القدر من المخاطرة بنفسك.
أسئلة يجب طرحها:
استعد لاجتماعك الأولي مع أحد المحترفين من خلال تدوين أكبر عدد ممكن من الحقائق والأسئلة ذات الصلة التي يمكنك طرحها ، مثل:
- كيف نكتشف اللوائح التي يجب أن نمتثل لها؟ على سبيل المثال ، ماذا لو لم يكن لدينا مكاتب ولا خوادم في بلد معين ، ولكن لدينا مستخدمون يعيشون هناك؟ ماذا لو كان لدينا خادم مشترك في بلد ما ولكن لا نقوم بأي عمل آخر هناك؟
- كم مرة تتغير هذه اللوائح ، وما هي أفضل طريقة لمواكبة هذه التغييرات ودمجها في سياستنا الرقمية؟
- ما هي عقوبات المخالفة الأولى في أي ولاية قضائية معينة؟
- كيف يمكننا التأكد من أننا لا نخرق قوانين خصوصية البيانات الخاصة بأي بلد؟
- ما هي بعض أفضل الممارسات التي حددتها الشركات الأخرى؟
رصد الحوادث والاستجابة لها
إن وجود سياسة رقمية جيدة لن يمنع بالضرورة حدوث الخرق ، ولكنه سيقطع شوطًا طويلاً نحو التخفيف من الأضرار. من المهم أن يكون لديك خطة استجابة للأزمات تتضمن كل شيء بدءًا من اكتشاف خرق إلى إبلاغ العملاء بالموقف (وكذلك إلى أي وكالات قانونية ذات صلة). يجب أن تحدد سياستك الشخص المسؤول عن كل خطوة من خطوات خطة الاستجابة وأن تتضمن إعادة تقييم متكررة للتأكد من أن كل شخص لا يزال في نفس الوظيفة ويعرف ما يجب القيام به.
توضح خطة الاستجابة للأزمات كيفية إبلاغ جمهورك في حالة حدوث خرق للبيانات ، كما تنصحkpodnar. انقر للتغريدأسئلة يجب طرحها:
- كيف ندرك وجود خرق؟ هل لدينا أنظمة تُعلمنا على الفور عند اكتشاف نشاط غير عادي ، أم أننا نكتشف فقط عندما نكون في وضع الأزمة؟
- ماذا نفعل لوقف هجوم بمجرد اكتشافه؟ هل يتمتع الأشخاص المسؤولون عن التخفيف من هجوم بالمهارات والتدريب والأدوات المناسبة؟
- من الذي يجب إخطاره داخل الشركة وبأي ترتيب؟ إذا تم اكتشاف هجوم خلال ساعات الليل ، فهل يمكنه الانتظار حتى الصباح ، أم أن هناك أشخاصًا يحتاجون إلى التنبيه على الفور؟
- إذا كانت النوبة شديدة بما يكفي للتسبب في توقف العمل ، فهل لدينا خطة احتياطية مطبقة؟ هل يعرف الجميع ما هو وكيف يتم إطلاقه؟
- ما هي اللوائح المطبقة؟ ما هي الجهات التي يجب إخطارها ، ووظيفتها القيام بذلك؟
- على من تقع مسؤولية التحدث إلى وسائل الإعلام؟
- ما الإجراءات التي يتعين علينا اتخاذها نيابة عن العملاء (مثل إخطارهم باحتمال تعرض بياناتهم للاختراق)؟
المخاطر الخارجية
نظرًا لترابط الشركات هذه الأيام ، لا توجد المخاطر داخل أسوارك فقط. أي طرف ثالث لديه حق الوصول إلى أي من شبكاتك هو مصدر محتمل للخرق. من المهم التفكير في سلسلة التوريد الخاصة بك ، وفي جميع أنحاء الشبكات الشريكة للتأكد من أنك لا تنشئ عن غير قصد سياسة لا تحميك حقًا لجميع الأغراض العملية.
أسئلة يجب طرحها:
- ما هي الأطراف التي يمكنها الوصول إلى نظامنا (البائعون ، وشركاء التعهيد ، والاستشاريون ، ودعم تكنولوجيا المعلومات بالاستعانة بمصادر خارجية ، ومنتجات SaaS ، وما إلى ذلك)؟ ما هي السياسات الرقمية وبروتوكولات الأمان التي لديهم؟
- هل تذهب سياسة الشريك الخارجي بعيدا بما فيه الكفاية؟ أو هل تركت أسئلة مهمة دون إجابة؟
- هل تتبع الشركة السياسة الرقمية أم أنها تشدق فقط؟
- في حالة حدوث خرق - عن قصد أو بغير قصد - من خلال مزود تابع لجهة خارجية ، فمن المسؤول؟ لمن خطة الاستجابة الأسبقية؟ من المسؤول عن الغرامات وتعويضات العملاء ، إذا كان ذلك مناسبًا؟
- هل الإجابات على أسئلة أمن البيانات موضحة في عقودنا؟
تطوير السياسة
جمع البيانات هو الخطوة الأولى. الخطوة التالية هي الحصول على الموافقة لإنشاء سياسة رقمية وصلاحية تنفيذها. عادةً ما تعمل هذه العملية بشكل أفضل مع فريق متعدد الوظائف بحيث يمكن تمثيل جميع الاهتمامات.
أسئلة يجب طرحها:
- من هم أصحاب المصلحة لدينا؟ من سيتأثر بهذه السياسة؟
- ما المصالح المتضاربة التي يجب إدارتها (مثل القانونية مقابل التسويق)؟
- هل لدينا كل ما نحتاج إلى معرفته لصياغة سياسة جيدة؟ هل هناك أي شخص نسينا تضمينه؟
- ما الخطأ الذي يمكن أن يحدث ، وماذا يمكننا أن نفعل لمنعه؟
إدارة التغيير
قلة من الناس يحبون التغيير ، وعدد أقل من الناس يحبون التغيير الذي يبدو عشوائيًا وغير ضروري. هذا صحيح أكثر عندما يجعل هذا التغيير العملية أكثر صعوبة وتستغرق وقتًا طويلاً. إن بيع "سبب" السياسة الرقمية أمر أساسي للتغلب على المقاومة.
أسئلة يجب طرحها:
- هل يمكننا التعبير بوضوح وباستمرار عن أهمية وجود سياسة رقمية؟ (تلميح: من غير المرجح أن يقبل الموظفون "لأن محامينا قالوا ذلك" كسبب مقنع.)
- من الذي تتأثر وظائفه بهذه التغييرات ، وبأي طرق؟ ما الذي يمكننا فعله لتعويض أي تأثير سلبي غير مقصود؟
- ما الذي قد يراه الموظفون على أنه عيوب للسياسة الرقمية ، وما الفوائد التي يمكننا توصيلها لمواجهة هذا التصور؟
تنفيذ الخطة
هذا هو المكان الذي تسوء فيه الكثير من السياسات الرقمية: تتوقف الشركات قبل خط النهاية مباشرة. لكن السياسة التي لم يتم تنفيذها بشكل صحيح - أو تجاهلها عالميًا - هي أكثر خطورة من عدم وجود سياسة. ذلك لأن السياسة توفر دليلاً موثقًا على أن شركتك كانت على دراية بالمخاطر.
تسوء خطط أمان البيانات عندما تتوقف الشركات قبل خط النهاية (التنفيذ الصحيح). kpodnar انقر للتغريدأسئلة يجب طرحها:
- أين تسكن السياسة؟ كيف يعرف الموظفون مكان العثور عليه عندما يحتاجون إليه؟ هل لديهم وصول فوري ، أم يحتاجون إلى طلب إذن للوصول إلى الملفات؟
- هل السياسة سهلة الاستخدام؟ هل يوجد جدول محتويات يمكن للموظف استخدامه للانتقال مباشرة إلى القسم المناسب؟ هل هي قابلة للبحث؟
- من يمكنه إجراء تغييرات على المستند ، وهل الأشخاص الذين ليس لديهم تصريح بتغييره ممنوعون تقنيًا من القيام بذلك؟
- كيف يمكننا تسهيل استخدام السياسة؟ هل يمكننا تزويد الموظفين بقائمة مراجعة أو معالج؟ هل يمكننا دمجها في عملياتنا التجارية بحيث يحدث الكثير من الامتثال وراء الكواليس؟ كيف يمكننا تسهيل التزام الموظفين بالسياسة وصعوبة انتهاكها؟
متابعة
"امتلك سياسة رقمية" ليس شيئًا يمكنك مسحه من قائمة مهامك. إنها عملية مستمرة يجب إعادة النظر فيها على مر السنين مع تغير الأشخاص والعمليات والتقنيات.
أسئلة يجب طرحها:
- كيف يمكننا التأكد من استخدام سياستنا الرقمية؟ كيف يمكننا تتبع الامتثال؟
- ما الإجراء التصحيحي الذي نتخذه في حالة انتهاك السياسة (عمدًا أم بغير قصد)؟
- كيف نتأكد من مواكبة سياستنا للظروف المتغيرة والتهديدات الجديدة؟
استنتاج
إذا كانت لدي رغبة واحدة للشركات التي تكافح مع سياساتها الرقمية ، فسيكون ذلك هو النظر إلى الوضع بشكل كلي. فكر في الأمر مثل الأبوة والأمومة: نحن لا نجهز أطفالنا لرياض الأطفال ثم نهنئ أنفسنا على العمل الجيد. إن تربية الطفل هي عملية متطورة تشمل كل شيء من التغذية إلى التمارين إلى التربية إلى الشخصية - وأحيانًا ، في النهاية ، إلى مجالسة الأحفاد. على الرغم من أنك قد لا تشعر بنفس الشغف تجاه سياستك الرقمية كما تشعر به تجاه أطفالك ، فإن كلاهما يتطلب الإشراف والرعاية والرعاية.
اشترك في النشرة الإخبارية الإلكترونية الأسبوعية لإستراتيجية المحتوى للمسوقين ، والتي تعرض قصصًا ورؤى حصرية من مستشار المحتوى الرئيسي في CMI روبرت روز. إذا كنت مثل العديد من المسوقين الآخرين الذين نلتقي بهم ، فستتطلع إلى قراءة أفكاره كل يوم سبت.
صورة الغلاف بواسطة Skeeze عبر pixabay.com