Подготовка к тому, как GDPR может быть полезен для бизнеса

Опубликовано: 2018-05-24

Конфиденциальность и защита данных - не просто модные слова. Это серьезные проблемы потребителей, которые вызваны растущим числом утечек данных и угроз кибербезопасности, которые затем ставят под угрозу личную информацию потребителей и подрывают доверие потребителей.

Согласно опросу RSA о конфиденциальности и безопасности данных, в котором приняли участие 7500 человек в пяти странах, потребители сообщают, что они уделяют больше внимания нарушениям безопасности в Интернете. И они привлекают компании к ответственности за кражу их информации.

Вот два основных вывода этого опроса:

  • 73 процента респондентов больше осведомлены об утечках данных, чем пять лет назад.
  • 62 процента заявили, что они сначала обвинят компанию, потерявшую их данные, чем хакеров.

Потребители повсеместно демонстрируют, что они все больше защищают свою цифровую конфиденциальность. Помните, что нарушение данных о потребителях не обязательно должно влечь за собой преднамеренную кражу или массовое нарушение частной информации. Когда третья сторона покупает список подписчиков электронной почты компании, а затем отправляет в этот список нежелательные электронные письма, это также может представлять собой нарушение данных.

Ни одно из этих действий не устраивает потребителей, и эти настроения потребителей вынуждают компании переосмыслить, как они защищают данные о потребителях в Интернете.

Эти настроения также заставляют правительства проявлять более активный подход к регулированию защиты информации потребителей. Некоторые правительства начинают принимать законы, которые дают потребителям больше прав собственности на свои данные, независимо от того, кто хранит эти данные.

Одним из таких правил является Общий регламент Европейского Союза о защите данных (GDPR), который вступает в силу 25 мая 2018 года. Этот стандарт защиты данных, предназначенный для расширения возможностей потребителей, чтобы они могли давать или отказывать в согласии относительно того, кто имеет доступ к их данным, представляет собой серьезные проблемы. для компаний электронной коммерции.

Но это вызов, который компании должны приветствовать как возможность наладить лучшие отношения с потребителями.

Если потребители с большей вероятностью обвинят компанию в утечке данных, они также могут с большей вероятностью похвалить компанию, которая работает с ними для защиты их данных. Поэтому организациям было бы разумно продемонстрировать, что они хотят защитить своих потребителей, быстро работая над соблюдением GDPR.

Сфера действия GDPR

Общее положение о защите данных стандартизирует законы о защите данных во всех 28 государствах-членах Европейского Союза. Ключевая цель постановления - обеспечить более последовательную защиту данных потребителей во всех странах ЕС.

GDPR - это всеобъемлющий регламент, содержащий более 200 страниц и более 90 статей. Нейт Лорд из Digital Guardian указывает некоторые ключевые требования GDPR, которые окажут значительное влияние на бизнес:

  • Согласие на обработку данных
  • Анонимные и прозрачные данные
  • Уведомления об утечке данных
  • Право на стирание
  • Офицеры по защите данных
  • Штрафы за несоблюдение

Как отмечает MarTech Today, в основе защиты GDPR лежат четкие и краткие процессы и коммуникации, которые осуществляются с явного и положительного согласия потребителей. С этой целью GDPR защищает любую информацию, которая может быть использована для прямой или косвенной идентификации личности. Это включает в себя основную идентифицирующую информацию, данные из Интернета, данные о здоровье, этнические данные и политические взгляды.

Чтобы соответствовать GDPR, компании должны осторожно обращаться с любыми данными, которые являются личными для потребителей, и предоставлять потребителям различные способы контроля, отслеживания и удаления их информации, если они того пожелают.

GDPR применяется к двум основным группам организаций:

  • Фирмы, расположенные в ЕС
  • Фирмы, расположенные за пределами ЕС, которые предлагают бесплатные или платные товары или услуги или которые следят за поведением жителей ЕС.

Таким образом, даже для базирующихся в США компаний электронной коммерции, которые продают в основном американским потребителям, такая простая вещь, как ретаргетинговая кампания AdWords, может считаться отслеживанием поведения жителей ЕС.

Таким образом, для компаний электронной коммерции, не входящих в ЕС, есть два варианта: получить соответствие GDPR или полностью потерять доступ к потребительскому рынку ЕС.

Второй вариант будет громоздким и недальновидным. Только подумайте, сколько работы потребуется, чтобы запретить гражданам ЕС совершать покупки в витринах на вашем сайте.

Вместо этого разумным шагом будет обеспечить соответствие GDPR - и, следовательно, удовлетворить потребности потребителей, которым вы продаете и продаете.

Почему GDPR хорош для электронной коммерции

Крис Лахири, соучредитель и директор по безопасности Egnyte, говорит, что GDPR дает потребителям значительно больший контроль над данными, которые они доверяют компаниям.

Ключевая идея здесь - «доверие»: GDPR намерен установить новые базовые правила для взаимоотношений между бизнесом и потребителем, и в этом новом ландшафте успех прямых продаж потребителю будет зависеть от способности розничного продавца продемонстрировать надежность. Как мы видели, почти две трети потребителей утверждают, что ответственность за защиту данных ложится на компанию, которая их собирает. Относясь к этой ответственности так серьезно, как того требует закон, интернет-магазины могут продемонстрировать потребителям свою надежность.

Опять же, GDPR - это не просто мера безопасности данных. Это прогрессивный закон, который заставляет компании уважать права потребителей из ЕС на владение их собственными данными. Этот закон, среди прочего, гласит, что гражданин ЕС имеет право не попадать в цель маркетинговых сообщений, не включившись предварительно в этот разговор.

В таких отраслях, как электронная коммерция, где лояльность потребителей необходимо завоевывать с течением времени, соблюдение права потребителя на неприкосновенность частной жизни - не просто хорошее дело.

Это фундаментальный элемент доверия.

Цифры в цифрах: экономическое обоснование того, чтобы проявлять инициативу в отношении соблюдения нормативных требований

Рабочая нагрузка на предприятия по обеспечению соответствия требованиям потенциально велика, в зависимости от текущих структур и процессов безопасности организации, а также от того, насколько они расходятся с GDPR. Соблюдение GDPR также может быть очень дорогостоящим для компаний. Согласно опросу Propeller Insights, проведенному в марте 2018 года, 36 процентов компаний планируют потратить от 50 000 до 100 000 долларов на усилия по соблюдению GDPR. Еще 24 процента потратят от 100 000 до 1 миллиона долларов.

Но эти денежные вложения могут померкнуть по сравнению с потерей бизнеса, если потребители потеряют доверие к организации. Защита их конфиденциальности в Интернете имеет первостепенное значение для потребителей, и они могут нанести вред компаниям, которые не делают достаточно для их защиты.

Прилагая усилия к соблюдению GDPR, организации могут превратить регулирование в разумные методы ведения бизнеса, которые они могут использовать для улучшения отношений с потребителями.

Кроме того, с точки зрения бизнеса, предварительное инвестирование времени и денег в соблюдение нормативных требований может сэкономить компании деньги в долгосрочной перспективе за счет предотвращения дорогостоящих нарушений. Согласно исследованию стоимости утечки данных за 2017 год, проведенному Ponemon Institute, средняя стоимость утечки данных составляет 3,62 миллиона долларов. Это значительная сумма денег, которую можно предотвратить.

Выполняя требования безопасности GDPR, компании могут потратить пятизначную сумму сейчас, чтобы избежать необходимости платить семизначную сумму позже.

Как подготовиться к соблюдению GDPR

Подготовка к GDPR зависит от организации, но вот несколько основных шагов, которые компании электронной коммерции могут предпринять, чтобы двигаться в правильном направлении.

1. Привлекайте к участию все заинтересованные стороны

Первое, что нужно сделать, - это создать рабочую группу GDPR, в которую войдут члены команды со всех уровней организации. Любая группа внутри компании, которая собирает, анализирует, обрабатывает или иным образом взаимодействует с данными потребителей, должна быть включена. Эти члены команды могут легко обмениваться любой информацией, которая может быть полезна для внесения необходимых изменений в соответствие с GDPR, а также справляться с последствиями для их соответствующих команд.

Чтобы мотивировать рабочую группу, Питер Бешар из Marsh & McLennan призывает компании задавать тон осознанности и безотлагательности на исполнительном уровне, который пронизывает всю организацию и подчеркивает важность соблюдения.

Персонализируйте регулирование для большего воздействия. Никто не хочет, чтобы их личная информация была скомпрометирована. Используйте этот угол, подчеркивая важность соблюдения. Сделав его индивидуальным, члены вашей команды лучше поймут ценность работы, которую необходимо выполнить, чтобы организация соответствовала требованиям.

GDPR обширен. Все заинтересованные стороны должны быть обучены требованиям GDPR, что включает в себя разработку учебных занятий, предоставление информационных ресурсов и регулярные консультации с сотрудниками, - объясняет Дэвид Лат, редактор-основатель Above the Law. Крайне важно, чтобы информация была представлена ​​таким образом, чтобы каждый мог понять и усвоить материалы, поэтому наглядные материалы, такие как плакаты и видео, могут стать отличным инструментом для объяснения тонкостей GDPR.

2. Внедрить инструмент SIEM.

GDPR требует, чтобы контроллеры отслеживали и регистрировали все действия по обработке в рамках их ответственности, и большинство организаций используют для этого инструмент управления информацией и событиями безопасности (SIEM), отмечает Джаввад Малик, защитник безопасности в компании по информационной безопасности AlienVault.

Инструмент SIEM собирает данные из сети аппаратных и программных систем и анализирует данные в режиме реального времени для корреляции событий и выявления аномалий или моделей поведения, которые могут указывать на нарушение безопасности, объясняет технологический писатель Пол Рубенс в отчете для eSecurity Planet. «Инструменты SIEM управляют журналами безопасности на различных устройствах, выявляя угрозы, предотвращая и обнаруживая нарушения, а также предоставляя судебные доказательства для определения того, как произошло событие безопасности и его потенциальные последствия», - отмечает Рубенс.

«Прежде чем внедрять инструмент SIEM, обязательно создайте инвентарь всех критических активов, которые имеют доступ к личной информации потребителей», - предлагает Малик. И не забудьте включить в инвентарь мобильные устройства. Опрос, проведенный компанией Lookout, Inc., занимающейся мобильной безопасностью, показывает, что 63 процента сотрудников предприятий получают доступ к данным о клиентах, партнерах и сотрудниках с мобильных устройств.

Знание этой информации гарантирует, что все необходимые системы включены для сбора данных системой SIEM.

3. Проведите оценку рисков.

В очень широком смысле правила GDPR требуют, чтобы компании применяли меры безопасности, соответствующие рискам, с которыми сталкиваются их системы. Правила намеренно не определяют риск, оставляя на усмотрение организации, как лучше всего подойти к риску и обеспечить соответствие GDPR.

Тщательная оценка рисков включает как выявление рисков, так и создание планов смягчения последствий для борьбы с этими выявленными рисками. Мэтт Миддлтон-Лил, генеральный менеджер компании Netwrix, занимающейся кибербезопасностью и соблюдением нормативных требований, по региону EMEA, предлагает несколько шагов для компаний в их усилиях по оценке рисков:

  • Просмотрите альтернативные стандарты соответствия для вдохновения (например, PCI, DSS).
  • Классифицируйте данные, чтобы все знали и понимали все точки данных и их конфиденциальность.
  • Определите конкретные риски и взвесьте их по соотношению риск / польза.
  • Оценивайте постоянно.

Лучше всего проконсультироваться со своим юридическим отделом на протяжении всего процесса соблюдения GDPR, но именно на этом этапе юридический отдел может быть важным партнером. Юридический отдел может помочь вам провести оценку рисков, помочь в текущем планировании и постоянном контроле за соблюдением вами нормативных требований.

4. Внедрите средства управления обнаружением угроз.

GDPR требует, чтобы компании сообщали о нарушениях безопасности в течение 72 часов. Чтобы удовлетворить этот спрос, организации должны иметь надлежащие средства управления обнаружением угроз, которые будут немедленно предупреждать о взломе. Элементы управления должны быть достаточными, чтобы дать ответ в течение этого небольшого промежутка времени.

Сара Пэн из компании по защите данных Imperva предлагает задать такие вопросы, как:

  • «Кто имеет доступ к данным?»
  • «Подходит ли доступ для пользователя?»
  • «Как добиться максимально быстрого реагирования на заболеваемость?»

Обнаружение угроз - это не постоянный процесс. Он требует постоянного мониторинга внутренних и внешних угроз, поэтому компаниям важно также настроить процессы для непрерывной оценки и иметь подробный план реагирования на инциденты. План реагирования должен быть сосредоточен на расследовании инцидента, чтобы определить источник и процесс его локализации.

Регулярно тестируя эти процессы и планы, компании могут лучше реагировать на угрозы и атаки в соответствии с GDPR.

Это шанс стать лидером в области защиты данных потребителей

GDPR планирует наложить денежные штрафы на компании, которые не соблюдают правила, начиная с 25 мая 2018 г. Существует два уровня штрафов, о которых организациям необходимо знать, и более подробно они описаны на GDPREU.org.

  • Нижний уровень: до 10 миллионов евро или 2 процента от общемирового годового дохода за предыдущий финансовый год, в зависимости от того, что больше.
  • Верхний уровень: до 20 миллионов евро или 4 процента от общемирового годового дохода за предыдущий финансовый год, в зависимости от того, что больше.

Несмотря на большие штрафы, компании должны уделять больше внимания внедрению соответствующих процессов, обеспечивающих защиту данных и конфиденциальность, а не сокращать пути только для того, чтобы избежать штрафов. Пытаясь обойти процессы только для того, чтобы избежать штрафов, организации рискуют вызвать гнев не только регулирующих органов, но и потребителей, которые поддерживают их бизнес. GDPR был принят не для наказания предприятий, а для защиты потребителей.

Помня об этой цели, организации должны быть заинтересованы в том, чтобы показать потребителям, что они заботятся о защите частной информации и готовы принять меры безопасности, которые учитывают интересы потребителей. Вся энергия и ресурсы, потраченные на соблюдение нормативных требований, окупятся, когда потребители будут более охотно вести дела с компаниями, которым они доверяют.

Но это потребует от компаний целенаправленных усилий. В связи с приближением крайнего срока 25 мая организациям необходимо активно добиваться соблюдения GDPR.

Заявление об ограничении ответственности: эта публикация не является юридической консультацией и не должна мешать вам получить собственную юридическую консультацию у квалифицированного юриста. Кроме того, эта статья не является юридически обязывающим документом и не предназначена для исполнения. Содержимое этой статьи может быть изменено и не полностью отражает требования действующего законодательства. Предоставляя эту публикацию, Scalefast не делает никаких заявлений о том, что будет выполнять какие-либо юридически обязательные документы, и оставляет за собой право в любое время отказаться от обсуждений без каких-либо обязательств.

Автор изображений: Comfreak, rawpixel.com, Free-Photos