Bagaimana Melindungi Data Pelanggan - dan Perusahaan Anda

Sebagian besar dari kita mungkin pernah melihat iklan itu di mana penjaga keamanan bank berdiri diam selama perampokan, menjelaskan bahwa dia hanya ada di sana untuk memantau, bukan mencegah. Ini adalah ilustrasi yang baik tentang betapa pentingnya bagi bisnis untuk memikirkan integritas digital secara holistik daripada satu per satu.

Kehadiran online Anda adalah wajah yang ditunjukkan perusahaan Anda kepada dunia. Itu identitas Anda. Dan itu memberi tahu pelanggan tentang kredibilitas dan integritas Anda seperti halnya strategi bisnis apa pun. Pelanggan ingin tahu bahwa mereka dapat mempercayai konten Anda dan apa yang ada di baliknya - yang menyatakan apa artinya, konsisten, akurat, dan Anda mendukungnya. Dan mereka ingin tahu bagaimana Anda akan melindungi informasi yang mereka bagi dengan Anda.

Meskipun mengembangkan kebijakan digital mungkin tidak berada di urutan teratas dari daftar hal-hal-untuk-menghabiskan-waktu-dan-uang-untuk, itu seharusnya karena konsekuensi dari tidak memiliki kebijakan itu menakutkan.

Mengapa integritas digital penting?

Mari kita mulai dengan pelanggaran data karena itulah masalah yang paling banyak menjadi berita utama. Dari forensik dan denda hingga tuntutan hukum dan waktu yang hilang, biaya yang terkait dengan pelanggaran menumpuk dengan cepat. Dan itu baru permulaan.

Serangan penolakan layanan (DDoS) terdistribusi, misalnya, dapat mencegah Anda menjalankan bisnis untuk sementara waktu. Dan jika serangan tersebut memperlambat waktu buka situs Anda, pelanggan Anda mungkin tidak berbisnis dengan Anda. Penelitian menunjukkan bahwa hampir setengah dari semua pelanggan tidak akan menunggu lebih dari tiga detik untuk memuat halaman. Mereka mengklik pesaing - dan banyak yang tidak akan kembali.

Lalu ada kurangnya rasa percaya diri. Bagaimana pelanggan seharusnya mempercayai Anda dengan bisnis mereka ketika Anda bahkan tidak menjaga keamanan digital Anda sendiri?

Integritas online Anda lebih dari sekadar melindungi informasi pribadi audiens (meskipun itu juga penting). Ini membutuhkan kebijakan digital holistik multifaset yang dimasukkan ke dalam proses bisnis harian Anda.

Mari kita lihat apa artinya.

Komponen kebijakan digital holistik

Pengumpulan data

Merek perlahan tapi pasti telah mengadopsi pola pikir lebih-lebih-lebih dalam hal data. Semakin banyak poin data, semakin baik, bukan? Bahkan di toko fisik, sulit untuk melakukan pembelian tanpa diminta nama, alamat, nomor telepon, email, atau bahkan ulang tahun. Dan, tentu, bisnis Anda dapat melakukan banyak hal dengan informasi tersebut dalam hal segmentasi pasar dan analitik.

Tapi… semakin banyak data yang Anda kumpulkan dari audiens Anda, semakin banyak Anda - dan mereka - yang akan rugi jika Anda mengalami pelanggaran. Untuk menjelaskannya dalam istilah bisnis, Anda perlu melakukan analisis risiko-keuntungan. Jika Anda benar-benar menggunakan semua data yang Anda kumpulkan - dan laba atas investasi sepadan dengan risikonya - bagus. Tetapi jika Anda mengumpulkan data hanya karena Anda bisa, risikonya dengan cepat lebih besar daripada manfaatnya. Kumpulkan data hanya jika itu penting untuk bisnis Anda.

Pertanyaan untuk ditanyakan:

• Informasi apa yang kami kumpulkan dari pelanggan kami? Dimana kita menyimpannya? Bagaimana kita mengamankannya?
• Siapa yang menginginkan data (pemasaran, pengembangan produk, dll.)? Apa yang mereka lakukan dengan itu? Bisakah orang lain di dalam perusahaan kita menggunakan informasi yang sama untuk meningkatkan manfaat, membuat risiko itu berharga?
• Informasi apa yang benar - benar perlu kami kumpulkan dari pelanggan kami, dan mengapa kami membutuhkannya?
• Bagaimana setiap titik data meningkatkan atau mendukung model bisnis kita?

Penyimpanan data

Hasil alami dari pengumpulan banyak data adalah kebutuhan untuk menyimpan data tersebut. Dan data yang disimpan adalah tanggung jawab. Apakah Anda benar - benar perlu menyimpan alamat email dan riwayat pembelian dari orang yang sudah bertahun-tahun tidak terhubung dengan Anda? Pengumpulan data pelanggan bukanlah situasi untuk, "Yah, itu mungkin berguna suatu hari nanti." Solusi teraman adalah menyimpan data sebanyak yang penting untuk bisnis Anda.

Mungkin membantu untuk memikirkannya seperti ini: Bayangkan Anda mengalami pelanggaran, dan Anda sedang rapat tatap muka dengan pelanggan yang data pribadinya dicuri. Seberapa nyaman Anda memandang mata pelanggan itu dan menjelaskan kebutuhan Anda untuk setiap titik data?

Pertanyaan untuk ditanyakan:

• Data apa yang kami simpan? Apakah ada alasan bisnis untuk setiap titik data?
• Di mana kami menyimpan data kami? Siapa yang punya akses ke sana? Tindakan keamanan apa yang tersedia?
• Apa risiko menyimpan data? Apakah datanya menyertakan cukup poin untuk dapat diidentifikasi secara pribadi? Jika ya, kewajiban apa yang kita miliki kepada pelanggan kita?
• Jika kita memang perlu menyimpan banyak titik data, berapa lama kita perlu menyimpannya? (Misalnya, apakah kita perlu menyimpan alamat email pelanggan dan informasi lainnya setelah masa percobaan berakhir?) Proses apa yang dapat kita gunakan untuk mewujudkannya? Haruskah data dihapus secara otomatis setelah waktu tertentu atau haruskah ada proses peninjauan manusia?
• Apakah server yang menyimpan data sensitif terpisah dari server kami di jaringan yang kurang aman? Atau dapatkah seseorang mengakses data sensitif dengan meretas perangkat yang kurang aman?

Persyaratan peraturan

Salah satu tantangan terberat dalam beroperasi dalam ekonomi global adalah memilah-milah aturan dan regulasi yang berlaku. Amerika Serikat, misalnya, memiliki undang-undang yang mengatur pengumpulan, penggunaan, dan penyimpanan informasi pelanggan. Banyak negara bagian juga memiliki peraturannya sendiri, beberapa di antaranya lebih ketat daripada undang-undang federal. Dan itu menjadi lebih kompleks ketika bisnis Anda melintasi batas negara.

Untuk mendapatkan perspektif tentang betapa rumitnya suatu proses, pikirkan tentang layanan berbasis cloud, yang pada dasarnya tidak bergantung pada lokasi geografis. Apa artinya secara hukum? Apakah peraturan mengenai data yang disimpan di layanan cloud tersebut berlaku berdasarkan di mana perusahaan berkantor pusat, di mana ia memiliki lokasi fisik, di mana pelanggan tinggal, atau di mana server dengan semua datanya disimpan? Atau semua yang di atas?

Ini adalah salah satu area di mana penting untuk mendapatkan panduan profesional, baik dari pengacara atau pakar kebijakan digital. Ada terlalu banyak barang bergerak untuk membawa risiko sebanyak itu sendiri.

Pertanyaan untuk ditanyakan:

Persiapkan pertemuan awal Anda dengan seorang profesional dengan mencatat sebanyak mungkin fakta dan pertanyaan relevan yang dapat Anda temukan, seperti:

• Bagaimana kita mengetahui peraturan mana yang harus kita patuhi? Misalnya, bagaimana jika kita tidak memiliki kantor atau server di suatu negara tertentu, tetapi kita memiliki pengguna yang tinggal di sana? Bagaimana jika kita memiliki server bersama di suatu negara tetapi tidak menjalankan bisnis lain di sana?
• Seberapa sering peraturan ini berubah, dan apa cara terbaik untuk mengikuti perubahan ini dan memasukkannya ke dalam kebijakan digital kami?
• Apa hukuman untuk pelanggaran pertama di yurisdiksi tertentu?
• Bagaimana kita bisa yakin bahwa kita tidak melanggar undang-undang privasi data negara mana pun?
• Apa saja praktik terbaik yang telah diidentifikasi oleh perusahaan lain?

Pemantauan dan respons insiden

Memiliki kebijakan digital yang baik tidak akan serta merta menghentikan terjadinya pelanggaran, tetapi akan sangat membantu dalam mengurangi kerusakan. Sangat penting untuk memiliki rencana tanggap krisis yang mencakup segala hal mulai dari penemuan pelanggaran hingga mengomunikasikan situasi tersebut kepada pelanggan Anda (serta kepada lembaga hukum terkait). Kebijakan Anda harus mengidentifikasi orang yang bertanggung jawab untuk setiap langkah dari rencana respons dan mencakup evaluasi ulang yang sering untuk memastikan setiap orang masih dalam pekerjaan yang sama dan tahu apa yang harus dilakukan.

Pertanyaan untuk ditanyakan:

• Bagaimana kita menyadari adanya pelanggaran? Apakah kita memiliki sistem yang segera memberi tahu kita ketika aktivitas tidak biasa terdeteksi, atau apakah kita hanya mengetahuinya saat kita dalam mode krisis?
• Apa yang kami lakukan untuk menghentikan serangan setelah terdeteksi? Apakah orang yang bertanggung jawab untuk meredam serangan memiliki keterampilan, pelatihan, dan alat yang tepat?
• Siapa di dalam perusahaan yang perlu diberi tahu, dan bagaimana urutannya? Jika serangan terdeteksi selama jam-jam semalam, apakah bisa menunggu hingga pagi, atau adakah orang yang perlu segera disiagakan?
• Jika serangan cukup parah hingga menyebabkan penghentian pekerjaan, apakah kita memiliki rencana cadangan? Apakah semua orang tahu apa itu dan bagaimana cara meluncurkannya?
• Regulasi apa yang berlaku? Otoritas mana yang harus diberi tahu, dan tugas siapa melakukan itu?
• Tanggung jawab siapa untuk berbicara dengan media?
• Tindakan apa yang perlu kami lakukan atas nama pelanggan (seperti memberi tahu mereka bahwa data mereka mungkin telah disusupi)?

Resiko eksternal

Seperti halnya bisnis saat ini, risiko tidak hanya ada di dalam tembok Anda sendiri. Pihak ketiga mana pun yang memiliki akses ke salah satu jaringan Anda merupakan sumber potensial pelanggaran. Penting untuk memikirkan naik turun rantai pasokan Anda, dan di seluruh jaringan mitra Anda untuk memastikan Anda tidak secara tidak sengaja membuat kebijakan yang untuk semua tujuan praktis tidak benar-benar melindungi Anda.

Pertanyaan untuk ditanyakan:

• Pihak mana yang memiliki akses ke sistem kami (vendor, mitra outsourcing, konsultan, dukungan IT yang dialihdayakan, produk SaaS, dll.)? Kebijakan digital dan protokol keamanan apa yang mereka miliki?
• Apakah kebijakan mitra eksternal cukup jauh? Atau ada pertanyaan penting yang belum terjawab?
• Apakah perusahaan mengikuti kebijakan digital atau hanya sekedar basa-basi?
• Dalam kasus pelanggaran yang berasal - sengaja atau tidak - melalui penyedia pihak ketiga, siapa yang bertanggung jawab? Rencana tanggapan siapa yang diutamakan? Siapa yang bertanggung jawab atas denda dan kompensasi pelanggan, jika relevan?
• Apakah jawaban atas pertanyaan keamanan data dijabarkan dalam kontrak kita?

Pengembangan kebijakan

Mengumpulkan data adalah langkah pertama. Mendapatkan dukungan untuk membuat kebijakan digital dan otoritas untuk menerapkannya adalah langkah berikutnya. Biasanya, proses ini bekerja paling baik dengan tim lintas fungsi sehingga semua kepentingan dapat diwakili.

Pertanyaan untuk ditanyakan:

• Siapa pemangku kepentingan kami? Siapa yang akan terpengaruh oleh kebijakan ini?
• Kepentingan yang bertentangan apa yang harus dikelola (seperti hukum vs. pemasaran)?
• Apakah kita memiliki semua yang perlu kita ketahui untuk menyusun kebijakan yang baik? Apakah ada orang yang lupa kami masukkan?
• Apa yang bisa salah, dan apa yang bisa kita lakukan untuk mencegahnya?

Ubah manajemen

Hanya sedikit orang yang menyukai perubahan, dan bahkan lebih sedikit orang yang menyukai perubahan yang tampaknya acak dan tidak perlu. Itu bahkan lebih benar ketika perubahan itu membuat proses menjadi lebih sulit dan memakan waktu. Menjual “mengapa” kebijakan digital sangat penting untuk mengatasi resistensi.

Pertanyaan untuk ditanyakan:

• Bisakah kita secara jelas dan konsisten mengartikulasikan pentingnya memiliki kebijakan digital? (Petunjuk: Karyawan kemungkinan tidak akan menerima "karena pengacara kami mengatakan demikian" sebagai alasan yang memaksa.)
• Pekerjaan siapa yang terpengaruh oleh perubahan ini, dan dengan cara apa? Apa yang dapat kita lakukan untuk mengimbangi dampak negatif yang tidak diinginkan?
• Apa yang mungkin dilihat karyawan sebagai kelemahan dari kebijakan digital, dan manfaat apa yang dapat kita komunikasikan untuk melawan persepsi itu?

Implementasi rencana

Di sinilah banyak kebijakan digital yang salah: Perusahaan berhenti tepat sebelum garis finis. Tetapi kebijakan yang tidak pernah diterapkan dengan benar - atau diabaikan secara universal - lebih berisiko daripada tidak memiliki kebijakan. Itu karena kebijakan memberikan bukti terdokumentasi bahwa perusahaan Anda menyadari risikonya.

Pertanyaan untuk ditanyakan:

• Di mana kebijakan itu berlaku? Bagaimana karyawan tahu di mana menemukannya saat mereka membutuhkannya? Apakah mereka memiliki akses langsung, atau apakah mereka perlu meminta otorisasi untuk mengakses file?
• Apakah polis tersebut mudah digunakan? Apakah ada daftar isi yang dapat digunakan karyawan untuk langsung menuju ke bagian yang sesuai? Apakah dapat dicari?
• Siapa yang dapat membuat perubahan pada dokumen, dan apakah orang-orang tanpa izin untuk mengubahnya secara teknis dicegah untuk melakukannya?
• Bagaimana kami dapat membuat kebijakan lebih mudah digunakan? Bisakah kami memberi karyawan daftar periksa atau wizard? Bisakah kita memasukkannya ke dalam proses bisnis kita sehingga banyak kepatuhan terjadi di belakang layar? Bagaimana kami dapat memudahkan karyawan untuk mematuhi kebijakan dan sulit untuk melanggarnya?

Mengikuti

"Memiliki kebijakan digital" bukanlah sesuatu yang dapat Anda hapus dari daftar tugas Anda. Ini adalah proses berkelanjutan yang harus ditinjau kembali selama bertahun-tahun karena manusia, proses, dan teknologi berubah.

Pertanyaan untuk ditanyakan:

• Bagaimana cara memastikan kebijakan digital kami digunakan? Bagaimana kami dapat melacak kepatuhan?
• Tindakan korektif apa yang kami ambil jika kebijakan tersebut dilanggar (disengaja atau tidak)?
• Bagaimana kami memastikan kebijakan kami mengikuti perubahan keadaan dan ancaman baru?

Kesimpulan

Jika saya memiliki satu keinginan untuk perusahaan yang berjuang dengan kebijakan digital mereka, itu adalah melihat situasinya secara holistik. Anggap saja seperti menjadi orang tua: Kami tidak mempersiapkan anak-anak kami untuk taman kanak-kanak dan kemudian memberi selamat kepada diri kami sendiri atas pekerjaan yang dilakukan dengan baik. Membesarkan anak adalah proses yang berkembang, yang mencakup segala hal mulai dari nutrisi hingga olahraga hingga pendidikan hingga karakter - dan terkadang, pada akhirnya, hingga mengasuh cucu. Meskipun Anda mungkin tidak merasakan semangat yang sama untuk kebijakan digital Anda seperti yang Anda rasakan untuk anak-anak Anda, keduanya membutuhkan pengawasan, pengasuhan, dan pengasuhan.

Mendaftarlah untuk buletin elektronik Strategi Konten mingguan kami , yang menampilkan cerita dan wawasan eksklusif dari Kepala Penasihat Konten CMI Robert Rose. Jika Anda seperti banyak pemasar lain yang kami temui, Anda akan datang untuk membaca pemikirannya setiap hari Sabtu.

Gambar sampul oleh Skeeze via pixabay.com