Cómo proteger los datos del cliente y su empresa

Publicado: 2020-12-22

asuntos_integridad_digitales

La mayoría de nosotros probablemente hemos visto ese comercial en el que el guardia de seguridad del banco permanece de brazos cruzados durante un robo, explicando que solo está allí para monitorear, no para prevenir. Es un buen ejemplo de lo importante que es para las empresas pensar en la integridad digital de manera integral en lugar de una pieza a la vez.

Su presencia en línea es la cara que su empresa muestra al mundo. Es tu identidad. Y les dice a los clientes tanto sobre su credibilidad e integridad como cualquier estrategia comercial. Los clientes quieren saber que pueden confiar en su contenido y en lo que hay detrás de él: que dice lo que significa, que es coherente, que es preciso y que usted lo respalda. Y quieren saber cómo va a proteger la información que comparten con usted.

Su presencia en línea les dice a los clientes tanto sobre su credibilidad como cualquier estrategia comercial, dice @kpodnar. Haga clic para twittear

Si bien el desarrollo de una política digital puede no estar en la parte superior de su lista de cosas en las que gastar tiempo y dinero, realmente debería serlo porque las consecuencias de no tener una política dan miedo.

CONTENIDO RELACIONADO SELECCIONADO A MANO: La identidad importa: cómo los estrategas de contenido generan confianza y lealtad

¿Por qué es importante la integridad digital?

Comencemos con las filtraciones de datos, ya que ese es el tema que captura la mayoría de los titulares. Desde análisis forense y multas hasta demandas y tiempo perdido, los gastos asociados con una infracción se acumulan rápidamente. Y eso es solo el comienzo.

Un ataque distribuido de denegación de servicio (DDoS), por ejemplo, podría impedirle realizar negocios durante un tiempo. Y si el ataque ralentiza el tiempo de carga de su sitio, es posible que sus clientes no hagan negocios con usted. Las investigaciones muestran que casi la mitad de todos los clientes no esperarán más de tres segundos para que se cargue una página. Hacen clic en un competidor, y muchos no volverán.

Luego hay una falta general de confianza. ¿Cómo se supone que los clientes deben confiarle sus negocios cuando ni siquiera se ocupa de su propia seguridad digital?

¿Cómo pueden sus suscriptores confiarle sus negocios si no puede proteger sus datos personales? @kpodnar Haga clic para twittear

Su integridad en línea es mucho más que proteger la información personal de la audiencia (aunque eso también es importante). Requiere una política digital integral y multifacética incorporada en sus procesos comerciales diarios.

Veamos lo que eso significa.

CONTENIDO RELACIONADO SELECCIONADO A MANO: La democratización de la desconfianza es nuestra mayor oportunidad

Componentes de una política digital integral

Recopilación de datos

Las marcas, lenta pero seguramente, han adoptado una mentalidad de más es más cuando se trata de datos. Cuantos más puntos de datos, mejor, ¿verdad? Incluso en las tiendas físicas, es difícil realizar una compra sin que se le pida el nombre, la dirección, el número de teléfono, el correo electrónico o incluso el cumpleaños. Y, claro, su empresa puede hacer mucho con esa información en términos de segmentación y análisis del mercado.

Pero… cuantos más datos recopile de su audiencia, más usted (y ellos) pueden perder si sufre una infracción. Para expresarlo en términos comerciales, debe realizar un análisis de riesgo-beneficio. Si realmente está utilizando todos los datos que está recopilando, y el retorno de la inversión vale el riesgo, está bien. Pero si está recopilando datos solo porque puede, los riesgos superan rápidamente los beneficios. Recopile datos solo cuando sea fundamental para su negocio.

Recopile datos solo cuando sea fundamental para su negocio, dice @kpodnar. Haga clic para twittear

Preguntas que hacer:

  • ¿Qué información recopilamos de nuestros clientes? ¿Dónde lo guardamos? ¿Cómo lo aseguramos?
  • ¿Quién quiere los datos (marketing, desarrollo de productos, etc.)? ¿Qué hacen con él? ¿Podrían otros dentro de nuestra empresa utilizar la misma información para aumentar los beneficios, haciendo que el riesgo valga la pena?
  • ¿Qué información realmente necesitamos recopilar de nuestros clientes y por qué la necesitamos?
  • ¿Cómo cada punto de datos mejora o respalda nuestro modelo de negocio?

Almacenamiento de datos

El resultado natural de recopilar una gran cantidad de datos es la necesidad de almacenar esos datos. Y los datos almacenados son una responsabilidad. ¿ Realmente necesita mantener las direcciones de correo electrónico y el historial de compras de personas con las que no se ha conectado en años? La recopilación de datos del cliente no es una situación para "Bueno, podría ser útil algún día". El remedio más seguro es almacenar solo los datos que sean críticos para su negocio.

Podría ser útil pensarlo de esta manera: imagina que tienes una brecha y estás en una reunión cara a cara con un cliente cuyos datos personales fueron robados. ¿Qué tan cómodo se sentiría mirando a ese cliente a los ojos y explicando su necesidad para cada punto de datos?

Preguntas que hacer:

  • ¿Qué datos almacenamos? ¿Existe una justificación comercial para cada punto de datos?
  • ¿Dónde almacenamos nuestros datos? ¿Quién tiene acceso a él? ¿Qué medidas de seguridad existen?
  • ¿Cuáles son los riesgos de conservar los datos? ¿Los datos incluyen suficientes puntos para ser identificables personalmente? Si es así, ¿qué obligación tenemos con nuestros clientes?
  • Si necesitamos almacenar varios puntos de datos, ¿cuánto tiempo debemos mantenerlos? (Por ejemplo, ¿necesitamos mantener la dirección de correo electrónico de un cliente y otra información después de la conclusión de un período de prueba?) ¿Qué procesos podemos usar para que eso suceda? ¿Deben eliminarse los datos automáticamente después de un cierto tiempo o debe haber un proceso de revisión humana?
  • ¿Los servidores que almacenan datos confidenciales están separados de nuestros servidores en redes menos seguras? ¿O podría alguien acceder a datos confidenciales pirateando un dispositivo menos seguro?

Los requisitos reglamentarios

Uno de los desafíos más difíciles de operar en una economía global es clasificar las reglas y regulaciones aplicables. Estados Unidos, por ejemplo, tiene leyes que regulan la recopilación, el uso y el almacenamiento de la información del cliente. Muchos estados también tienen sus propias regulaciones, algunas de las cuales son más estrictas que las leyes federales. Y se vuelve aún más complejo cuando su empresa cruza las fronteras nacionales.

Para obtener una perspectiva de lo complejo que puede ser un proceso, piense en los servicios basados ​​en la nube, que son, por naturaleza, independientes de una ubicación geográfica. ¿Qué significa eso legalmente? ¿Se aplican las regulaciones con respecto a los datos guardados en ese servicio en la nube en función de dónde tiene su sede la empresa, dónde tiene ubicaciones físicas, dónde viven los clientes o dónde se almacenan los servidores con todos los datos? ¿O todo lo anterior?

Esta es un área en la que es fundamental obtener orientación profesional, ya sea de un abogado o de un experto en políticas digitales. Hay demasiadas piezas móviles para correr ese riesgo.

Preguntas que hacer:

Prepárese para su reunión inicial con un profesional anotando tantos hechos y preguntas relevantes como pueda, como por ejemplo:

  • ¿Cómo averiguamos qué normas debemos cumplir? Por ejemplo, ¿qué pasa si no tenemos oficinas ni servidores en un país determinado, pero tenemos usuarios que viven allí? ¿Qué sucede si tenemos un servidor compartido en un país pero no realizamos ningún otro negocio allí?
  • ¿Con qué frecuencia cambian estas regulaciones y cuál es la mejor manera de mantenerse al día con estos cambios e incorporarlos a nuestra política digital?
  • ¿Cuáles son las sanciones por una primera infracción en una jurisdicción determinada?
  • ¿Cómo podemos estar seguros de que no estamos infringiendo las leyes de privacidad de datos de ningún país?
  • ¿Cuáles son algunas de las mejores prácticas que han identificado otras empresas?

Seguimiento y respuesta a incidentes

Tener una buena política digital no evitará necesariamente que se produzca una infracción, pero contribuirá en gran medida a mitigar los daños. Es importante tener un plan de respuesta a crisis que incluya todo, desde el descubrimiento de una infracción hasta la comunicación de la situación a sus clientes (así como a las agencias legales relevantes). Su política debe identificar a la persona responsable de cada paso del plan de respuesta e incluir reevaluaciones frecuentes para asegurarse de que cada persona todavía esté en el mismo trabajo y sepa qué hacer.

Un plan de respuesta a crisis detalla cómo notificar a su audiencia si ocurre una violación de datos, aconseja @kpodnar. Haga clic para twittear

Preguntas que hacer:

  • ¿Cómo nos damos cuenta de una infracción? ¿Tenemos sistemas que nos notifican de inmediato cuando se detecta una actividad inusual o solo nos enteramos cuando estamos en modo de crisis?
  • ¿Qué hacemos para detener un ataque una vez detectado? ¿Las personas responsables de mitigar un ataque tienen las habilidades, la capacitación y las herramientas adecuadas?
  • ¿Quién dentro de la empresa debe ser notificado y en qué orden? Si se detecta un ataque durante las horas de la noche, ¿puede esperar hasta la mañana o hay personas a las que se debe alertar de inmediato?
  • Si un ataque es lo suficientemente severo como para causar un paro laboral, ¿tenemos un plan de respaldo implementado? ¿Todos saben qué es y cómo lanzarlo?
  • ¿Qué regulaciones se aplican? ¿Qué autoridades deben ser notificadas y de quién es el trabajo?
  • ¿De quién es la responsabilidad de hablar con los medios de comunicación?
  • ¿Qué acciones debemos tomar en nombre de los clientes (como notificarles que sus datos pueden haber sido comprometidos)?

Riesgos externos

A pesar de que las empresas están interconectadas en estos días, los riesgos no existen solo dentro de sus propias paredes. Cualquier tercero con acceso a cualquiera de sus redes es una fuente potencial de incumplimiento. Es importante pensar hacia arriba y hacia abajo en su cadena de suministro y en todas sus redes de socios para asegurarse de que no está creando involuntariamente una política que, para todos los propósitos prácticos, realmente no lo protege.

Preguntas que hacer:

  • ¿Qué partes tienen acceso a nuestro sistema (proveedores, socios de subcontratación, consultores, soporte de TI subcontratado, productos SaaS, etc.)? ¿Qué políticas digitales y protocolos de seguridad tienen?
  • ¿La política del socio externo va lo suficientemente lejos? ¿O se han dejado sin respuesta preguntas importantes?
  • ¿La empresa sigue la política digital o simplemente habla de labios para afuera?
  • En el caso de un incumplimiento que se origine, intencionalmente o no, a través de un proveedor externo, ¿quién es el responsable? ¿El plan de respuesta de quién tiene prioridad? ¿Quién es responsable de las multas y la compensación del cliente, si corresponde?
  • ¿Están las respuestas a las preguntas sobre seguridad de los datos detalladas en nuestros contratos?

Desarrollo de políticas

La recopilación de datos es el primer paso. Obtener la aceptación para crear una política digital y la autoridad para implementarla es el siguiente paso. Por lo general, este proceso funciona mejor con un equipo multifuncional para que se puedan representar todos los intereses.

Preguntas que hacer:

  • ¿Quiénes son nuestros grupos de interés? ¿Quiénes se verán afectados por esta política?
  • ¿Qué intereses en conflicto deben manejarse (como legal versus marketing)?
  • ¿Tenemos todo lo que necesitamos saber para elaborar una buena política? ¿Hay alguien que olvidamos incluir?
  • ¿Qué podría salir mal y qué podemos hacer para prevenirlo?

Gestión del cambio

A pocas personas les gusta el cambio, e incluso a menos personas les gusta el cambio que parece ser aleatorio e innecesario. Eso es aún más cierto cuando ese cambio hace que un proceso sea más difícil y requiere más tiempo. Vender el "por qué" de una política digital es fundamental para superar la resistencia.

Preguntas que hacer:

  • ¿Podemos articular de forma clara y coherente la importancia de tener una política digital? (Sugerencia: es poco probable que los empleados acepten "porque nuestros abogados lo dijeron" como una razón convincente).
  • ¿Qué puestos de trabajo se ven afectados por estos cambios y de qué manera? ¿Qué podemos hacer para compensar cualquier impacto negativo no deseado?
  • ¿Qué podrían ver los empleados como desventajas de una política digital y qué beneficios podemos comunicar para contrarrestar esa percepción?

Implementación del plan

Aquí es donde muchas políticas digitales fallan: las empresas se detienen justo antes de la línea de meta. Pero una política que nunca se implementa correctamente, o que se ignora universalmente, es más riesgosa que no tener una política. Esto se debe a que una póliza proporciona pruebas documentadas de que su empresa conocía los riesgos.

Los planes de seguridad de datos fallan cuando las empresas se detienen antes de la línea de meta (implementación correcta). @kpodnar Haga clic para twittear

Preguntas que hacer:

  • ¿Dónde vive la póliza? ¿Cómo saben los empleados dónde encontrarlo cuando lo necesitan? ¿Tienen acceso inmediato o necesitan solicitar autorización para acceder a los archivos?
  • ¿Es la política fácil de usar? ¿Existe una tabla de contenido que un empleado pueda utilizar para ir directamente a la sección correspondiente? ¿Se puede buscar?
  • ¿Quién puede realizar cambios en el documento y las personas sin autorización para modificarlo están técnicamente impedidas de hacerlo?
  • ¿Cómo podemos facilitar el uso de la política? ¿Podemos proporcionar a los empleados una lista de verificación o un asistente? ¿Podemos incorporarlo en nuestros procesos comerciales para que gran parte del cumplimiento se produzca entre bastidores? ¿Cómo podemos facilitar que los empleados cumplan con la política y dificultar su incumplimiento?

Seguimiento

"Tener una política digital" no es algo que pueda tachar de su lista de tareas pendientes. Es un proceso continuo que debe revisarse a lo largo de los años a medida que cambian las personas, los procesos y las tecnologías.

Preguntas que hacer:

  • ¿Cómo podemos asegurarnos de que se esté utilizando nuestra política digital? ¿Cómo podemos rastrear el cumplimiento?
  • ¿Qué acción correctiva tomamos si se infringe la política (intencionalmente o no)?
  • ¿Cómo nos aseguramos de que nuestra política se mantenga al día con las circunstancias cambiantes y las nuevas amenazas?

Conclusión

Si tuviera un deseo para las empresas que luchan con sus políticas digitales, sería mirar la situación de manera integral. Piense en ello como la crianza de los hijos: no preparamos a nuestros hijos para el jardín de infancia y luego nos felicitamos por un trabajo bien hecho. Criar a un hijo es un proceso en evolución, que incluye todo, desde la nutrición hasta el ejercicio, la educación y el carácter, y a veces, eventualmente, hasta el cuidado de los nietos. Si bien es posible que no sienta la misma pasión por su política digital que por sus hijos, ambos requieren supervisión, cuidado y cariño.

Suscríbase a nuestro boletín electrónico semanal de Estrategia de contenido para especialistas en marketing , que presenta historias exclusivas y conocimientos del Asesor de contenido jefe de CMI, Robert Rose. Si es como muchos otros especialistas en marketing que conocemos, esperará leer sus pensamientos todos los sábados.

Imagen de portada de Skeeze a través de pixabay.com