Müşteri Verileri - ve Şirketiniz Nasıl Korunur?
Yayınlanan: 2020-12-22 Muhtemelen çoğumuz, banka güvenlik görevlisinin bir soygun sırasında boşta beklediği, onun sadece izlemek için orada olduğunu, engellemek için orada olduğunu açıkladığı reklamı görmüşüzdür. İşletmeler için dijital bütünlüğü bir seferde tek bir parça yerine bütünsel olarak düşünmenin ne kadar önemli olduğunun güzel bir örneğidir.
Çevrimiçi varlığınız, şirketinizin dünyaya gösterdiği yüzdür. Bu senin kimliğin. Ve müşterilere, herhangi bir iş stratejisi kadar güvenilirliğiniz ve dürüstlüğünüz hakkında bilgi verir. Müşteriler, içeriğinize ve arkasında ne olduğuna güvenebileceklerini - bunun ne anlama geldiğini, tutarlı olduğunu, doğru olduğunu ve sizin yanında olduğunuzu - bilmek ister. Ve sizinle paylaştıkları bilgileri nasıl koruyacağınızı bilmek istiyorlar.
@Kpodnar, çevrimiçi varlığınız müşterilere herhangi bir iş stratejisi kadar güvenilirliğiniz hakkında bilgi verir diyor. Tweet İçin TıklayınDijital bir politika geliştirmek, zaman ve para harcanacak şeyler listenizin başında yer almasa da, bir politikaya sahip olmamanın sonuçları korkutucu olduğu için gerçekten olmalı.
Dijital bütünlük neden önemlidir?
En çok manşeti yakalayan sorun bu olduğundan, veri ihlalleri ile başlayalım. Adli tıp ve para cezalarından davalara ve kaybedilen zamana kadar, ihlalle ilgili masraflar hızla artar. Ve bu sadece başlangıç.
Örneğin, dağıtılmış bir hizmet reddi (DDoS) saldırısı, bir süreliğine iş yapmanıza engel olabilir. Saldırı sitenizin yükleme süresini yavaşlatırsa, müşterileriniz sizinle iş yapmayabilir. Araştırmalar, tüm müşterilerin neredeyse yarısının bir sayfanın yüklenmesi için üç saniyeden fazla beklemeyeceğini gösteriyor. Bir rakibe tıklarlar ve çoğu geri gelmez.
Sonra genel bir güven eksikliği var. Siz kendi dijital güvenliğinizle bile ilgilenmediğiniz halde müşterilerin size işlerinde nasıl güvenmesi gerekiyor?
Kişisel verilerini koruyamıyorsanız, aboneleriniz işlerinde size nasıl güvenebilir? @kpodnar Tweet İçin TıklayınÇevrimiçi bütünlüğünüz, hedef kitlenin kişisel bilgilerini korumaktan çok daha fazlasıdır (bu da önemli olsa da). Günlük iş süreçlerinize dahil edilmiş çok yönlü, bütünsel bir dijital politika gerektirir.
Bunun ne anlama geldiğine bakalım.
Bütünsel bir dijital politikanın bileşenleri
Veri toplama
Veriler söz konusu olduğunda markalar yavaş ama emin adımlarla daha çoktur zihniyetini benimsedi. Ne kadar çok veri noktası olursa o kadar iyidir, değil mi? Gerçek mekanda faaliyet gösteren mağazalarda bile isim, adres, telefon numarası, e-posta ve hatta belki de doğum günü sorulmadan satın almak zordur. Ve tabii ki, işletmeniz pazar segmentasyonu ve analitiği açısından bu bilgilerle çok şey yapabilir.
Ancak… Hedef kitlenizden ne kadar çok veri toplarsanız, siz ve onlar - bir ihlalle karşılaştığınızda o kadar çok kaybedersiniz. İş açısından ifade etmek için bir risk-fayda analizi yapmanız gerekir. Topladığınız tüm verileri gerçekten kullanıyorsanız - ve yatırım getirisi riske değerse - sorun değil. Ancak, yalnızca yapabildiğiniz için veri topluyorsanız, riskler hızla faydalarından daha ağır basar. Verileri yalnızca işletmeniz için kritik olduğunda toplayın.
@Kpodnar, verileri yalnızca işletmeniz için kritik olduğunda toplayın diyor. Tweet İçin TıklayınSorulacak sorular:
- Müşterilerimizden hangi bilgileri topluyoruz? Onu nerede tutuyoruz? Nasıl güvence altına alıyoruz?
- Verileri (pazarlama, ürün geliştirme vb.) Kim ister? Onunla ne yapacaklar? Şirketimizdeki diğer kişiler, aynı bilgileri faydaları artırmak ve riski değerli kılmak için kullanabilir mi?
- Müşterilerimizden gerçekten hangi bilgileri toplamamız gerekiyor ve buna neden ihtiyacımız var?
- Her bir veri noktası iş modelimizi nasıl geliştirir veya destekler?
Veri depolama
Çok fazla veri toplamanın doğal sonucu, bu verileri saklama ihtiyacıdır. Ve saklanan veriler bir sorumluluktur. Yıllardır bağlantı kurmadığınız insanlardan e-posta adresleri tutmanız ve geçmişlerini satın almanız gerçekten gerekiyor mu? Müşteri verilerini toplama, "Bir gün işe yarayabilir." En güvenli çözüm, yalnızca işiniz için kritik öneme sahip olduğu kadar veri depolamaktır.
Şu şekilde düşünmek yardımcı olabilir: Bir ihlaliniz olduğunu ve kişisel verileri çalınan bir müşteriyle yüz yüze görüştüğünüzü hayal edin. Müşterinin gözlerinin içine bakıp her veri noktasına olan ihtiyacınızı açıklarken ne kadar rahat olurdunuz?
Sorulacak sorular:
- Hangi verileri saklıyoruz? Her veri noktası için bir iş gerekçesi var mı?
- Verilerimizi nerede saklıyoruz? Buna kimin erişimi var? Hangi güvenlik önlemleri uygulanmaktadır?
- Verileri saklamanın riskleri nelerdir? Veriler, kişisel olarak tanımlanabilecek yeterli noktayı içeriyor mu? Öyleyse, müşterilerimize karşı ne gibi bir yükümlülüğümüz var?
- Birden fazla veri noktasını saklamamız gerekirse, onları ne kadar süreyle saklamamız gerekir? (Örneğin, bir deneme süresinin bitiminden sonra bir müşterinin e-posta adresini ve diğer bilgilerini saklamamız gerekir mi?) Bunu gerçekleştirmek için hangi işlemleri kullanabiliriz? Veriler belirli bir süre sonra otomatik olarak mı silinmeli yoksa bir insan incelemesi süreci mi olmalı?
- Hassas verileri depolayan sunucular, sunucularımızdan daha az güvenli ağlarda mı? Veya birisi hassas verilere daha az güvenli bir cihaza girerek erişebilir mi?
Düzenleme gereksinimleri
Küresel bir ekonomide faaliyet göstermenin en büyük zorluklarından biri, geçerli kural ve düzenlemelere göre sıralama yapmaktır. Örneğin Amerika Birleşik Devletleri, müşteri bilgilerinin toplanması, kullanılması ve saklanmasını düzenleyen yasalara sahiptir. Pek çok eyaletin, bazıları federal kanunlardan daha katı olan kendi düzenlemeleri de vardır. Ve işletmeniz ulusal sınırları aştığında daha da karmaşık hale gelir.
Bir sürecin ne kadar karmaşık olabileceğine dair bir bakış açısı kazanmak için, doğası gereği coğrafi konumdan bağımsız olan bulut tabanlı hizmetleri düşünün. Bu yasal olarak ne anlama geliyor? Bu bulut hizmetinde tutulan verilere ilişkin düzenlemeler, şirketin genel merkezinin bulunduğu yere, fiziksel konumlarının bulunduğu yere, müşterilerin nerede yaşadığına veya tüm verilerin bulunduğu sunucuların nerede depolandığına göre geçerli mi? Veya yukarıdakilerin tümü?
Bu, bir avukattan veya bir dijital politika uzmanından profesyonel rehberlik almanın kritik olduğu bir alandır. Kendiniz bu kadar risk taşımak için çok fazla hareketli parça var.
Sorulacak sorular:
Bir uzmanla ilk toplantınıza, aklınıza gelebilecek kadar çok ilgili olguyu ve soruyu not alarak hazırlanın, örneğin:
- Hangi düzenlemelere uymamız gerektiğini nasıl anlarız? Örneğin, belirli bir ülkede ne ofisimiz ne de sunucularımız yoksa ama orada yaşayan kullanıcılarımız varsa? Ya bir ülkede paylaşılan bir sunucumuz varsa, ancak orada başka bir iş yapmıyorsak?
- Bu düzenlemeler ne sıklıkla değişiyor ve bu değişikliklere ayak uydurmanın ve bunları dijital politikamıza dahil etmenin en iyi yolu nedir?
- Herhangi bir yargı alanında ilk ihlalin cezaları nelerdir?
- Herhangi bir ülkenin veri gizliliği yasalarını ihlal etmediğimizden nasıl emin olabiliriz?
- Diğer şirketlerin belirlediği en iyi uygulamalardan bazıları nelerdir?
Olay izleme ve müdahale
İyi bir dijital politikaya sahip olmak, bir ihlalin olmasını zorunlu olarak durdurmayacaktır, ancak zararları hafifletmek için uzun bir yol kat edecektir. Bir ihlalin keşfedilmesinden durumu müşterilerinize (ve ilgili yasal kurumlara) iletmeye kadar her şeyi içeren bir kriz müdahale planına sahip olmak önemlidir. Politikanız, müdahale planının her adımından sorumlu kişiyi belirlemeli ve her bir kişinin hala aynı işte olduğundan ve ne yapacağını bildiğinden emin olmak için sık sık yeniden değerlendirmeyi içermelidir.
Bir kriz müdahale planı, bir veri ihlali meydana gelirse hedef kitlenize nasıl bildirimde bulunacağınızı ayrıntılarıyla anlatıyor. Tweet İçin TıklayınSorulacak sorular:
- Bir ihlalden nasıl haberdar oluruz? Olağandışı bir aktivite tespit edildiğinde bizi hemen bilgilendiren sistemlerimiz var mı, yoksa sadece kriz modundayken mi fark edeceğiz?
- Bir saldırıyı tespit ettikten sonra durdurmak için ne yapacağız? Bir saldırıyı hafifletmekten sorumlu kişiler uygun becerilere, eğitime ve araçlara sahip mi?
- Şirket içinde kime ve hangi sırayla bildirilmesi gerekiyor? Gece saatlerinde bir saldırı tespit edilirse sabaha kadar bekleyebilir mi, yoksa hemen uyarılması gereken kişiler var mı?
- Bir saldırı işin durmasına neden olacak kadar ciddiyse, yerinde bir yedekleme planımız var mı? Herkes bunun ne olduğunu ve nasıl başlatılacağını biliyor mu?
- Hangi düzenlemeler geçerlidir? Hangi yetkililere haber verilmelidir ve bunu yapmak kimin görevi?
- Medyayla konuşmak kimin sorumluluğudur?
- Müşteriler adına hangi eylemleri gerçekleştirmemiz gerekiyor (örneğin, verilerinin ele geçirilmiş olabileceğini onlara bildirmek gibi)?
Dış riskler
Günümüzde işletmeler ne kadar birbirine bağlıysa, riskler sadece kendi duvarlarınızda yok. Ağlarınızdan herhangi birine erişimi olan herhangi bir üçüncü taraf, potansiyel bir ihlal kaynağıdır. Tüm pratik amaçlar için sizi gerçekten korumayan bir politika oluşturmadığınızdan emin olmak için tedarik zincirinizi yukarı ve aşağı düşünmek ve ortak ağlarınız boyunca düşünmek önemlidir.
Sorulacak sorular:
- Sistemimize hangi tarafların erişimi var (satıcılar, dış kaynak ortakları, danışmanlar, dış kaynaklı BT desteği, SaaS ürünleri, vb.)? Hangi dijital politikalar ve güvenlik protokolleri var?
- Dış ortağın politikası yeterince ileri gidiyor mu? Yoksa önemli sorular cevapsız kaldı mı?
- Şirket dijital politikayı takip ediyor mu yoksa sadece söz mü veriyor?
- Kasıtlı veya kasıtsız olarak üçüncü taraf bir sağlayıcı aracılığıyla ortaya çıkan bir ihlal durumunda, kim sorumludur? Kimin müdahale planı önceliklidir? Para cezalarından ve müşteri tazminatından kim sorumlu?
- Sözleşmelerimizde belirtilen veri güvenliği sorularının cevapları var mı?
Politika geliştirme
Veri toplamak ilk adımdır. Bir dijital politika oluşturmak için satın alma ve bunu uygulama yetkisi bir sonraki adımdır. Genellikle bu süreç, tüm çıkarların temsil edilebilmesi için çapraz işlevli bir ekiple en iyi şekilde çalışır.
Sorulacak sorular:
- Paydaşlarımız kimler? Bu politikadan kimler etkilenecek?
- Hangi çıkar çatışmaları yönetilmelidir (örneğin, yasal veya pazarlama)?
- İyi bir politika oluşturmak için bilmemiz gereken her şeye sahip miyiz? Dahil etmeyi unuttuğumuz biri var mı?
- Ne ters gidebilir ve bunu önlemek için ne yapabiliriz?
Yönetimi değiştir
Çok az insan değişimi sever ve daha da az insan değişimden hoşlanır ki bu rastgele ve gereksizdir. Bu değişiklik bir süreci daha zor ve zaman alıcı hale getirdiğinde bu daha da doğrudur. Dijital bir politikanın "nedenini" satmak, direnişin üstesinden gelmek için çok önemlidir.
Sorulacak sorular:
- Dijital bir politikaya sahip olmanın önemini açık ve tutarlı bir şekilde ifade edebilir miyiz? (İpucu: Çalışanların "avukatlarımız öyle söylediğini" zorlayıcı bir neden olarak kabul etme olasılığı düşüktür.)
- Bu değişikliklerden kimin işleri etkileniyor ve hangi şekillerde? İstenmeyen olumsuz etkileri dengelemek için ne yapabiliriz?
- Çalışanlar bir dijital politikanın dezavantajları olarak neler görebilir ve bu algıya karşı koymak için ne gibi faydalar sağlayabiliriz?
Uygulama planı
Birçok dijital politikanın yanlış gittiği yer burasıdır: Şirketler bitiş çizgisinden hemen önce durur. Ancak hiçbir zaman doğru bir şekilde uygulanmayan veya evrensel olarak göz ardı edilmeyen bir politika, bir politikaya sahip olmamaktan daha risklidir. Bunun nedeni, bir politikanın, şirketinizin risklerin farkında olduğuna dair belgelenmiş kanıt sağlamasıdır.
Şirketler bitiş çizgisinden önce durduğunda veri güvenliği planları yanlış gidiyor (doğru uygulama). @kpodnar Tweet İçin TıklayınSorulacak sorular:
- Politika nerede yaşıyor? Çalışanlar ihtiyaç duyduklarında onu nerede bulacaklarını nasıl biliyorlar? Hemen erişimleri var mı yoksa dosyalara erişmek için yetki istemeleri gerekiyor mu?
- Politikanın kullanımı kolay mı? Bir çalışanın doğrudan uygun bölüme gitmek için kullanabileceği bir içindekiler tablosu var mı? Aranabilir mi?
- Belgede kimler değişiklik yapabilir ve belgeyi değiştirme yetkisi olmayan kişilerin bunu yapması teknik olarak engellenir mi?
- Politikanın kullanımını nasıl kolaylaştırabiliriz? Çalışanlara bir kontrol listesi veya sihirbaz sağlayabilir miyiz? Uyumun çoğunun perde arkasında gerçekleşmesi için bunu iş süreçlerimize dahil edebilir miyiz? Çalışanların politikaya uymasını ve onu ihlal etmesini nasıl kolaylaştırabiliriz?
Takip et
"Dijital bir politikaya sahip olmak", yapılacaklar listenizi çizebileceğiniz bir şey değildir. Yıllar içinde insanlar, süreçler ve teknolojiler değiştikçe tekrar gözden geçirilmesi gereken devam eden bir süreçtir.
Sorulacak sorular:
- Dijital politikamızın kullanıldığından nasıl emin olabiliriz? Uyumluluğu nasıl takip edebiliriz?
- Politika ihlal ediliyorsa (kasıtlı olarak veya kasıtlı olarak) ne tür düzeltici önlemleri alıyoruz?
- Politikamızın değişen koşullara ve yeni tehditlere ayak uydurmasını nasıl sağlayabiliriz?
Sonuç
Dijital politikalarıyla mücadele eden şirketler için tek bir dileğim olsaydı, duruma bütüncül bir şekilde bakmak olurdu. Bunu bir ebeveynlik gibi düşünün: Çocuklarımızı anaokuluna hazırlamıyoruz ve sonra iyi yapılmış bir iş için kendimizi tebrik etmiyoruz. Çocuk yetiştirmek, beslenmeden egzersize, eğitime, karaktere ve bazen de torunlara bakıcılık yapmaya kadar her şeyi içeren, gelişen bir süreçtir. Çocuklarınız için yaptığınız gibi dijital politikanız için aynı tutkuyu hissetmeyebilirsiniz, ancak her ikisi de gözetim, özen ve bakım gerektirir.
CMI Baş İçerik Danışmanı Robert Rose'un özel hikayelerini ve görüşlerini içeren haftalık Pazarlamacılar için İçerik Stratejisi e-bültenimize kaydolun . Tanıştığımız diğer birçok pazarlamacı gibiyseniz, her Cumartesi onun düşüncelerini okumak için sabırsızlanacaksınız.
Kapak resmi, Skeeze tarafından Pixabay.com aracılığıyla