por Amy Yeung, Consejera General y Directora de Privacidad, Lotame
¿Qué tienen en común un vendedor, un editor y un abogado? Todos hemos asistido a Ramp Up 2020 de LiveRamp en San Francisco hace unas semanas. Hablé en el Innovation Studio con el Director de Seguridad de la Información de LiveRamp, Frank Caserta para explorar cómo las organizaciones pueden rastrear y gestionar los datos sensibles en todos los departamentos para mitigar las amenazas a la seguridad o los riesgos para la reputación.
Hace unos años, si se iniciaba una conversación sobre la "privacidad de los datos", se recibían algunas miradas confusas y respuestas vagas. Recientemente hemos visto el cambio tectónico en la forma en que la gente percibe la privacidad de los datos-tanto a nivel profesional como personal. A medida que aumentan las nuevas y cambiantes leyes de privacidad (sin juego de palabras), los consumidores están empezando a comprender la importancia de sus datos, mientras que las organizaciones están entrando en un período en el que necesitan entender cómo la organización puede gestionar los datos con la rápida sucesión de la regulación de datos.
No es de extrañar que la incertidumbre y los retos en torno a la privacidad y la seguridad estén en el punto de mira de todo el sector. Pero un tema común que he visto en RampUp y en mis conversaciones con colegas, es cómo las empresas están cumpliendo y preparándose para las regulaciones nacionales, regionales e incluso hiper-locales en su industria.
Está claro que necesitamos un cambio en toda la industria para prosperar, seguir siendo competitivos y ofrecer lo que los consumidores realmente quieren y necesitan. Basándome en las conversaciones que mantuve con los asistentes y en lo que he observado, he aquí tres conclusiones sobre la privacidad en RampUp 2020.
1) Privacidad y seguridad por diseño
El GDPR enseñó a nuestra industria una dura lección: tenemos que trabajar juntos para hacer lo correcto para todos los implicados: las empresas y los consumidores. La privacidad y la seguridad por diseño comienzan por adelantado y deben incluir a los equipos de dirección. Al adoptar este enfoque y convertirlo en el núcleo de todos los equipos, una empresa puede reconocer plenamente las necesidades de la organización y los riesgos de la empresa. Llegar a cero riesgos es imposible (y poco práctico), pero es importante encontrar una estrategia que equilibre la innovación empresarial y construya un vocabulario saludable de consideraciones de cumplimiento.
Hoy en día, las empresas no tienen que modificar todo su proceso legal actual para ponerlo en marcha. Más bien, todas las partes interesadas clave, desde el departamento jurídico y de seguridad hasta el de ingeniería, pasando por el de marketing y el de producto, deberían sentarse a la mesa para debatir cómo están trabajando con los datos sensibles y los retos internos y externos actuales hasta la fecha. Esto permite a los equipos de seguridad y privacidad de datos incorporar las orientaciones y los requisitos normativos durante el desarrollo del producto, en lugar de al final, lo que puede frenar la necesidad de realizar modificaciones importantes y de "última hora".
Las consecuencias de que los equipos incumplan una no es sólo una multa monetaria, sino que la reputación de la marca y el deterioro de la relación comercial están en juego. Un estudio de Ping Identify mostró que el 81% de los encuestados dejaría de relacionarse con una marca en línea tras una infracción y el 25% dejaría de interactuar en absoluto. Vaya.
Al pensar en crear una mentalidad y una práctica de privacidad por diseño, considere
- ¿Qué tipo de datos necesita? ¿Qué datos se están ingiriendo pero no se utilizan (lo que cuesta a su empresa costes adicionales de almacenamiento, codificación y mantenimiento)?
- Cómo podría utilizar los datos; ¿cómo puede alinear los equipos para maximizar el conjunto de datos a utilizar?
- ¿Dónde y durante cuánto tiempo los almacenará; puede ajustar los plazos y el uso cuando la vida media de los datos no merezca la pena la carga de costes adicionales para su empresa?
- ¿Qué valor obtendrá de sus datos?
Todo lo anterior es fundamental. La formación de los equipos para que comprendan el panorama normativo de referencia es la primera línea de defensa. La detección de problemas puede mitigar las filtraciones involuntarias, la mezcla de datos o los incumplimientos contractuales de los compromisos acordados.
2) Controles de diseño operativo
A medida que el aumento de los controles técnicos y la sólida supervisión del cumplimiento son cada vez más importantes, los controles de diseño operativo serán la vanguardia para proteger a las empresas de estos fallos en los procesos. Dado que los equipos de toda la empresa interactúan con los datos de los clientes, es imperativo comprender cómo se accede a esa información, cómo se comparte y cómo se utiliza en toda la organización para mitigar el riesgo. Dado que una violación de datos puede costar a una organización una media de 3,92 millones de dólares, es muy importante hacerlo bien..
Las violaciones de la seguridad pueden producirse de dos maneras: por un error operativo o por una acción malintencionada. El error humano fue la causa del 60% de las 4856 violaciones de datos personales comunicadas a la Oficina del Comisionado de Información (ICO) en el primer semestre de 2019. Los controles operativos que se solapan con otros procesos dentro de la empresa también pueden ser una técnica para minimizar las lagunas e incoherencias y mitigar de otro modo los errores operativos.
Tome su sistema de CRM (gestión de las relaciones con los clientes). ¿Cuántos equipos pueden entrar en contacto? Las ventas, el éxito de los clientes, el soporte, el marketing y el riesgo empresarial/cumplimiento de normativas podrían tener acceso a los datos de CRM donde residen los datos de sus clientes, utilizando esos datos de diferentes maneras. Además, los sistemas de CRM se integran en diferentes aplicaciones y plataformas, por lo que hay todo un nuevo subconjunto de usuarios que tienen acceso a ellos. Esto puede plantear problemas si no se tiene visibilidad sobre quién tiene acceso o si se hace un seguimiento porque ahora no es una correlación directa.
En promedio, una organización tiene 16 productos martech en su pila, 20 si son B2B. El número de personas que acceden a los datos y los utilizan puede multiplicarse intensamente; aun así, los empleados que tienen acceso a los datos pueden enviarlos en un correo electrónico sin cifrar o compartirlos en un documento no protegido por contraseña.
Cuando se aplican la privacidad y la seguridad por diseño, el control del diseño operativo puede identificar el impacto y reducir los errores operativos. Las infracciones no siempre están causadas por malos actores, a menudo son consecuencia de errores técnicos u operativos internos, así que pregúntese:
- ¿Es posible que no se preste suficiente atención a la prevención de la difusión accidental de datos sensibles?
- ¿Qué tipo de estrategias o programas pueden mitigar estos casos?
La privacidad y la seguridad por diseño son una base fundamental para las empresas que interactúan con información sensible de los clientes. El control del diseño operativo ayuda a garantizar que los procesos funcionen sin problemas para responder adecuadamente. En particular, se trata de un proceso iterativo: a medida que cambian los procesos y la normativa, los flujos de datos y los controles evolucionan y deben adaptarse a las necesidades de los equipos.
3) El riesgo para la privacidad y la seguridad afecta a todos
El sector está experimentando la rápida aparición de nuevas normas de privacidad y seguridad en un ecosistema cada vez más complejo. Los datos de los clientes se crean con tanta rapidez que nuestra infraestructura está siendo puesta a prueba. Estamos llegando a un punto en el que las nuevas leyes, y las que aún no se han aprobado, no están a la altura de la tecnología que se utiliza para hacer fluir los datos a través del panorama empresarial.
Tradicionalmente, la respuesta a los incidentes se coordina estrechamente entre las partes interesadas pertinentes, como la seguridad, la privacidad, el departamento jurídico y la TI; sin embargo, las partes interesadas de otras organizaciones, como el marketing o el éxito de los clientes, deben participar para que sepan cómo responder, comunicar y encauzar correctamente las solicitudes. Tal vez este sea un punto de vista común para algunas organizaciones, pero incluso a raíz del coronavirus, vuelvo a recordar que no todas las organizaciones tienen la ventaja de contar con listas estructuradas de equipos "a los que acudir".
Con la aparición de nuevas leyes de privacidad y la responsabilidad legal asociada a ellas, el riesgo de privacidad y seguridad está aumentando en todo el ecosistema de datos. Hoy en día, las organizaciones deben entablar un diálogo con el sector para equilibrar los riesgos con el valor de una economía impulsada por los datos. Si necesita más urgencia el 83% de los usuarios de Internet de todo el mundo están preocupados por su privacidad. Pero sólo preocupación no es suficiente.
Es necesario que haya una solución industrial abierta sobre cómo se pueden aplicar tecnológicamente las prácticas de datos para ayudar:
- Crear un conjunto de expectativas estándar para todas las empresas del ecosistema, o al menos el reconocimiento de una norma para los consumidores
- Proporcionar transparencia al consumidor. Aplicar la transparencia y la coherencia organizativa para capacitar a los empleados en el cumplimiento de la privacidad de los datos.
Teniendo en cuenta todo esto, la formación en materia de seguridad, la reevaluación de las políticas internas y la creación de procesos interdepartamentales pueden ser los primeros pasos que pueden dar las organizaciones. eMarketer ha elaborado una lista de comprobación para empezar a pensar en las medidas que su organización puede tomar hoy mismo.
Después de la charla, tuve la oportunidad de continuar la conversación en una entrevista de vídeo con Jon Watts de Beet.TV sobre por qué, como industria, necesitamos un marco abierto después de las galletas.
Este tema seguirá siendo relevante en todo el ecosistema de datos y las empresas de hoy en día necesitan comprometerse entre sí. Me interesa conocer tu experiencia y cómo se está preparando tu organización. Envíeme una nota en Twitter.