So schützen Sie Kundendaten - und Ihr Unternehmen
Veröffentlicht: 2020-12-22 Die meisten von uns haben wahrscheinlich diesen Werbespot gesehen, in dem der Wachmann der Bank während eines Raubüberfalls untätig daneben steht und erklärt, dass er nur zur Überwachung da ist und nicht verhindert. Dies ist ein gutes Beispiel dafür, wie wichtig es für Unternehmen ist, die digitale Integrität ganzheitlich und nicht einzeln zu betrachten.
Ihre Online-Präsenz ist das Gesicht, das Ihr Unternehmen der Welt zeigt. Es ist deine Identität. Und es sagt Kunden genauso viel über Ihre Glaubwürdigkeit und Integrität wie jede Geschäftsstrategie. Kunden möchten wissen, dass sie Ihren Inhalten vertrauen können und was dahinter steckt - dass sie sagen, was sie bedeuten, dass sie konsistent sind, dass sie korrekt sind und dass Sie dazu stehen. Und sie möchten wissen, wie Sie die Informationen schützen, die sie mit Ihnen teilen.
Ihre Online-Präsenz sagt Kunden genauso viel über Ihre Glaubwürdigkeit aus wie jede Geschäftsstrategie, sagt @kpodnar. Klicken Sie zum TwitternWährend die Entwicklung einer digitalen Richtlinie möglicherweise nicht ganz oben auf Ihrer Liste der Dinge steht, für die Sie Zeit und Geld ausgeben müssen, sollte dies wirklich der Fall sein, da die Konsequenzen einer fehlenden Richtlinie beängstigend sind.
Warum ist digitale Integrität wichtig?
Beginnen wir mit Datenverletzungen, da dies das Problem ist, das die meisten Schlagzeilen macht. Von Forensik und Geldstrafen bis hin zu Gerichtsverfahren und Zeitverlust steigen die mit einem Verstoß verbundenen Kosten schnell an. Und das ist erst der Anfang.
Ein DDoS-Angriff (Distributed Denial of Service) kann Sie beispielsweise daran hindern, eine Zeit lang Geschäfte zu tätigen. Und wenn der Angriff die Ladezeit Ihrer Website verlangsamt, können Ihre Kunden möglicherweise keine Geschäfte mit Ihnen machen. Untersuchungen zeigen, dass fast die Hälfte aller Kunden nicht länger als drei Sekunden auf das Laden einer Seite wartet. Sie klicken auf einen Konkurrenten - und vieles wird nicht zurückkommen.
Dann gibt es einen allgemeinen Mangel an Vertrauen. Wie sollen Kunden Ihnen ihr Geschäft anvertrauen, wenn Sie sich nicht einmal um Ihre eigene digitale Sicherheit kümmern?
Wie können Ihre Abonnenten Ihnen ihr Geschäft anvertrauen, wenn Sie ihre persönlichen Daten nicht schützen können? @kpodnar Zum Twittern klickenBei Ihrer Online-Integrität geht es um viel mehr als nur um den Schutz der persönlichen Daten des Publikums (obwohl dies auch wichtig ist). Es erfordert eine vielfältige, ganzheitliche digitale Richtlinie, die in Ihre täglichen Geschäftsprozesse integriert ist.
Schauen wir uns an, was das bedeutet.
Komponenten einer ganzheitlichen digitalen Politik
Datensammlung
Marken haben langsam aber sicher eine mehr-ist-mehr-Denkweise angenommen, wenn es um Daten geht. Je mehr Datenpunkte, desto besser, oder? Selbst in stationären Geschäften ist es schwierig, einen Kauf zu tätigen, ohne nach Name, Adresse, Telefonnummer, E-Mail-Adresse oder sogar Geburtstag gefragt zu werden. Und natürlich kann Ihr Unternehmen mit diesen Informationen in Bezug auf Marktsegmentierung und Analyse viel anfangen.
Aber… je mehr Daten Sie von Ihrem Publikum sammeln, desto mehr verlieren Sie - und sie -, wenn Sie einen Verstoß erleiden. Um es geschäftlich auszudrücken, müssen Sie eine Risiko-Nutzen-Analyse durchführen. Wenn Sie wirklich alle Daten verwenden, die Sie sammeln - und die Kapitalrendite das Risiko wert ist -, ist das in Ordnung. Wenn Sie jedoch Daten sammeln, nur weil Sie dies können, überwiegen die Risiken schnell die Vorteile. Sammeln Sie Daten nur, wenn dies für Ihr Unternehmen von entscheidender Bedeutung ist.
Sammeln Sie Daten nur, wenn dies für Ihr Unternehmen von entscheidender Bedeutung ist, sagt @kpodnar. Klicken Sie zum TwitternZu stellende Fragen:
- Welche Informationen sammeln wir von unseren Kunden? Wo bewahren wir es auf? Wie sichern wir es?
- Wer möchte die Daten (Marketing, Produktentwicklung usw.)? Was machen sie damit? Könnten andere in unserem Unternehmen dieselben Informationen verwenden, um den Nutzen zu steigern und das Risiko lohnenswert zu machen?
- Welche Informationen wir wirklich von unseren Kunden müssen sammeln, und warum brauchen wir es?
- Wie verbessert oder unterstützt jeder Datenpunkt unser Geschäftsmodell?
Datenspeicher
Das natürliche Ergebnis der Erfassung vieler Daten ist die Notwendigkeit, diese Daten zu speichern. Und gespeicherte Daten sind eine Haftung. Müssen Sie wirklich E-Mail-Adressen und Kaufhistorien von Personen aufbewahren, mit denen Sie seit Jahren keine Verbindung mehr haben? Die Erfassung von Kundendaten ist keine Situation für: "Nun, es könnte eines Tages nützlich sein." Am sichersten ist es, nur so viele Daten zu speichern, wie für Ihr Unternehmen wichtig sind.
Es könnte hilfreich sein, dies so zu sehen: Stellen Sie sich vor, Sie hatten einen Verstoß und befinden sich in einem persönlichen Gespräch mit einem Kunden, dessen persönliche Daten gestohlen wurden. Wie bequem würden Sie diesem Kunden in die Augen schauen und Ihren Bedarf für jeden Datenpunkt erklären?
Zu stellende Fragen:
- Welche Daten speichern wir? Gibt es eine geschäftliche Begründung für jeden Datenpunkt?
- Wo speichern wir unsere Daten? Wer hat Zugriff darauf? Welche Sicherheitsmaßnahmen sind vorhanden?
- Was sind die Risiken bei der Aufbewahrung der Daten? Enthalten die Daten genügend Punkte, um persönlich identifizierbar zu sein? Wenn ja, welche Verpflichtung haben wir gegenüber unseren Kunden?
- Wenn wir mehrere Datenpunkte speichern müssen, wie lange müssen wir sie aufbewahren? (Müssen wir beispielsweise die E-Mail-Adresse eines Kunden und andere Informationen nach Abschluss eines Testzeitraums aufbewahren?) Mit welchen Prozessen können wir dies erreichen? Sollten Daten nach einer bestimmten Zeit automatisch gelöscht werden oder sollte ein menschlicher Überprüfungsprozess stattfinden?
- Sind die Server, auf denen vertrauliche Daten gespeichert sind, in weniger sicheren Netzwerken von unseren Servern getrennt? Oder könnte jemand auf sensible Daten zugreifen, indem er sich in ein weniger sicheres Gerät hackt?
Regulatorischen Anforderungen
Eine der größten Herausforderungen bei der Arbeit in einer globalen Wirtschaft besteht darin, die geltenden Regeln und Vorschriften zu sortieren. In den USA gibt es beispielsweise Gesetze, die die Erfassung, Verwendung und Speicherung von Kundeninformationen regeln. Viele Bundesländer haben auch eigene Vorschriften, von denen einige strenger sind als die Bundesgesetze. Und es wird noch komplexer, wenn Ihr Unternehmen nationale Grenzen überschreitet.
Um einen Überblick darüber zu erhalten, wie komplex ein Prozess sein kann, denken Sie an Cloud-basierte Dienste, die von Natur aus unabhängig von einem geografischen Standort sind. Was bedeutet das legal? Gelten Vorschriften für Daten, die in diesem Cloud-Service gespeichert sind, basierend darauf, wo sich das Unternehmen befindet, wo es physische Standorte hat, wo die Kunden leben oder wo die Server mit allen Daten gespeichert sind? Oder alle oben genannten?
Dies ist ein Bereich, in dem es wichtig ist, professionelle Beratung zu erhalten, sei es von einem Anwalt oder von einem Experten für digitale Politik. Es gibt einfach zu viele bewegliche Teile, um selbst so viel Risiko einzugehen.
Zu stellende Fragen:
Bereiten Sie sich auf Ihr erstes Treffen mit einem Fachmann vor, indem Sie so viele relevante Fakten und Fragen wie möglich aufschreiben, z. B.:
- Wie finden wir heraus, welche Vorschriften wir einhalten müssen? Was ist zum Beispiel, wenn wir in einem bestimmten Land weder Büros noch Server haben, aber Benutzer, die dort leben? Was ist, wenn wir einen gemeinsam genutzten Server in einem Land haben, dort aber keine anderen Geschäfte tätigen?
- Wie häufig ändern sich diese Vorschriften und wie können Sie am besten mit diesen Änderungen Schritt halten und sie in unsere digitale Politik einbeziehen?
- Was sind die Strafen für einen ersten Verstoß in einer bestimmten Gerichtsbarkeit?
- Wie können wir sicher sein, dass wir nicht gegen die Datenschutzgesetze eines Landes verstoßen?
- Welche Best Practices haben andere Unternehmen ermittelt?
Überwachung und Reaktion auf Vorfälle
Eine gute digitale Politik wird nicht unbedingt verhindern, dass ein Verstoß auftritt, aber es wird einen großen Beitrag zur Schadensminderung leisten. Es ist wichtig, einen Krisenreaktionsplan zu haben, der alles von der Entdeckung eines Verstoßes bis zur Kommunikation der Situation mit Ihren Kunden (sowie allen relevanten Rechtsagenturen) umfasst. Ihre Richtlinie sollte die Person identifizieren, die für jeden Schritt des Reaktionsplans verantwortlich ist, und eine häufige Neubewertung beinhalten, um sicherzustellen, dass jede Person immer noch denselben Job hat und weiß, was zu tun ist.
In einem Krisenreaktionsplan wird detailliert beschrieben, wie Sie Ihr Publikum benachrichtigen können, wenn ein Datenverstoß auftritt, rät @kpodnar. Klicken Sie zum TwitternZu stellende Fragen:
- Wie werden wir auf einen Verstoß aufmerksam? Haben wir Systeme, die uns sofort benachrichtigen, wenn ungewöhnliche Aktivitäten festgestellt werden, oder finden wir es nur heraus, wenn wir uns im Krisenmodus befinden?
- Was tun wir, um einen Angriff zu stoppen, sobald er erkannt wurde? Verfügen die Personen, die für die Abschwächung eines Angriffs verantwortlich sind, über die richtigen Fähigkeiten, Schulungen und Werkzeuge?
- Wer im Unternehmen muss benachrichtigt werden und in welcher Reihenfolge? Wenn ein Angriff während der Nachtstunden erkannt wird, kann er bis zum Morgen warten, oder gibt es Personen, die sofort alarmiert werden müssen?
- Haben wir einen Backup-Plan, wenn ein Angriff schwerwiegend genug ist, um eine Arbeitsunterbrechung zu verursachen? Weiß jeder, was es ist und wie man es startet?
- Welche Vorschriften gelten? Welche Behörden müssen benachrichtigt werden und wessen Aufgabe ist es, dies zu tun?
- Wessen Verantwortung ist es, mit den Medien zu sprechen?
- Welche Maßnahmen müssen wir im Namen der Kunden ergreifen (z. B. um sie darüber zu informieren, dass ihre Daten möglicherweise kompromittiert wurden)?
Externe Risiken
So vernetzt Unternehmen heutzutage sind, bestehen Risiken nicht nur innerhalb Ihrer eigenen Mauern. Jeder Dritte, der Zugriff auf eines Ihrer Netzwerke hat, ist eine potenzielle Quelle für einen Verstoß. Es ist wichtig, in Ihrer Lieferkette und in Ihren Partnernetzwerken auf und ab zu denken, um sicherzustellen, dass Sie nicht unbeabsichtigt eine Richtlinie erstellen, die Sie praktisch nicht wirklich schützt.
Zu stellende Fragen:
- Welche Parteien haben Zugriff auf unser System (Anbieter, Outsourcing-Partner, Berater, ausgelagerter IT-Support, SaaS-Produkte usw.)? Welche digitalen Richtlinien und Sicherheitsprotokolle haben sie?
- Geht die Politik des externen Partners weit genug? Oder sind wichtige Fragen unbeantwortet geblieben?
- Befolgen die Unternehmen die digitalen Richtlinien oder geben sie nur Lippenbekenntnisse ab?
- Wer haftet im Falle eines Verstoßes, der - absichtlich oder nicht - durch einen Drittanbieter verursacht wurde? Wessen Reaktionsplan hat Vorrang? Wer ist gegebenenfalls für Bußgelder und Kundenentschädigungen verantwortlich?
- Sind die Antworten auf die Fragen zur Datensicherheit in unseren Verträgen festgelegt?
Politikentwicklung
Das Sammeln von Daten ist der erste Schritt. Der nächste Schritt besteht darin, das Buy-In für die Erstellung einer digitalen Richtlinie und die Berechtigung für deren Umsetzung zu erhalten. Normalerweise funktioniert dieser Prozess am besten mit einem funktionsübergreifenden Team, damit alle Interessen vertreten werden können.
Zu stellende Fragen:
- Wer sind unsere Stakeholder? Wer ist von dieser Richtlinie betroffen?
- Welche Interessenkonflikte müssen verwaltet werden (z. B. Recht oder Marketing)?
- Haben wir alles, was wir wissen müssen, um eine gute Politik zu entwickeln? Gibt es jemanden, den wir vergessen haben aufzunehmen?
- Was könnte schief gehen und was können wir tun, um dies zu verhindern?
Änderungsmanagement
Nur wenige Menschen mögen Veränderungen, und noch weniger Menschen mögen Veränderungen, die zufällig und unnötig erscheinen. Dies gilt umso mehr, wenn diese Änderung einen Prozess schwieriger und zeitaufwändiger macht. Der Verkauf des „Warum“ einer digitalen Politik ist von zentraler Bedeutung für die Überwindung von Widerständen.
Zu stellende Fragen:
- Können wir klar und konsequent die Bedeutung einer digitalen Politik zum Ausdruck bringen? (Hinweis: Es ist unwahrscheinlich, dass Mitarbeiter "weil unsere Anwälte dies gesagt haben" als zwingenden Grund akzeptieren.)
- Wessen Arbeitsplätze sind von diesen Veränderungen betroffen und auf welche Weise? Was können wir tun, um unbeabsichtigte negative Auswirkungen auszugleichen?
- Was könnten Mitarbeiter als Nachteile einer digitalen Politik ansehen und welche Vorteile können wir kommunizieren, um dieser Wahrnehmung entgegenzuwirken?
Planen Sie die Implementierung
Hier gehen viele digitale Richtlinien schief: Unternehmen halten kurz vor der Ziellinie an. Eine Richtlinie, die niemals korrekt implementiert oder allgemein ignoriert wird, ist jedoch riskanter, als keine Richtlinie zu haben. Dies liegt daran, dass eine Richtlinie einen dokumentierten Nachweis dafür liefert, dass Ihr Unternehmen sich der Risiken bewusst war.
Datensicherheitspläne gehen schief, wenn Unternehmen vor der Ziellinie anhalten (korrekte Implementierung). @kpodnar Zum Twittern klickenZu stellende Fragen:
- Wo lebt die Politik? Woher wissen Mitarbeiter, wo sie es finden, wenn sie es brauchen? Haben sie sofortigen Zugriff oder müssen sie um Autorisierung bitten, um auf die Dateien zugreifen zu können?
- Ist die Richtlinie einfach zu verwenden? Gibt es ein Inhaltsverzeichnis, mit dem ein Mitarbeiter direkt zum entsprechenden Abschnitt gelangen kann? Ist es durchsuchbar?
- Wer kann Änderungen am Dokument vornehmen, und sind Personen ohne Berechtigung zur Änderung technisch daran gehindert?
- Wie können wir die Verwendung der Richtlinie vereinfachen? Können wir Mitarbeitern eine Checkliste oder einen Assistenten zur Verfügung stellen? Können wir es in unsere Geschäftsprozesse integrieren, sodass ein Großteil der Compliance hinter den Kulissen erfolgt? Wie können wir es den Mitarbeitern leicht machen, die Richtlinien einzuhalten und sie nur schwer zu verletzen?
Nachverfolgen
"Haben Sie eine digitale Richtlinie" können Sie nicht von Ihrer To-Do-Liste streichen. Es ist ein fortlaufender Prozess, der im Laufe der Jahre überarbeitet werden muss, wenn sich Menschen, Prozesse und Technologien ändern.
Zu stellende Fragen:
- Wie können wir sicherstellen, dass unsere digitale Politik genutzt wird? Wie können wir die Einhaltung verfolgen?
- Welche Korrekturmaßnahmen ergreifen wir, wenn die Richtlinie (absichtlich oder nicht) verletzt wird?
- Wie stellen wir sicher, dass unsere Richtlinien mit sich ändernden Umständen und neuen Bedrohungen Schritt halten?
Fazit
Wenn ich einen Wunsch für Unternehmen hätte, die mit ihrer digitalen Politik zu kämpfen haben, wäre es, die Situation ganzheitlich zu betrachten. Betrachten Sie es als Elternschaft: Wir bereiten unsere Kinder nicht auf den Kindergarten vor und gratulieren uns dann zu einer gut gemachten Arbeit. Die Erziehung eines Kindes ist ein sich entwickelnder Prozess, der alles von Ernährung über Bewegung und Bildung bis hin zum Charakter umfasst - und manchmal schließlich auch das Babysitten von Enkelkindern. Während Sie möglicherweise nicht die gleiche Leidenschaft für Ihre digitale Politik empfinden wie für Ihre Kinder, erfordern beide Aufsicht, Pflege und Pflege.
Melden Sie sich für unseren wöchentlichen E-Newsletter "Content Strategy for Marketers" an , der exklusive Geschichten und Einblicke von Robert Rose, Chief Content Adviser von CMI, enthält. Wenn Sie wie viele andere Vermarkter sind, die wir treffen, werden Sie sich darauf freuen, jeden Samstag seine Gedanken zu lesen.
Titelbild von Skeeze über pixabay.com