I dag kan bare trusselen om et brudd knuse virksomheten din. De Twitter-varslersaga viser at kunder etter år med likegyldighet er følsomme overfor rykter om datalekkasjer. For noen år siden kunne PR-team dokumentere et lite brudd, og kundene ville akseptere det. For et tiår siden skapte massive datainnbrudd overskrifter, men kunder ble hos leverandøren fordi de trodde at lynet ikke kunne slå ned to ganger.
Tidene har imidlertid endret seg, så hvordan kan du beskytte deg selv ... og til og med gjøre personvern og sikkerhet til en fordel? Selskapene som vinner vil omfavne små skritt, åpenhet og de riktige partnerne.
Ex-Twitter Exec Blows the Whistle
Twitter-varslerens historie vil endre hvordan nyhetsbransjen rapporterer om sikkerhet og personvern fremover. Akkurat som løsepengevare ble mainstream med Colonial Pipeline-hacket, sikkerhets- og personvernhistorier kommer til å bli mainstream-nyheter. Selv om bedriften din ikke er like profilert som Twitter, har slusene åpnet seg.
Videre viser Twitter-historien at du ikke trenger å bli krenket for å komme med nyhetene. Tidligere sikkerhetssjef på Twitter Peiter Zatko (aka Mudge) skapte overskrifter med sine bekymringer om Twitters sikkerhets- og personvernregler og utførelse. Mens det har vært kjente Twitter-hacks, handler Zatkos kraftigste kritikk om Twitters sikkerhetstilstand. I hans nesten 200 sider lange rapport til føderale reguleringsbyråer og justisdepartementet er de mest alvorlige påstandene at Twitter ga vanlige ansatte tilgang til sentrale kontroller og sensitiv informasjon uten tilstrekkelig tilsyn.
Det spiller ingen rolle om anklagene er sanne
Hvis en reporter spurte «Hvem har tilgang til dataene dine», kunne du svare? Vil du svare? Du vil bli dømt i opinionsdomstolen før du kan forsvare din sikkerhetsstilling. Jeg har ingen innsideinformasjon om Twitter-saken, men det spiller ingen rolle om den viser seg å ha grove brudd på standard sikkerhetsprotokoller. Det vil være en stor kontingent som allerede antar at denne informasjonen er sann.
Etter så mange høyprofilerte brudd (Target, Adobe, Yahoo og flere), anses selskaper som skyldige inntil uskyldig er bevist. Dessverre er det nesten umulig å bevise uskyld siden du ikke kan bevise fraværet av et brudd. Videre, selv om du kunne, når du kunne bevise at du ikke har blitt brutt, har nyhetsmaskinen allerede gått videre. Du kan ikke reagere raskt nok til å motvirke ryktene.
Hvorfor er kunder så følsomme for personvern?
Alle vet at selskaper samler inn enorme mengder personopplysninger. Å klikke på de GDPR-inspirerte «Spor min informasjon»-knappene kan være en refleks, men vi forstår at vi alltid blir sporet. Kunder aksepterer at leverandørene deres vil beholde deres personlige data, men de forventer at selskapet beskytter informasjonen deres.
Dessverre er nettkriminelle målrettet mot personlig kundeinformasjon. Identitetstyveri, spam, phishing, løsepengevare og annet Angrep er ikke bare teoretiske. Alle kjenner noen som har blitt rammet.
Med mer data og flere trusler er hver kunde følsom for brudd. Bedriftsdatabrudd fører til bøter, skadet omdømme og tap av kundetillit. Bedrifter er desperate etter å sikre dataene sine fordi det er forskjellen mellom overlevelse og fiasko.
Slik beskytter du deg selv: Åpenhet
Den eneste måten å overleve på er å være åpen om databehandlingen din. De fleste organisasjoner er nølende med å snakke om sikkerhet og personvern fordi de vet at det er en kløft mellom det de gjør og det de burde gjøre, men alle er i samme posisjon. Derfor vil den som går inn i lyset umiddelbart ta ledelsen.
Når du gjør deg selv offentlig ansvarlig, bør du:
- Lag en konkret, oppnåelig plan. Fokuser på de mest forretningskritiske dataene og risikoområdene. Lag en kort- og langsiktig plan, slik at ditt interne team og eksterne kunder kjøper seg inn.
- Sett opp vanlige offentlige anmeldelser. De fleste organisasjoner vurderer sin sikkerhet og personvernstilling med ledere og styret. Kjør den samme gjennomgangen med hele selskapet slik at ansatte kan delta og se at du bryr deg om oppdraget.
- Bli sertifisert. Eksterne revisorer og sertifiseringer viser at du er villig til å holde deg selv til en høy standard og at du ikke skjuler noe. Ingen liker å bli revidert, men det holder deg ærlig.
Husk at du aldri er ferdig
Trusler og forventninger fortsetter å utvikle seg, så du må fortsette å øke sikkerhetsplanen din også. Siden de fleste selskaper ikke vil gi deg et ubegrenset budsjett, må du planlegge for hvordan du kan gjøre mer med mindre
- Avlastningsarbeid: Du trenger ikke gjøre alt arbeidet på egen hånd. Dagene med "Gjør det selv"-sikkerhet er forbi. Hvis du kan få en tjeneste som dekker det grunnleggende, kan du fokusere teamet ditt på forretningsspesifikke sikkerhets- og personverninitiativer.
- Bruk sparepenger til å finansiere tiltak: De fleste team ser etter å presse leverandører for bedre rabatter, ikke oppdatere eiendeler eller overarbeide teamet deres. Smarte team ser etter helhetlige besparelser. For eksempel bør fremskritt innen sikkerhet og personvern redusere cyberforsikringspremiene.
- Lagre mindre data: De fleste bedrifter ønsker å lagre alle data, meldinger og e-poster for alltid. Ikke bare er denne tilnærmingen dyr, men den skaper også nesten ubegrensede juridiske og personvernrisikoer. Du må hjelpe bedriftsteamene dine med å forstå verdien av å redusere oppbevaringsperioder.
Start i dag
Den beste måten å begynne å beskytte bedriftens omdømme på er med ett enkelt oppdrag. Velg ett datasett – en forretningskritisk applikasjon, CRM-systemet eller sikkerhetskopiene dine. Finn ut hvem som har tilgang til dem. Lag en plan for å gjøre dem sikrere. Del deretter planen med kollegene dine og hold deg selv ansvarlig.
Twitters sikkerhetsproblemer dekker nyhetene. Når selv et rykte kan ødelegge virksomheten din, det er ikke tiden for å vente på konsulenter og fokusgrupper. Nå er tiden inne for å gjøre din del av verden litt bedre, hver dag. Sett et lys på hvordan du beskytter dataene dine, og kundene vil stole på deg.
