GDPR是今年被过度使用最多的术语之一,在谷歌的搜索兴趣中甚至超过了Beyoncé。
Office 365 for Business -点击这里了解更多信息
的确,GDPR带来了挑战,现在违反隐私意味着可能面临高达全球营业额4%的罚款。
然而,这也标志着商界向更加重视客户隐私、并从所持有的数据中获得更大价值迈出了积极的一步。
但现在GDPR的最后期限已经过去,数据保护是什么样子的?企业如何利用这次改革为自己服务?
往好的方面想
最近的一项研究发现,GDPR将使英国公司持有的高达75%的客户数据“无用”。这种规模的数据库消耗可能看起来是灾难性的,但多年来,企业浪费时间和金钱与那些从未(也永远不会)接触他们品牌的人沟通。
事实是,在任何涉及监管改革的情况下,总会有赢家和输家。要成为赢家,你必须接受GDPR提供的机会,以更新关键业务功能,并获得超过竞争对手的优势。
“数据排毒”早就该开始了,只剩下高质量的线索和重新定义客户关系管理.反过来,这将简化对数据主体访问请求的遵从,并降低数据存储、备份和安全等基础设施成本。
公众从未如此意识到数据保护的权利,也从未对他们所接触的公司抱有如此高的期望。证明你认真对待他们的隐私和安全,将使你在转变和更怀疑的客户之间建立信任。
获得所有权
此前,数据保护立法只关注“拥有”数据的公司,而不是有权访问数据的第三方的行为。
然而,根据GDPR,许多控制者担心,他们可能会因为数据处理者未能进行尽职调查而遭遇的违规行为而面临无限责任。
一个明显的例子是Facebook在剑桥分析(Cambridge Analytica)丑闻中的角色。ICO采取了严厉措施,对该平台处以50万英镑的罚款,这是旧数据保护法规定的最高罚款。
Facebook的处罚相当轻。如果泄露发生在5月25日之后th在美国,他们本可以付出更大的代价:在其2017年400亿美元的全球营收中,有4%是令人咂舌的16亿美元罚款。
为了防止责任损害并将风险降至最低,您需要绘制出您负责的数据在供应链中的位置,以及您的合作伙伴如何使用这些数据。
对于旧合同和新合同,检查你是否承担了与供应商给你带来的风险相适应的勤勉程度。数据处理者应将数据泄露通知您,并提供必要的支持以有效响应。
有必要清楚地概述共享的数据是什么,可以用来做什么,可以保存多长时间,以及合同结束后会发生什么。这将帮助您在最坏的情况发生时通知ICO您已采取的合规步骤。
这是对体制的(文化)冲击
周围有很多压力GDPR合规在美国,未来几个月高管们可能还会在床上辗转反侧。
当安全漏洞成为头条新闻时,它们往往与其他国家的邪恶行为有关,或者是技术的灾难性失败。然而,根据卡巴斯基的数据,在45%的企业中,员工隐藏安全事件,不知情或粗心的员工是入侵的主要原因之一,仅次于恶意软件。
事实是,无论泄露的规模或范围有多大,通常都是由公司内部人员的行为或失败引起的。
提出新的业务实践和安全控制来支持数据隐私可能会很困难。如果用户认为所做的更改具有太大的破坏性,而他们的经理不积极支持这些更改,那么危险的是员工会主动逃避使用这些更改。
但是,如果您的安全文化是积极的,基于教育方法而不是从上到下的限制性方法,结果很快就会很明显。
一套标准化的操作控制有助于维护遵从性。添加其他组织的最佳实践,并按季度评估合规性。确保所有在现场和远程工作的员工都了解任何更新的协议,以保持强大的防御和促进问责制。
定期由专家主持的培训班是必须的;尝试IAPP课程,可以在线或亲自参加。测试你的员工如何运用他们的技能是一个很好的实践网络安全知识。
还有一个问题是,如何在不断变化的网络威胁形势中保持领先地位,因为GDPR要求您保持与风险相适应的安全级别。一方面,攻击正在进化得更加智能,另一方面,社会工程等技术继续利用人们的信任本性来自愿获取机密信息。
针对用户凭证的电子邮件网络钓鱼卷土重来,这种技术对攻击者的技巧要求不高。
今天许多组织遭遇的商业电子邮件泄露(BEC)攻击可以归因于与十年前常见的419诈骗/预付款诈骗类似的威胁行为。这些攻击很少是先进的或有针对性的攻击,但它们产生了巨大的收入——联邦调查局最近报告称,自2013年10月以来,全球损失超过125亿美元。
GDPR为企业提供了一个真正的机会不会过时的他们的流程,公平地将数据变现,并与供应商、合作伙伴和客户建立忠诚的关系。
马克·奥弗顿是Softcat.