Comment protéger les données des clients - et votre entreprise

Publié: 2020-12-22

digital_integrity_matters

La plupart d'entre nous ont probablement vu cette publicité où le gardien de sécurité de la banque reste les bras croisés pendant un vol, expliquant qu'il est juste là pour surveiller, pas pour empêcher. C'est une bonne illustration de l'importance pour les entreprises de penser à l'intégrité numérique de manière holistique plutôt qu'un morceau à la fois.

Votre présence en ligne est le visage que votre entreprise montre au monde. C'est votre identité. Et il en dit autant aux clients sur votre crédibilité et votre intégrité que toute stratégie commerciale. Les clients veulent savoir qu'ils peuvent faire confiance à votre contenu et à ce qu'il contient - qu'il dit ce qu'il signifie, qu'il est cohérent, qu'il est exact et que vous le respectez. Et ils veulent savoir comment vous allez protéger les informations qu'ils partagent avec vous.

Votre présence en ligne en dit autant sur votre crédibilité que n'importe quelle stratégie commerciale, dit @kpodnar. Cliquez pour tweeter

Bien que l'élaboration d'une politique numérique ne soit peut-être pas au sommet de votre liste de choses à dépenser en temps et en argent, cela devrait vraiment être parce que les conséquences de ne pas avoir de politique sont effrayantes.

CONTENU ASSOCIÉ CHOISI À LA MAIN: L'identité compte: comment les stratèges de contenu créent la confiance et la loyauté

Pourquoi l'intégrité numérique est-elle importante?

Commençons par les violations de données puisque c'est le problème qui fait le plus la une des journaux. De la criminalistique et des amendes aux poursuites judiciaires et au temps perdu, les dépenses associées à une violation s'accumulent rapidement. Et ce n'est que le début.

Une attaque par déni de service distribué (DDoS), par exemple, pourrait vous empêcher de mener des activités pendant un certain temps. Et si l'attaque ralentit le temps de chargement de votre site, vos clients risquent de ne pas faire affaire avec vous. Les recherches montrent que près de la moitié de tous les clients n'attendront pas plus de trois secondes pour qu'une page se charge. Ils cliquent sur un concurrent - et beaucoup ne reviendront pas.

Ensuite, il y a un manque général de confiance. Comment les clients sont-ils censés vous faire confiance dans leur entreprise alors que vous ne vous occupez même pas de votre propre sécurité numérique?

Comment vos abonnés peuvent-ils vous faire confiance avec leur entreprise si vous ne pouvez pas protéger leurs données personnelles? @kpodnar Cliquez pour Tweet

Votre intégrité en ligne va bien au-delà de la simple protection des informations personnelles du public (bien que cela soit également important). Cela nécessite une politique numérique holistique et multiforme intégrée à vos processus commerciaux quotidiens.

Regardons ce que cela signifie.

CONTENU ASSOCIÉ CHOISI: La démocratisation de la méfiance est notre plus grande opportunité

Composantes d'une politique numérique holistique

Collecte de données

Les marques ont lentement mais sûrement adopté une mentalité de plus en plus en matière de données. Plus il y a de points de données, mieux c'est, non? Même dans les magasins physiques, il est difficile de faire un achat sans qu'on vous demande le nom, l'adresse, le numéro de téléphone, l'adresse e-mail ou peut-être même l'anniversaire. Et, bien sûr, votre entreprise peut faire beaucoup avec ces informations en termes de segmentation du marché et d'analyse.

Mais… plus vous collectez de données auprès de votre public, plus vous - et eux - avez à perdre si vous subissez une violation. Pour le mettre en termes commerciaux, vous devez effectuer une analyse risques-avantages. Si vous utilisez vraiment toutes les données que vous collectez - et que le retour sur investissement en vaut la peine - très bien. Mais si vous collectez des données simplement parce que vous le pouvez, les risques l'emportent rapidement sur les avantages. Collectez des données uniquement lorsque cela est essentiel pour votre entreprise.

Ne collectez des données que lorsque cela est essentiel pour votre entreprise, déclare @kpodnar. Cliquez pour tweeter

Questions a poser:

  • Quelles informations collectons-nous auprès de nos clients? Où le gardons-nous? Comment le sécuriser?
  • Qui veut les données (marketing, développement de produits, etc.)? Que font-ils avec? D'autres personnes au sein de notre entreprise pourraient-elles utiliser les mêmes informations pour augmenter les avantages et rendre le risque valable?
  • De quelles informations avons-nous vraiment besoin auprès de nos clients et pourquoi en avons-nous besoin?
  • Comment chaque point de données améliore-t-il ou soutient-il notre modèle commercial?

Stockage de données

Le résultat naturel de la collecte d'un grand nombre de données est la nécessité de stocker ces données. Et les données stockées sont une responsabilité. Avez-vous vraiment besoin de conserver les adresses e-mail et l'historique des achats de personnes avec lesquelles vous ne vous êtes pas connecté depuis des années? La collecte de données client n'est pas une situation pour «Eh bien, cela pourrait s'avérer utile un jour.» Le remède le plus sûr est de ne stocker que la quantité de données essentielle à votre entreprise.

Cela peut aider à penser de cette façon: imaginez que vous avez eu une brèche et que vous êtes en face à face avec un client dont les données personnelles ont été volées. Dans quelle mesure seriez-vous à l'aise de regarder ce client dans les yeux et d'expliquer votre besoin pour chaque point de données?

Questions a poser:

  • Quelles données stockons-nous? Existe-t-il une justification commerciale pour chaque point de données?
  • Où stockons-nous nos données? Qui y a accès? Quelles mesures de sécurité sont en place?
  • Quels sont les risques liés à la conservation des données? Les données contiennent-elles suffisamment de points pour être personnellement identifiables? Si oui, quelle obligation avons-nous envers nos clients?
  • Si nous devons stocker plusieurs points de données, combien de temps devons-nous les conserver? (Par exemple, devons-nous conserver l'adresse e-mail d'un client et d'autres informations après la fin d'une période d'essai?) Quels processus pouvons-nous utiliser pour y parvenir? Les données devraient-elles être automatiquement supprimées après un certain temps ou devrait-il y avoir un processus d'examen humain?
  • Les serveurs qui stockent les données sensibles sont-ils séparés de nos serveurs sur des réseaux moins sécurisés? Ou quelqu'un pourrait-il accéder à des données sensibles en piratant un appareil moins sécurisé?

Exigences réglementaires

L'un des défis les plus difficiles du fonctionnement dans une économie mondiale est de trier les règles et réglementations applicables. Les États-Unis, par exemple, ont des lois régissant la collecte, l'utilisation et le stockage des informations sur les clients. De nombreux États ont également leurs propres réglementations, dont certaines sont plus strictes que les lois fédérales. Et cela devient encore plus complexe lorsque votre entreprise dépasse les frontières nationales.

Pour avoir une idée de la complexité d'un processus, pensez aux services cloud, qui sont, par nature, indépendants d'un emplacement géographique. Qu'est-ce que cela signifie légalement? Les réglementations concernant les données conservées dans ce service cloud s'appliquent-elles en fonction du siège social de l'entreprise, de l'emplacement physique de l'entreprise, de l'emplacement des clients ou de l'emplacement de stockage des serveurs contenant toutes les données? Ou tout ce qui précède?

C'est un domaine dans lequel il est essentiel d'obtenir des conseils professionnels, que ce soit d'un avocat ou d'un expert en politique numérique. Il y a tout simplement trop de pièces en mouvement pour prendre vous-même autant de risques.

Questions a poser:

Préparez-vous à votre première rencontre avec un professionnel en notant autant de faits et de questions pertinents que possible, tels que:

  • Comment déterminer les réglementations auxquelles nous devons nous conformer? Par exemple, que se passe-t-il si nous n'avons ni bureaux ni serveurs dans un pays donné, mais que nous avons des utilisateurs qui y vivent? Que se passe-t-il si nous avons un serveur partagé dans un pays, mais n'y exerçons aucune autre activité?
  • À quelle fréquence ces réglementations changent-elles et quel est le meilleur moyen de suivre ces changements et de les intégrer dans notre politique numérique?
  • Quelles sont les sanctions pour une première violation dans une juridiction donnée?
  • Comment pouvons-nous être sûrs de ne pas enfreindre les lois sur la confidentialité des données d'un pays?
  • Quelles sont les meilleures pratiques identifiées par d’autres entreprises?

Surveillance et réponse aux incidents

Avoir une bonne politique numérique n'empêchera pas nécessairement une violation de se produire, mais cela contribuera grandement à atténuer les dommages. Il est important d'avoir un plan d'intervention en cas de crise qui comprend tout, de la découverte d'une violation à la communication de la situation à vos clients (ainsi qu'à toutes les agences juridiques compétentes). Votre politique doit identifier la personne responsable de chaque étape du plan d'intervention et inclure une réévaluation fréquente pour s'assurer que chaque personne occupe toujours le même poste et sait quoi faire.

Un plan de réponse à une crise détaille comment informer votre public en cas de violation de données, conseille @kpodnar. Cliquez pour tweeter

Questions a poser:

  • Comment prenons-nous connaissance d'une violation? Avons-nous des systèmes qui nous avertissent immédiatement lorsqu'une activité inhabituelle est détectée, ou ne le découvrons-nous que lorsque nous sommes en mode crise?
  • Que faisons-nous pour arrêter une attaque une fois qu'elle est détectée? Les personnes chargées d'atténuer une attaque ont-elles les compétences, la formation et les outils appropriés?
  • Qui au sein de l'entreprise doit être notifié et dans quel ordre? Si une attaque est détectée pendant la nuit, peut-elle attendre le matin ou y a-t-il des personnes qui doivent être alertées immédiatement?
  • Si une attaque est suffisamment grave pour provoquer un arrêt de travail, avons-nous un plan de sauvegarde en place? Tout le monde sait-il ce que c'est et comment le lancer?
  • Quelles réglementations s'appliquent? Quelles autorités doivent être notifiées et à qui incombe-t-il de le faire?
  • À qui incombe la responsabilité de parler aux médias?
  • Quelles mesures devons-nous prendre au nom des clients (par exemple, leur notifier que leurs données peuvent avoir été compromises)?

Risques externes

Aussi interconnectées que soient les entreprises de nos jours, les risques n'existent pas seulement à l'intérieur de vos propres murs. Tout tiers ayant accès à l'un de vos réseaux est une source potentielle de violation. Il est important de penser en amont et en aval de votre chaîne d'approvisionnement et à travers vos réseaux de partenaires pour vous assurer que vous ne créez pas involontairement une politique qui, à toutes fins pratiques, ne vous protège pas vraiment.

Questions a poser:

  • Quelles parties ont accès à notre système (fournisseurs, partenaires sous-traitants, consultants, support informatique externalisé, produits SaaS, etc.)? De quelles politiques numériques et protocoles de sécurité disposent-ils?
  • La politique du partenaire extérieur va-t-elle assez loin? Ou des questions importantes sont-elles restées sans réponse?
  • L'entreprise respecte-t-elle la politique numérique ou ne fait-elle que des paroles en l'air?
  • Dans le cas d'une violation provenant - intentionnellement ou non - d'un fournisseur tiers, qui est responsable? À qui le plan de réponse prime? Qui est responsable des amendes et de l'indemnisation des clients, le cas échéant?
  • Les réponses aux questions de sécurité des données sont-elles énoncées dans nos contrats?

Développement de politiques

La collecte de données est la première étape. Obtenir l'adhésion pour créer une politique numérique et l'autorité pour la mettre en œuvre est la prochaine étape. Habituellement, ce processus fonctionne mieux avec une équipe interfonctionnelle afin que tous les intérêts puissent être représentés.

Questions a poser:

  • Qui sont nos parties prenantes? Qui sera concerné par cette politique?
  • Quels intérêts conflictuels doivent être gérés (tels que le juridique ou le marketing)?
  • Avons-nous tout ce que nous devons savoir pour élaborer une bonne politique? Y a-t-il quelqu'un que nous avons oublié d'inclure?
  • Qu'est-ce qui pourrait mal tourner et que pouvons-nous faire pour l'empêcher?

Gestion du changement

Peu de gens aiment le changement, et encore moins de gens aiment le changement qui semble être aléatoire et inutile. C'est encore plus vrai lorsque ce changement rend un processus plus difficile et plus long. Vendre le «pourquoi» d'une politique numérique est essentiel pour surmonter la résistance.

Questions a poser:

  • Pouvons-nous articuler clairement et systématiquement l’importance d’une politique numérique? (Indice: il est peu probable que les employés acceptent «parce que nos avocats l'ont dit» comme une raison impérieuse.)
  • Quels emplois sont affectés par ces changements et de quelle manière? Que pouvons-nous faire pour compenser tout impact négatif involontaire?
  • Quels sont les inconvénients d'une politique numérique par les employés et quels avantages pouvons-nous communiquer pour contrer cette perception?

Planifier la mise en œuvre

C'est là que beaucoup de politiques numériques tournent mal: les entreprises s'arrêtent juste avant la ligne d'arrivée. Mais une politique jamais correctement mise en œuvre - ou universellement ignorée - est plus risquée que de ne pas avoir de politique. En effet, une politique fournit une preuve documentée que votre entreprise était consciente des risques.

Les plans de sécurité des données tournent mal lorsque les entreprises s'arrêtent avant la ligne d'arrivée (mise en œuvre correcte). @kpodnar Cliquez pour Tweet

Questions a poser:

  • Où vit la politique? Comment les employés savent-ils où le trouver lorsqu'ils en ont besoin? Ont-ils un accès immédiat ou doivent-ils demander une autorisation pour accéder aux fichiers?
  • La politique est-elle facile à utiliser? Existe-t-il une table des matières qu'un employé peut utiliser pour accéder directement à la section appropriée? Est-il consultable?
  • Qui peut apporter des modifications au document et les personnes sans autorisation de le modifier sont-elles techniquement empêchées de le faire?
  • Comment pouvons-nous rendre la politique plus facile à utiliser? Pouvons-nous fournir aux employés une liste de contrôle ou un assistant? Pouvons-nous l'intégrer dans nos processus métier de sorte qu'une grande partie de la conformité se produise en coulisse? Comment pouvons-nous aider les employés à se conformer à la politique et à les enfreindre?

Suivre

«Avoir une politique numérique» n'est pas quelque chose que vous pouvez rayer de votre liste de choses à faire. C'est un processus continu qui doit être revu au fil des ans à mesure que les gens, les processus et les technologies changent.

Questions a poser:

  • Comment pouvons-nous nous assurer que notre politique numérique est utilisée? Comment pouvons-nous suivre la conformité?
  • Quelles mesures correctives prenons-nous si la politique est violée (intentionnellement ou non)?
  • Comment nous assurer que notre politique s'adapte à l'évolution des circonstances et aux nouvelles menaces?

Conclusion

Si j'avais un souhait pour les entreprises aux prises avec leurs politiques numériques, ce serait de regarder la situation de manière holistique. Pensez-y comme à la parentalité: nous ne préparons pas nos enfants à la maternelle et nous nous félicitons pour un travail bien fait. Élever un enfant est un processus évolutif, qui comprend tout, de la nutrition à l'exercice en passant par l'éducation et le caractère - et parfois, éventuellement, la garde des petits-enfants. Même si vous ne ressentez peut-être pas la même passion pour votre politique numérique que pour vos enfants, les deux nécessitent une supervision, des soins et une éducation.

Inscrivez-vous à notre bulletin électronique hebdomadaire sur la stratégie de contenu pour les spécialistes du marketing , qui présente des histoires et des idées exclusives du conseiller en chef du contenu de CMI, Robert Rose. Si vous êtes comme beaucoup d'autres spécialistes du marketing que nous rencontrons, vous aurez hâte de lire ses pensées tous les samedis.

Image de couverture par Skeeze via pixabay.com