Não há dúvidas de que os dados são a força vital de qualquer negócio - mas sua organização está prestando atenção suficiente a quais informações estão sendo coletadas e como são armazenadas??

O que é marketing até?

É da natureza humana querer coletar o máximo de informação possível. Isso é especialmente verdadeiro nos departamentos de marketing, que geralmente coletam dados "apenas no caso" de serem valiosos no futuro. Na realidade, a maioria das PMEs tem pouco ou nenhum uso para grande parte das informações do cliente que arquivam. Este "vício em dados" das SMB está contra a Lei de Proteção de Dados, que exige uma declaração clara de intenção e escopo para a coleta de Informações de Identificação Pessoal (PII)..

Mesmo quando os profissionais de marketing coletam informações para dar suporte a uma campanha ou serviço específico, muitos usam terceiros para coletar dados de clientes em seu nome com pouca ou nenhuma consideração dada à conformidade ou ao armazenamento seguro de dados. Isso se destaca em contraste com as equipes jurídicas ou de TI, que normalmente são muito mais conscientes dos regulamentos de dados.

No entanto, as desconexões entre os departamentos significam que, com muita frequência, as SMBs permanecem aparentemente alheias às regulamentações sobre como os dados confidenciais devem ser gerenciados..

SMBs na linha de fogo

Embora os bancos sejam o alvo tradicional dos cibercriminosos, as pequenas e médias empresas estão cada vez mais na linha de fogo, já que os hackers insistem no fato de que costumam armazenar informações pessoais semelhantes, mas sem medidas de segurança tão robustas. À medida que os bancos aprimoram suas capacidades de segurança e se tornam alvos mais difíceis, as pequenas e médias empresas estão reunindo mais PII do que nunca, tornando-as a escolha perfeita para ataques cibernéticos.

Essas preocupações são ainda mais prementes, dada a absorção dramática de armazenamento em nuvem pelas pequenas e médias empresas. Muitas empresas escolhem uma solução de nuvem com base apenas na economia de custos, sem considerar onde a nuvem está fisicamente localizada, seja pública ou privada, como a segregação de dados será gerenciada, que testes são executados para garantir a segurança e como o acesso remoto está sendo supervisionado e seguro.

Escusado será dizer que uma violação de dados pode perturbar o business-as-usual, danificar as receitas e destruir a reputação - mas os riscos não são simplesmente dos hackers. A recente multa de £ 200.000 cobrada contra o Serviço Britânico de Aconselhamento sobre a Gravidez (BPAS) demonstra que todas as pequenas e médias empresas precisam levar a sério a proteção de dados. No caso do BPAS, o Information Commissioner's Office (ICO) descobriu que a instituição de caridade não sabia que seu site estava armazenando dados pessoais - não estava garantido e uma vulnerabilidade no código do site permitia que um hacker acessasse o sistema e desviasse o sistema. a informação altamente sensível.

É hora de agir

Se as SMBs tiverem que pagar para armazenar dados com base em sua sensibilidade (ou seja, quanto mais confidenciais forem os dados, mais caro será armazenar), eles podem ser impedidos de coletar as informações dos clientes para seu próprio benefício. No entanto, como é improvável que isso aconteça em breve, há algumas etapas que todas as pequenas e médias empresas devem tomar hoje para garantir que estejam protegendo as informações dos clientes..

Em um nível básico, todas as pequenas e médias empresas devem ter um gerente ou equipe de segurança dedicada, definir políticas e padrões para lidar com os dados do cliente e educar os funcionários sobre a necessidade de tratar os dados dos clientes com cuidado de maneira contínua. As organizações podem se proteger, implementando uma ou mais das seguintes etapas:

  • Definir processos claros que vinculem a coleta de dados do cliente ao envolvimento com os departamentos de segurança e jurídico
  • Realizar avaliações de risco em quaisquer terceiros que coletem dados de PII em seu nome
  • Execute testes de penetração regulares para verificar seu perímetro de segurança e a segurança de sites e bancos de dados nos quais as PII são armazenadas
  • Definir requisitos de segurança claros durante o desenvolvimento e lançamento de novas soluções
  • Revise regularmente os dados de PII que estão sendo armazenados e exclua qualquer informação que não seja necessária ou imprecisa para reduzir sua exposição ao risco.
  • Crie um documento de classificação de dados de alto nível para definir o tipo de informação que sua empresa espera manipular, como ele é sensível e como deve ser gerenciado

Ao implementar essas etapas, sua organização pode garantir que esteja fazendo o melhor uso possível dos dados do cliente, sem o receio de que possa estar armazenando problemas para o futuro.

  • Carl Shallow é chefe de conformidade da SecureData