Il ne fait aucun doute que les données sont la pierre angulaire de toute entreprise - mais votre organisation prête-t-elle suffisamment attention aux informations qu'elle collecte et à la façon dont elles sont stockées??

Quel est le marketing jusqu'à?

C'est la nature humaine de vouloir collecter autant d'informations que possible. Cela est particulièrement vrai des services marketing, qui collectent souvent des données "au cas où", ces informations seraient utiles à l'avenir. En réalité, la plupart des PME n’utilisent que peu, voire pas du tout, une grande partie des informations client qu’elles classent. Cette "dépendance aux données" des PME va à l’encontre de la loi sur la protection des données, qui exige une déclaration d’intention et une portée claires pour la collecte d’informations personnellement identifiables (PII)..

Même lorsque les spécialistes du marketing collectent des informations pour soutenir une campagne ou un service spécifique, beaucoup font appel à des tiers pour collecter des données client en leur nom, sans se soucier de la conformité ou du stockage sécurisé des données. Cela contraste nettement avec les équipes juridiques ou informatiques, qui sont généralement beaucoup plus au courant de la réglementation des données..

Néanmoins, des déconnexions entre départements signifient que trop souvent, les PME restent apparemment inconscient de la réglementation en matière de gestion des données sensibles..

PME dans la ligne de mire

Alors que les banques sont la cible habituelle des cybercriminels, les PME se retrouvent de plus en plus sur la ligne de mire, car les pirates informatiques tiennent compte du fait qu’elles stockent souvent des informations personnelles similaires, mais sans mesures de sécurité aussi strictes. Alors que les banques renforcent leurs capacités de sécurité et deviennent des cibles plus difficiles, les PME collectent plus de PII que jamais, ce qui en fait le choix idéal pour les cyber-attaques..

Ces préoccupations sont encore plus pressantes compte tenu de l'absorption spectaculaire du stockage en nuage par les PME. De nombreuses entreprises choisissent une solution cloud basée uniquement sur la réduction des coûts, sans se soucier de l'emplacement physique du cloud, qu'il soit public ou privé, de la gestion de la séparation des données, des tests effectués pour garantir la sécurité et de la surveillance appliquée de l'accès à distance. sécurisé.

Il va sans dire qu'une violation de données peut perturber le statu quo, endommager les revenus et détruire la réputation - mais les risques ne proviennent pas simplement des pirates. La récente amende de 200 000 £ infligée au service britannique de consultation pour la grossesse (BPAS) montre que chaque PME doit prendre au sérieux la protection des données. Dans le cas de BPAS, le Bureau du Commissaire à l'information (ICO) a constaté que l'organisme de bienfaisance n'avait pas réalisé que son site Web enregistrait des données à caractère personnel. Ces données n'étaient pas sécurisées et une vulnérabilité dans le code du site Web permettait à un pirate informatique d'accéder au système et de siphonner. les informations très sensibles.

Il est temps d'agir

Si les PME devaient payer pour stocker des données en fonction de leur sensibilité (c'est-à-dire que plus les données sont sensibles, plus elles sont chères à stocker), elles pourraient être dissuadées de collecter des informations sur les clients pour leur propre bien. Toutefois, comme il est peu probable que cela se produise de si tôt, toutes les PME devraient prendre des mesures aujourd'hui pour s'assurer de la protection des informations client..

Au niveau de base, chaque PME doit avoir un responsable ou une équipe de sécurité dédié, définir des règles et des normes pour traiter les données client et informer le personnel de la nécessité de traiter les données client avec précaution. Les organisations peuvent se protéger davantage en implémentant une ou plusieurs des étapes suivantes:

  • Définir des processus clairs qui relient la collecte de données clients à un engagement avec les services de sécurité et juridique
  • Effectuez des évaluations des risques de tout tiers qui collecte des données PII en votre nom
  • Exécutez des tests d'intrusion réguliers pour vérifier votre périmètre de sécurité et la sécurité des sites Web et des bases de données sur lesquelles les informations personnelles sont stockées.
  • Définir des exigences de sécurité claires lors du développement et du déploiement de nouvelles solutions
  • Examinez régulièrement les données PII stockées et supprimez toutes les informations inutiles ou inexactes afin de réduire votre risque.
  • Créez un document de classification de données de haut niveau pour définir le type d'informations que votre entreprise s'attend à traiter, son degré de sensibilité et son mode de gestion.

En mettant en œuvre ces étapes, votre organisation peut s’assurer qu’elle exploite au mieux les données des clients, sans craindre de stocker des problèmes pour l’avenir..

  • Carl Shallow est responsable de la conformité chez SecureData