在国家网络安全意识月(NCSAM)的第2周,人们的注意力集中在企业上,尤其是在这个违规的时代,企业更需要认真对待网络安全。对于他们来说,还有什么比思考如何安全地处理和存储客户的数据更好的开始方式呢?

如果你觉得这更像是隐私问题,那确实是。很多人应该意识到隐私和安全是紧密相连的。事实上,人们不可能在不改善安全的情况下改善隐私,反之亦然。

随着。的到来一般资料保障规例(GDPR)在不到9个月的时间里,美国大多数B2C和B2B企业在合规方面仍有很多工作要做。所以,没有太多的麻烦,让我们来看看为GDPR的方法做些什么准备的核心问题。

读:国家网络安全意识月:网络安全的简单步骤

  • 优先考虑。高级管理层必须为即将发生的变化做好准备。GDPR不是您的IT部门能够自行处理的。事实上,GDPR超越了IT的边界,并扩展到组织中的其他领域,如市场和销售。现在正是企业觉醒并迅速采取行动的时候,将网络安全和数据隐私放在他们的优先事项列表的首位。
  • 评估花点时间坐下来回顾一下您当前和目标客户群。这是一个关键阶段,因为结果将决定您的业务必须是否符合GDPR标准(尽管大部分美国企业都是小型企业,而且并非所有企业都面向欧洲和英国公民,即使有在线服务。)如果您的公司确实处理来自欧洲成员国公民的个人数据,请确定您当前传输、处理和存储的数据类型。此外,还要权衡所存储的每种数据类型的值。问问自己:“公司真的需要保留这些数据吗?这是否给公司带来了足够的价值?”如果两个答案都是否定的,那么最好还是把它扔掉。6月,广受欢迎的酒吧和酒店连锁店JD Wetherspoons决定删除客户电子邮件地址的完整数据库在评估他们不想再持有它们后,他们曾用它发送电子邮件时事通讯。相反,他们决定使用社交媒体通知客户交易和特价。以下是其他问题,以指导您进行评估:
    • 你如何从客户那里获得个人数据?(例如,公司网站上的表格)
    • 您在哪里存储客户的个人数据?(例如,个人电脑硬盘、云)
    • 如何保护存储的数据?
    • 客户端数据备份保存在哪里?(例如,可移动存储媒体)
    • 它们在当前流程或控制中是否存在差距?
  • 雇佣。拥有首席保护官(CPO)或数据保护官(DPO)可能至关重要,但并非所有控制或处理用户数据的组织都必须拥有DPO。GDPR明确要求当局(1)处理个人数据,(2)处理大量数据,(3)管理“特殊类别的个人数据”-遗传、生物特征和健康数据,仅举几个例子来雇用或任命DPO。其主要作用是确保公司始终遵守GDPR标准。没有时间或资源准备的组织可能会决定聘请第三方顾问来帮助他们,这也很好。
  • 计划。起草一份最适合你公司的数据保护和缓解计划。跟着模板走已经行不通了。必须定制计划,以解决或减少业务处理数据方式带来的风险。此外,有隐私政策的公司必须修改隐私政策,以涵盖欧盟和英国公民的延伸权利。为了指导你如何做到这一点,试着回答以下问题:
    • 如何保证存储的数据的安全?(例如,加密)
    • 您应该如何处理客户端删除其数据的请求?
    • 如何向客户提供数据?
    • 如何使客户端数据可移植?
    • 如果发生泄漏,您的事件响应应该是什么样子的?
  • 实现。既然你做了评估,聘请了一位顾问,回答了问题并围绕这些问题制定了计划,现在是时候把这些计划付诸行动了。开始备份文件,在您认为有必要的情况下对其进行加密,将敏感数据的访问权限仅限于特定的个人,对您的员工进行有关安全和隐私政策的培训,并确保您的所有供应链都已被告知并确认已接受更改。
  • 测试。如果您已经设想并起草了一个事件响应计划,那么您应该对其进行测试。看看您的组织中的相关团队如何处理基于新协议的假装违反,识别其中的优点和缺点,并做出必要的调整以删除或至少最小化后者。在进行更改之后,通过一次又一次的测试进一步细化术语。
  • 持之以恒开始是一回事,但保持你的计划是另一回事。企业必须通过进行持续的评估和流程改进,在长期内继续保持合规。这还包括定期培训员工,并继续坚持工作场所的安全和隐私文化。

GDPR的到来导致许多企业因恐惧和炒作而退缩。不幸的是,这也导致他们推迟了对其数据处理活动和安全性进行急需的改进。尽管有对违规行为的处罚,但这不应该成为公司必须经历上述痛苦的主要原因。这一切归结为企业通过保护数据更好地照顾客户。这不仅能培养客户忠诚度,还能让公司继续经营下去。