Как защитить клиентские данные: 8 шагов

Раньше на страже клиентских данных стоял всего один отдел компании, теперь их сохранность — дело каждого сотрудника, поскольку доступ к информации предоставлен практически всем, но в разной степени.

Почему важно заниматься этим вопросом

Когда речь заходит о защите конфиденциальных сведений, подразумевается обеспечение безопасности персональной идентифицирующей информации (PII). PII — это маркеры, присущие конкретному человеку: ФИО, паспортные данные, адрес проживания, контактные сведения (телефон, email, соцсети), IP-адрес, платежные реквизиты и социальный статус. Именно эти сведения следует тщательно защищать от случайных утечек.

Причем озадачиться данным вопросом должны не только крупные компании, но и самые маленькие, у которых есть какая-либо база данных клиентов. По иронии, самые зловредные нарушители в области работы с информацией — именно компании-конгломераты, такие как Yahoo, Amazon и Google. Однако осторожность в этом вопросе никому не помешает. 

С точки зрения законодательства несоблюдение требований по защите PII неминуемо приведет к штрафам. Законы разнятся в зависимости от сферы работы компании и территориальной принадлежности, они чаще всего привязываются к местоположению пользователя, а не агрегатора. Например, под действие GDPR, общего регламента защиты персональных данных для граждан ЕС, наверняка попадет любой цифровой бизнес.

С точки зрения репутационных рисков утечка сведений третьим лицам грозит потерей лояльности клиентов и утратой их доверия к компании. В лучшем случае бизнес «хлебнет» ведро негатива, получит массу отрицательных отзывов на всевозможных ресурсах и популярность в СМИ, а в худшем — получит судебный иск, возможно даже коллективный. 

С точки зрения организации внутренних бизнес-процессов компании невыгодно тратить лишнее время (а следовательно, деньги) на разбирательства инцидентов, связанных с утечкой данных о клиентах. Внутри бизнеса целесообразно выстроить систему по защите персональных сведений так, чтобы она надежно функционировала практически в автономном режиме и не отнимала драгоценное время сотрудников. Все, что должно быть конфиденциально — должно быть конфиденциально, остальное — в открытом доступе, без лишних подтверждений на ознакомление с информацией.

Во главе угла находятся два основных аспекта: конфиденциальность и безопасность. 

С конфиденциальностью попроще: предпринимайте действия по отношению к информации в соответствии с полученными на то разрешениями от пользователей, и контролируйте доступ к сведениям.

Чтобы обеспечить безопасность, нужно предусмотреть план действий по недопущению мошенников, хакеров и ненадежных сотрудников к конфиденциальной информации.

С чего начать разговор о безопасности данных пользователей

Перед тем как перейти к изучению составляющих безопасности персональных сведений, постарайтесь максимально честно ответить себе на следующие вопросы:

  • Достаточно ли хорошо вами изучены требования законодательства по обеспечению защиты конфиденциальных данных в сфере работы вашего бизнеса? Мало того, что требования законодательства разнятся в разных странах и в разных сферах, так еще законотворцы постоянно вносят изменения в свод правил, которые нужно соблюдать.
  • Ручаетесь ли вы за надежность третьих лиц, к услугам которых прибегаете? Вероятно, ваш бизнес функционирует с опорой на сторонние сервисы и службы. Помните, что если посредник нечестно распорядится клиентскими данными, которые вы ему предоставите, ответственность за случившееся все равно ляжет на вас. Поэтому пристально выбирайте компаньонов: хостинг, CDP, сервисы рассылок и прочее.

Если вы проанализировали свои ответы на вышестоящие вопросы и пришли к выводу, что беспокоиться не о чем, то пора переходить к конкретным шагам, которые вы можете предпринять для безопасности базы клиентских данных.

Восемь составляющих надежной защиты конфиденциальных данных

  1. Обозначьте риски. Хорошие стратегии защиты данных получаются на основании анализа рисков и угроз для бизнеса. Если подойти к вопросу комплексно и подробно описать все возможные угрозы, получится полноценный профиль рисков. Таким образом, компания будет иметь представление об опасностях, представлять свои слабые места, и в ее распоряжении появится время на разработку контрмер.
  2. Найдите специалиста по защите данных. Возможно, небольшая компания сочтет лишним принимать в штат DPO — специалиста по защите данных, но в любом случае такой человек не помешает. Для крупных корпораций нанять такого специалиста — священная обязанность. DPO отслеживает законодательство, занимается обучением и аудитом, а также тесно сотрудничает с регулирующими органами. С обращениями клиентов по вопросам безопасности данных на более высоком компетентном уровне разберется DPO.
  3. Храните информацию централизованно. Чем больше мест хранения информации, тем выше вероятность утечек. Кроме того, разрозненная информация плохо поддается обработке и анализу. Чаще всего такие данные не пригодны для эффективной работы с ними, зато легко выходят за рамки компании, попадают в несанкционированные приложения и исчезают из-под контроля. Проблему решает использование современных CDP — платформ клиентских данных, которые объединяют всю информацию в единые профили клиентов с доступом к ним ограниченному числу лиц. В CDP прослеживается история возникновения данных и все связанные с ними разрешения. Особенно это важно для бизнеса, попадающего под регулирование законами GDRP и CCPA.
  4. Руководствуйтесь принципами необходимости и достаточности. Собирайте только те данные, которые вам необходимы в рамках разработанных маркетинговых кампаний. Лишние сведения не только никак не помогут вам в достижении поставленных целей, но вскоре устареют, потеряют свою актуальность и станут непригодны для использования. А за их случайную утечку придется отвечать. С другой стороны полноценный массив информации становится лакомой добычей для хакеров и мошенников. Если данные не кажутся им привлекательными — за ними не будут охотиться.
  5. Разграничьте сотрудников, имеющих доступ к информации. Не каждому сотруднику в вашей компании нужен доступ к информации о клиентах для работы. Скажем даже: большинству он не нужен. Пусть сведения останутся в распоряжении только тех лиц, кто на самом деле нуждается в них для качественного выполнения рабочих обязанностей.
  6. Выберите надежное ПО. Большинство современной техники уже оснащено примитивными мерами борьбы с мошенниками. Не лишним будет убедиться, что встроенные антивирусы работают правильно. Надеяться только на них не стоит: как минимум, установите брандмауэр, используйте внешние ссылки и протестируйте ПО: отмечает ли оно подозрительные электронные письма.
  7. Разработайте план действий на случай ЧП. Сколь бы сильной не была ваша защита, мошенники однажды смогут прорвать оборону. Все предыдущие шаги были направлены на то, чтобы предупредить катастрофу: обозначить опасность, попробовать нивелировать ее совсем, или снизить негативные последствия. Если утечка все-таки произойдет, неплохо иметь под рукой рабочий план действий в аварийной ситуации. Как минимум вам нужен хороший внешний специалист для экспертной помощи.
  8. Проведите обучение сотрудников. Доступ к персональной информации нужен не всем сотрудникам, но заботиться о безопасности рабочих сведений — обязанность каждого. Пусть ваш персонал знает, как распознать мошенничество, владеет базовыми приемами защиты данных. В случае выявленных нарушений сотрудники незамедлительно должны сообщить компетентным службам. Пусть вопрос о безопасности будет включен в адаптационное обучение вновь прибывающих сотрудников. Не лишними будут периодические напоминания.

Заключение

Обеспечение сохранности конфиденциальных данных клиентов — первостепенная задача бизнеса. Значимость вопроса подтверждается как со стороны законодательства, так и репутационными аспектами. Собирайте только те данные, которые вам необходимы. Во-первых, пользователей напрягает, когда их спрашивают обо всех сферах жизни «как на допросе», а во-вторых, полные базы данных обладают высокой ценностью и притягивают мошенников и хакеров. Присмотритесь к другим способам защиты информации, описанным в данной статье, возможно какой-либо из них спасет ваш бизнес от неприятностей.

Читайте также:

Расскажите коллегам:
Комментарии
Оставлять комментарии могут только зарегистрированные пользователи
Статью прочитали
Обсуждение статей
Все комментарии
Дискуссии
Все дискуссии
HR-новости
Россияне назвали размер пенсии мечты

Среди жителей мегаполисов наиболее высокий уровень запросов в Москве и Санкт-Петербурге.

Каждый пятый россиянин хотел бы стать блогером

При этом более 80% россиян положительно относятся к деятельности блогеров.

Треть IT-сотрудниц считают реальной проблему карьерного развития женщин в сфере IT

Подавляющее большинство использовали свою гендерную принадлежность для продвижения по карьерной лестнице или решения рабочих вопросов.

Более половины россиян предпочтут премии корпоративам

При этом при наличии гарантии премирования 68% работников хотели бы отметить наступающий Новый год с коллегами.