Come proteggere i dati dei clienti e la tua azienda

La maggior parte di noi ha probabilmente visto quella pubblicità in cui la guardia di sicurezza della banca se ne sta a guardare durante una rapina, spiegando che è lì solo per monitorare, non per impedire. È un buon esempio di quanto sia importante per le aziende pensare all'integrità digitale in modo olistico piuttosto che un pezzo alla volta.

La tua presenza online è il volto che la tua azienda mostra al mondo. È la tua identità. E comunica ai clienti la tua credibilità e integrità quanto qualsiasi strategia aziendale. I clienti vogliono sapere che possono fidarsi dei tuoi contenuti e di cosa c'è dietro: che dicono cosa significa, che è coerente, che è accurato e che lo rispetti. E vogliono sapere come proteggerai le informazioni che condividono con te.

Sebbene lo sviluppo di una politica digitale possa non essere in cima alla tua lista di cose da spendere-tempo e denaro, dovrebbe davvero essere perché le conseguenze di non avere una politica sono spaventose.

Perché è importante l'integrità digitale?

Cominciamo con le violazioni dei dati poiché questo è il problema che cattura la maggior parte dei titoli. Dalle indagini legali e dalle multe alle cause legali e al tempo perso, le spese associate a una violazione si accumulano rapidamente. E questo è solo l'inizio.

Un attacco DDoS (Distributed Denial of Service), ad esempio, potrebbe impedirti di condurre affari per un po '. E se l'attacco rallenta il tempo di caricamento del tuo sito, i tuoi clienti potrebbero non fare affari con te. La ricerca mostra che quasi la metà di tutti i clienti non aspetterà più di tre secondi per il caricamento di una pagina. Fanno clic su un concorrente e molti non torneranno.

Poi c'è una generale mancanza di fiducia. In che modo i clienti dovrebbero fidarsi di te per la loro attività quando non ti prendi nemmeno cura della tua sicurezza digitale?

La tua integrità online è molto più che proteggere le informazioni personali del pubblico (sebbene anche questo sia importante). Richiede una politica digitale multiforme e olistica incorporata nei processi aziendali quotidiani.

Diamo un'occhiata a cosa significa.

Componenti di una politica digitale olistica

Raccolta dati

I marchi hanno adottato lentamente ma inesorabilmente una mentalità più è più quando si tratta di dati. Più punti dati, meglio è, giusto? Anche nei negozi fisici è difficile effettuare un acquisto senza che venga chiesto nome, indirizzo, numero di telefono, e-mail o forse anche compleanno. E, certo, la tua azienda può fare molto con queste informazioni in termini di segmentazione del mercato e analisi.

Ma ... più dati raccogli dal tuo pubblico, più tu - e loro - rischiate di perdere se subite una violazione. Per metterlo in termini di business, è necessario eseguire un'analisi del rapporto rischio-beneficio. Se stai veramente utilizzando tutti i dati che raccogli e il ritorno sull'investimento vale il rischio, allora va bene. Ma se raccogli dati solo perché puoi, i rischi superano rapidamente i benefici. Raccogli i dati solo quando sono fondamentali per la tua azienda.

Domande da porre:

• Quali informazioni raccogliamo dai nostri clienti? Dove lo teniamo? Come lo proteggiamo?
• Chi vuole i dati (marketing, sviluppo del prodotto, ecc.)? Cosa ne fanno? Altri all'interno della nostra azienda potrebbero utilizzare le stesse informazioni per aumentare i benefici, rendendo il rischio utile?
• Quali informazioni Abbiamo davvero bisogno di raccogliere dei nostri clienti, e perché ne abbiamo bisogno?
• In che modo ciascun punto dati migliora o supporta il nostro modello di business?

Archivio dati

Il risultato naturale della raccolta di molti dati è la necessità di archiviarli. E i dati memorizzati sono una responsabilità. Hai davvero bisogno di mantenere gli indirizzi e-mail e la cronologia degli acquisti di persone con cui non sei in contatto da anni? La raccolta dei dati dei clienti non è una situazione per "Beh, un giorno potrebbe tornare utile". Il rimedio più sicuro è memorizzare solo la quantità di dati critica per la tua azienda.

Potrebbe essere utile pensarla in questo modo: immagina di aver subito una violazione e di trovarti in un incontro faccia a faccia con un cliente i cui dati personali sono stati rubati. Quanto ti sentiresti a tuo agio nel guardare quel cliente negli occhi e spiegare la tua necessità per ogni punto dati?

Domande da porre:

• Quali dati conserviamo? Esiste una giustificazione aziendale per ogni punto dati?
• Dove archiviamo i nostri dati? Chi vi ha accesso? Quali misure di sicurezza sono in atto?
• Quali sono i rischi nel conservare i dati? I dati includono punti sufficienti per essere identificabili personalmente? In caso affermativo, quale obbligo abbiamo nei confronti dei nostri clienti?
• Se dobbiamo memorizzare più punti dati, per quanto tempo dobbiamo conservarli? (Ad esempio, dobbiamo conservare l'indirizzo email di un cliente e altre informazioni dopo la conclusione di un periodo di prova?) Quali processi possiamo utilizzare per farlo accadere? I dati dovrebbero essere cancellati automaticamente dopo un certo periodo di tempo o dovrebbe esserci un processo di revisione umana?
• I server che memorizzano i dati sensibili sono separati dai nostri server su reti meno sicure? O qualcuno potrebbe accedere a dati sensibili hackerando un dispositivo meno sicuro?

Requisiti normativi

Una delle sfide più difficili dell'operare in un'economia globale è selezionare le norme e i regolamenti applicabili. Gli Stati Uniti, ad esempio, hanno leggi che regolano la raccolta, l'uso e l'archiviazione delle informazioni sui clienti. Molti stati hanno anche le proprie normative, alcune delle quali sono più severe delle leggi federali. E diventa ancora più complesso quando la tua attività supera i confini nazionali.

Per avere una prospettiva su quanto possa essere complesso un processo, pensa ai servizi basati su cloud, che sono, per natura, indipendenti da una posizione geografica. Cosa significa legalmente? Le normative riguardanti i dati conservati in quel servizio cloud si applicano in base a dove ha sede l'azienda, dove ha sedi fisiche, dove risiedono i clienti o dove sono archiviati i server con tutti i dati? O tutto quanto sopra?

Questa è un'area in cui è fondamentale ottenere una guida professionale, sia da un avvocato che da un esperto di politiche digitali. Ci sono troppi pezzi in movimento per portare tu stesso questo rischio.

Domande da porre:

Preparati per il tuo primo incontro con un professionista annotando quanti più fatti e domande rilevanti puoi trovare, come ad esempio:

• Come facciamo a capire a quali regolamenti dobbiamo attenerci? Ad esempio, cosa succede se non abbiamo né uffici né server in un determinato paese, ma abbiamo utenti che vivono lì? Cosa succede se abbiamo un server condiviso in un paese ma non conduciamo altre attività lì?
• Con quale frequenza cambiano queste normative e qual è il modo migliore per stare al passo con questi cambiamenti e incorporarli nella nostra politica digitale?
• Quali sono le sanzioni per una prima violazione in una determinata giurisdizione?
• Come possiamo essere sicuri di non infrangere le leggi sulla privacy dei dati di nessun paese?
• Quali sono alcune best practice che altre società hanno identificato?

Monitoraggio e risposta agli incidenti

Avere una buona politica digitale non impedirà necessariamente che si verifichi una violazione, ma contribuirà notevolmente a mitigare i danni. È importante disporre di un piano di risposta alle crisi che includa tutto, dalla scoperta di una violazione alla comunicazione della situazione ai clienti (nonché a qualsiasi agenzia legale pertinente). La tua politica dovrebbe identificare la persona responsabile di ogni fase del piano di risposta e includere una rivalutazione frequente per assicurarsi che ogni persona svolga ancora lo stesso lavoro e sappia cosa fare.

Domande da porre:

• Come veniamo a conoscenza di una violazione? Abbiamo sistemi che ci avvisano immediatamente quando viene rilevata un'attività insolita o lo scopriamo solo quando siamo in modalità di crisi?
• Cosa facciamo per fermare un attacco una volta rilevato? Le persone responsabili della mitigazione di un attacco dispongono delle competenze, della formazione e degli strumenti adeguati?
• Chi all'interno dell'azienda deve essere informato e in quale ordine? Se viene rilevato un attacco durante le ore notturne, può aspettare fino al mattino o ci sono persone che devono essere allertate immediatamente?
• Se un attacco è abbastanza grave da causare l'interruzione del lavoro, disponiamo di un piano di riserva? Tutti sanno cos'è e come lanciarlo?
• Quali regolamenti si applicano? Quali autorità devono essere informate e di chi è il compito di farlo?
• Di chi è la responsabilità di parlare con i media?
• Quali azioni dobbiamo intraprendere per conto dei clienti (come notificare loro che i loro dati potrebbero essere stati compromessi)?

Rischi esterni

Per quanto le aziende siano interconnesse oggigiorno, i rischi non esistono solo all'interno delle proprie mura. Qualsiasi terza parte con accesso a una qualsiasi delle tue reti è una potenziale fonte di violazione. È importante pensare su e giù per la catena di approvvigionamento e attraverso le reti di partner per assicurarti di non creare involontariamente una politica che per tutti gli scopi pratici non ti protegge davvero.

Domande da porre:

• Quali parti hanno accesso al nostro sistema (fornitori, partner di outsourcing, consulenti, supporto IT in outsourcing, prodotti SaaS, ecc.)? Quali politiche digitali e protocolli di sicurezza hanno?
• La politica del partner esterno si spinge abbastanza lontano? O domande importanti sono rimaste senza risposta?
• L'azienda segue la politica digitale o si limita a esprimere a parole?
• In caso di violazione che ha origine, intenzionalmente o meno, tramite un fornitore di terze parti, chi è responsabile? Quale piano di risposta ha la precedenza? Chi è responsabile delle multe e del risarcimento del cliente, se pertinente?
• Le risposte alle domande sulla sicurezza dei dati sono enunciate nei nostri contratti?

Sviluppo delle politiche

La raccolta dei dati è il primo passo. Ottenere il consenso per creare una politica digitale e l'autorità per implementarla è il passo successivo. Di solito, questo processo funziona meglio con un team interfunzionale in modo che tutti gli interessi possano essere rappresentati.

Domande da porre:

• Chi sono i nostri stakeholder? Chi sarà interessato da questa politica?
• Quali interessi contrastanti devono essere gestiti (ad esempio legale o marketing)?
• Abbiamo tutto ciò che dobbiamo sapere per elaborare una buona politica? C'è qualcuno che abbiamo dimenticato di includere?
• Cosa potrebbe andare storto e cosa possiamo fare per prevenirlo?

Cambio gestione

Poche persone amano il cambiamento e ancora meno persone amano il cambiamento che sembra essere casuale e non necessario. Ciò è ancora più vero quando quel cambiamento rende un processo più difficile e richiede tempo. Vendere il "perché" di una politica digitale è fondamentale per superare la resistenza.

Domande da porre:

• Possiamo articolare in modo chiaro e coerente l'importanza di avere una politica digitale? (Suggerimento: è improbabile che i dipendenti accettino "perché i nostri avvocati lo hanno detto" come motivo convincente.)
• Quali posti di lavoro sono interessati da questi cambiamenti e in che modo? Cosa possiamo fare per compensare eventuali impatti negativi non intenzionali?
• Che cosa potrebbero considerare i dipendenti come svantaggi di una politica digitale e quali vantaggi possiamo comunicare per contrastare tale percezione?

Implementazione del piano

È qui che molte politiche digitali vanno male: le aziende si fermano proprio prima del traguardo. Ma una politica mai correttamente implementata - o universalmente ignorata - è più rischiosa che non avere una politica. Questo perché una politica fornisce una prova documentata che la tua azienda era consapevole dei rischi.

Domande da porre:

• Dove vive la polizza? Come fanno i dipendenti a sapere dove trovarlo quando ne hanno bisogno? Hanno accesso immediato o devono chiedere l'autorizzazione per accedere ai file?
• La polizza è facile da usare? Esiste un sommario che un dipendente può utilizzare per andare direttamente alla sezione appropriata? È ricercabile?
• Chi può apportare modifiche al documento e le persone senza l'autorizzazione a modificarlo sono tecnicamente impedite di farlo?
• Come possiamo rendere la politica più facile da usare? Possiamo fornire ai dipendenti una lista di controllo o una procedura guidata? Possiamo incorporarlo nei nostri processi aziendali in modo che gran parte della conformità avvenga dietro le quinte? Come possiamo rendere più facile per i dipendenti rispettare la politica e difficile violarla?

Azione supplementare

"Avere una politica digitale" non è qualcosa che puoi grattare dalla tua lista di cose da fare. È un processo continuo che deve essere rivisitato nel corso degli anni man mano che le persone, i processi e le tecnologie cambiano.

Domande da porre:

• Come possiamo assicurarci che la nostra politica digitale venga utilizzata? Come possiamo monitorare la conformità?
• Quale azione correttiva intraprendiamo se la politica viene violata (intenzionalmente o meno)?
• Come possiamo assicurarci che la nostra politica tenga il passo con le circostanze mutevoli e le nuove minacce?

Conclusione

Se avessi un desiderio per le aziende alle prese con le loro politiche digitali, sarebbe guardare la situazione in modo olistico. Pensala come genitorialità: non prepariamo i nostri figli all'asilo e poi ci congratuliamo con noi stessi per un lavoro ben fatto. Crescere un figlio è un processo in evoluzione, che include di tutto, dall'alimentazione all'esercizio fisico, dall'educazione al carattere e, talvolta, alla baby sitter dei nipoti. Anche se potresti non provare la stessa passione per la tua politica digitale che provi per i tuoi figli, entrambi richiedono supervisione, cura e educazione.

Iscriviti alla nostra newsletter elettronica settimanale sulla strategia dei contenuti per gli operatori di marketing , che presenta storie e approfondimenti esclusivi del consigliere per i contenuti di CMI Robert Rose. Se sei come tanti altri marketer che incontriamo, non vedrai l'ora di leggere i suoi pensieri ogni sabato.

Immagine di copertina di Skeeze via pixabay.com