I dag kan den blotte trussel om et brud knuse din virksomhed. Det Twitter whistleblower saga viser, at kunder efter mange års ligegyldighed er følsomme over for selv rygter om datalæk. For et par år siden kunne PR-teams papir på et lille brud, og kunderne ville acceptere det. For et årti siden skabte massive databrud overskrifter, men kunderne blev hos leverandøren, fordi de troede, at lynet ikke kunne slå ned to gange.
Tiderne har dog ændret sig, så hvordan kan du beskytte dig selv ... og endda gøre privatliv og sikkerhed til en fordel? De virksomheder, der vinder, vil tage små skridt, gennemsigtighed og de rigtige partnere.
Ex-Twitter Exec Blows the Whistle
Twitter-whistleblower-historien vil ændre, hvordan nyhedsindustrien rapporterer om sikkerhed og privatliv fremover. Ligesom ransomware blev mainstream med Colonial Pipeline-hacket, historier om sikkerhed og privatliv vil blive mainstream-nyheder. Selvom din virksomhed ikke er så højt profileret som Twitter, er sluserne åbnet.
Desuden viser Twitter-historien, at du ikke behøver at blive brudt for at komme med nyhederne. Tidligere sikkerhedschef på Twitter Peiter Zatko (alias Mudge) skabte overskrifter med sine bekymringer om Twitters sikkerheds- og privatlivspolitikker og udførelse. Mens der har været velkendte Twitter-hacks, handler Zatkos mest kraftfulde kritik om Twitters sikkerhedstilstand. I hans næsten 200 sider lange rapport til føderale tilsynsmyndigheder og justitsministeriet er de mest alvorlige påstande, at Twitter gav almindelige medarbejdere adgang til centrale kontroller og følsomme oplysninger uden tilstrækkeligt tilsyn.
Det er ligegyldigt, om anklagerne er sande
Hvis en journalist spurgte: "Hvem har adgang til dine data", kunne du svare? Vil du svare? Du vil blive dømt i den offentlige meningsdomstol, før du kan forsvare din sikkerhedsstilling. Jeg har ingen intern information om Twitter-sagen, men det er ligegyldigt, om den viser sig at have grove brud på standardsikkerhedsprotokoller. Der vil være et stort kontingent, der allerede antager, at denne information er sand.
Efter så mange højt profilerede brud (Target, Adobe, Yahoo og flere) anses virksomheder for skyldige, indtil det er bevist, at de er uskyldige. Desværre er det næsten umuligt at bevise uskyld, da du ikke kan bevise fraværet af et brud. Desuden, selvom du kunne, når du kunne bevise, at du ikke er blevet brudt, er nyhedsmaskinen allerede gået videre. Man kan ikke reagere hurtigt nok til at modvirke rygterne.
Hvorfor er kunderne så følsomme over for privatlivets fred?
Alle ved, at virksomheder indsamler enorme mængder af personlige data. At klikke på de GDPR-inspirerede "Spor mine oplysninger"-knapper kan være en refleks, men vi forstår, at vi altid bliver sporet. Kunder accepterer, at deres leverandører opbevarer deres personlige data, men de forventer, at virksomheden beskytter deres oplysninger.
Desværre retter cyberkriminelle sig mod personlige kundeoplysninger. Identitetstyveri, spam, phishing, ransomware og andet angreb er ikke kun teoretiske. Alle kender nogen, der er blevet ramt.
Med flere data og flere trusler er hver kunde følsom over for brud. Virksomhedsdatabrud fører til bøder, beskadiget omdømme og tab af kundetillid. Virksomheder er desperate efter at sikre deres data, fordi det er forskellen mellem overlevelse og fiasko.
Sådan beskytter du dig selv: Gennemsigtighed
Den eneste måde at overleve på er at være gennemsigtig omkring din datahåndtering. De fleste organisationer tøver med at tale om sikkerhed og privatliv, fordi de ved, at der er en kløft mellem, hvad de laver, og hvad de burde gøre, men alle er i samme position. Derfor vil den, der træder ind i lyset, straks tage føringen.
Når du gør dig selv offentlig ansvarlig, bør du:
- Lav en konkret, opnåelig plan. Fokuser på de mest forretningskritiske data og risikoområder. Lav en kort- og langsigtet plan, så dit interne team og eksterne kunder køber ind.
- Opret regelmæssige offentlige anmeldelser. De fleste organisationer gennemgår deres sikkerheds- og privatlivsstilling med ledere og bestyrelsen. Kør den samme anmeldelse med hele virksomheden, så medarbejderne kan deltage og se, at du interesserer dig for missionen.
- Bliv certificeret. Eksterne revisorer og certificeringer viser, at du er villig til at holde dig selv til en høj standard, og at du ikke skjuler noget. Ingen kan lide at blive revideret, men det holder dig ærlig.
Husk, du er aldrig færdig
Trusler og forventninger bliver ved med at udvikle sig, så du skal også blive ved med at skrue op for din sikkerhedsplan. Da de fleste virksomheder ikke vil give dig et ubegrænset budget, bliver du nødt til at planlægge, hvordan du kan gøre mere med mindre
- Offload arbejde: Du behøver ikke gøre alt arbejdet på egen hånd. Dagene med "Gør det selv"-sikkerhed er forbi. Hvis du kan få en service til at dække det grundlæggende, kan du fokusere dit team på forretningsspecifikke sikkerheds- og privatlivsinitiativer.
- Brug opsparing til at finansiere initiativer: De fleste teams søger at presse leverandører til bedre rabatter, ikke at opdatere aktiver eller overanstrenge deres team. Smarte teams leder efter holistiske besparelser. For eksempel bør fremskridt inden for sikkerhed og privatliv reducere cyberforsikringspræmier.
- Gem færre data: De fleste virksomheder ønsker at gemme alle deres data, beskeder og e-mails for evigt. Ikke alene er denne tilgang dyr, men den skaber også næsten ubegrænsede juridiske risici og privatlivsrisici. Du skal hjælpe dine virksomhedsteams med at forstå værdien af at reducere opbevaringsperioder.
Start i dag
Den bedste måde at begynde at beskytte din virksomheds omdømme på er med en enkelt opgave. Vælg ét datasæt – en virksomhedskritisk applikation, dit CRM-system eller dine sikkerhedskopier. Find ud af, hvem der har adgang til dem. Lav en plan for at gøre dem mere sikre. Del derefter den plan med dine kolleger og hold dig selv ansvarlig.
Twitters sikkerhedsproblemer dækker nyhederne. Hvornår selv et rygte kan ødelægge din virksomhed, er det ikke tid til at vente på konsulenter og fokusgrupper. Nu er det tid til at gøre din del af verden en lille smule bedre, hver dag. Giv et lys over, hvordan du beskytter dine data, og dine kunder vil stole på dig.
