Privacy dei dati dei clienti: 10 best practice non negoziabili per proteggere la tua attività

Pubblicato: 2022-11-23

Nel luglio 2020, un hacker ha avuto accesso agli strumenti interni di Twitter per sequestrare 130 account Twitter di alto profilo, come Elon Musk, Bill Gates, Barack Obama e Jeff Bezos, per realizzare una truffa "raddoppia i tuoi bitcoin".

privacy dei dati 2020 hacking di Twitter

Migliaia di utenti di Twitter ci sono cascati e in poche ore l'hacker ha rubato bitcoin per un valore di oltre $ 118.000. Da quel momento, migliaia di organizzazioni sono state violate, da grandi multinazionali come Apple e Facebook a università, hotel, ospedali, dipartimenti governativi e persino chiese e siti web di raccolta fondi.

Il fatto è che qualsiasi organizzazione che raccolga, elabori o archivi i dati dei clienti è a rischio di violazione, compresa la tua. Ecco perché devi agire ora per proteggere questi dati. Questo articolo ti mostrerà come.

Sommario

  • L'importanza della riservatezza dei dati
  • Norme e standard sulla privacy dei dati da conoscere
  • Le maggiori minacce alla privacy e alla sicurezza dei dati
  • 10 best practice per proteggere i dati dei tuoi clienti

L'importanza della riservatezza dei dati

Le misure ei controlli sulla privacy dei dati hanno tre obiettivi principali: proteggere la riservatezza e l'integrità delle informazioni, creare fiducia con i clienti e rispettare le leggi sulla privacy dei dati. La mancata attuazione di questi controlli può portare a una violazione che può avere gravi conseguenze sia per gli individui che per le organizzazioni.

Impatto sugli individui

Le persone i cui dati vengono rubati possono diventare vittime di furto di identità o frode. Gli hacker possono utilizzare i dati rubati per impersonare la vittima e aprire linee di credito, richiedere prestiti, ecc.

La perdita di dati sensibili o privati ​​può anche comportare per la vittima umiliazioni, discriminazioni, perdite finanziarie o danni psicologici. Nei casi più gravi, la loro salute, la loro vita o la loro famiglia possono essere minacciate.

Impatto sulle organizzazioni

Le violazioni dei dati danneggiano anche le organizzazioni, soprattutto dal punto di vista finanziario. Secondo IBM, il costo medio di una violazione è salito a 4,35 milioni di dollari nel 2022. I costi di violazione possono includere le richieste di riscatto degli aggressori, oltre ai "costi di pulizia" relativi alla riparazione della violazione e alle indagini forensi. Le multe regolamentari e le azioni legali possono anche aumentare il costo.

Una violazione può anche danneggiare la reputazione dell'azienda, la percezione del cliente e i prezzi delle azioni. Potrebbe perdere la fiducia dei propri clienti e avere difficoltà a soddisfare i propri obblighi contrattuali, il che potrebbe influire sui rapporti commerciali e sui profitti.

costo della violazione dei dati negli Stati Uniti vs globale

Norme e standard sulla privacy dei dati da conoscere

A seguito di un'ondata di violazioni dei dati negli ultimi anni, molti governi hanno implementato leggi sulla privacy dei dati. Queste leggi regolano il modo in cui i dati dei consumatori vengono raccolti, elaborati, archiviati ed eliminati dalle organizzazioni. Hanno lo scopo di proteggere la privacy dei dati dei consumatori e salvaguardare i consumatori dall'impatto dannoso delle violazioni dei dati.

GDPR

Il GDPR si applica a qualsiasi azienda operante in qualsiasi paese che raccolga le informazioni dei residenti nell'UE. Regola il modo in cui le aziende raccolgono, utilizzano, trasmettono e proteggono questi dati. Le organizzazioni che non rispettano la legge possono essere multate di oltre $ 20 milioni o del 4% del fatturato globale totale.

Leggi sulla privacy dei dati degli Stati Uniti

Gli Stati Uniti non hanno un'unica legge federale sulla privacy dei dati. Invece, numerose leggi specifiche di settore o statali disciplinano il modo in cui le organizzazioni raccolgono, elaborano o utilizzano i dati dei consumatori. Ad esempio, l'Health Insurance Portability and Accounting Act (HIPAA) mira a mantenere la privacy delle informazioni sanitarie protette (PHI). Allo stesso modo, il California Consumer Privacy Act (CCPA) controlla il modo in cui le entità possono raccogliere le informazioni personali dei residenti in California.

diritti ai sensi del CCPA

Fonte immagine

Standard di privacy specifici del settore

Alcuni enti del settore hanno sviluppato standard sulla privacy applicabili alle organizzazioni di determinati settori. Un esempio è il PCI-DSS, che si applica a tutti i commercianti di tutto il mondo che raccolgono informazioni sulle carte di credito dei consumatori. Sebbene lo standard non sia applicato da alcun governo, i commercianti devono aderirvi a causa del loro rapporto contrattuale con la società della carta di credito. L'obiettivo è garantire che le aziende implementino le misure di salvaguardia necessarie per proteggere i dati dei titolari di carta e prevenire le frodi con carta di credito.

All'interno del settore tecnologico e pubblicitario, negli ultimi anni abbiamo assistito a una serie di cambiamenti in nome della privacy. Ad esempio, Google riduce la visibilità nel rapporto sui termini di ricerca e Facebook impone la misurazione degli eventi aggregati.

Guida gratuita: 10 strategie di targeting per Facebook rispettose della privacy

Le maggiori minacce alla privacy e alla sicurezza dei dati

La privacy dei dati riguarda il controllo del modo in cui i dati vengono raccolti, condivisi e utilizzati, mentre la sicurezza dei dati riguarda la protezione dei dati da aggressori esterni e malintenzionati. Nonostante queste differenze, ci sono diverse sovrapposizioni tra queste idee. Inoltre, ci sono molte minacce che possono influenzare sia la privacy che la sicurezza dei dati.

Truffe di phishing

In una truffa di phishing, l'aggressore invia e-mail che sembrano provenire da una fonte attendibile. L'e-mail potrebbe contenere un collegamento dannoso o un allegato dannoso. Quando un utente fa clic sul collegamento, verrà indirizzato a un sito Web in cui gli verrà chiesto di fornire le proprie informazioni private.

L'attaccante quindi ruba queste informazioni, provocando una violazione. Se l'utente apre l'allegato, l'attaccante potrebbe compromettere il proprio dispositivo. Possono anche ottenere l'accesso ad altre risorse sulla rete aziendale e causare danni diffusi. Pertanto, è importante assicurarsi di investire nella giusta soluzione anti-phishing per la propria azienda.

esempio di e-mail di phishing

Fonte immagine

Malware e ransomware

Malware e ransomware rappresentano enormi minacce alla sicurezza e alla privacy dei dati. In un attacco ransomware, un utente malintenzionato infetta i dispositivi aziendali con malware che crittografa il sistema e blocca l'utente. In cambio della chiave di decrittazione, il criminale chiede un cospicuo riscatto all'organizzazione. Molti ceppi di ransomware possono diffondersi in tutta la rete ed esfiltrare enormi quantità di dati.

Minacce interne

Le minacce interne sono un'altra grave minaccia alla privacy dei dati. Dal 2020, la frequenza degli incidenti interni è aumentata del 44% e il costo per incidente è salito a 15,38 milioni di dollari.

Alcune minacce provengono da utenti malintenzionati o compromessi come dipendenti o fornitori di terze parti. Altri provengono da addetti ai lavori non dannosi o negligenti con scarsa igiene della sicurezza informatica. Ad esempio, un utente può condividere la propria password con un collega mentre un altro può archiviare dati sensibili in una cartella pubblica. Tali errori possono causare perdite o esposizioni accidentali di dati.

Vulnerabilità software

Le vulnerabilità della sicurezza nei dispositivi e nelle applicazioni aprono la porta ai criminali informatici. Molti aggressori sfruttano queste vulnerabilità per attaccare le organizzazioni ed esfiltrare o compromettere i dati dei clienti.

10 best practice per proteggere la privacy dei dati dei clienti

Ecco dieci modi per proteggere i tuoi preziosi dati dei clienti da attacchi informatici e hacker.

1. Scopri quali dati stai raccogliendo

Puoi proteggere i dati solo se sai di cosa si tratta e dove sono archiviati. Comprendi che tipo di dati raccogli dai clienti, come vengono utilizzati e chi li utilizza. Dovresti anche sapere quanto sono sensibili i dati, dove sono archiviati e quando vengono condivisi.

Condurre una verifica dei dati per identificare i dati in tutta l'azienda. Quindi classifica ogni tipo di dati in base alla sensibilità, al caso d'uso e alla necessità di accessibilità. Infine, prepara un inventario dei dati per capire quali dati devono essere protetti e quali leggi sulla conformità si applicano alla tua organizzazione.

classificazioni comuni dei dati

Fonte immagine

Ecco alcune classificazioni dei dati da considerare:

  • Dati pubblici: comunicati stampa, dichiarazioni di intenti, informazioni sugli elenchi di directory.
  • Dati interni: programmi di lavoro, budget, piani di progetto, processi aziendali, strategie, dati di marketing.
  • Dati riservati: informazioni personali, informazioni sanitarie protette, registri del personale, dati finanziari.
  • Dati riservati: password, piani di fusione/acquisizione, proprietà intellettuale.

2. Raccogli solo informazioni essenziali

Puoi ridurre al minimo il potenziale danno di una violazione dei dati raccogliendo una quantità limitata di dati personali. Raccogli solo i dati privati ​​o sensibili di cui hai bisogno affinché la tua azienda raggiunga determinati obiettivi, ad esempio migliorare l'esperienza e la fidelizzazione dei clienti.

Per valutare quali dati sono essenziali, condurre audit periodici dei dati. Quindi valuta se hai effettivamente bisogno di quei dati. In caso contrario, smetti di collezionarlo. In questo modo, puoi ridurre la possibilità di perdite in caso di violazione.

3. Creare e pubblicare un'informativa trasparente sull'utilizzo dei dati e sulla privacy

Definire e implementare una chiara politica sulla privacy dei dati e comunicarla a tutte le parti interessate. La politica dovrebbe specificare chi è autorizzato ad accedere ai dati e come. Dovrebbe anche indicare chiaramente come i dati dovrebbero e non dovrebbero essere usati.

Inoltre, pubblica un'informativa sulla privacy per i clienti sul tuo sito web aziendale. La politica dovrebbe indicare in che modo la tua azienda raccoglie, archivia, utilizza e protegge i dati dei clienti. Se apporti modifiche alla politica, assicurati di tenere informati i clienti.

4. Cripta tutti i dati sensibili dell'utente

I dati non crittografati e archiviati in modo inadeguato offrono agli hacker un motivo per attaccare l'organizzazione. Crittografa tutti i tuoi dati, sia in transito che a riposo. Utilizza la crittografia della lunghezza di 256 bit per proteggere i dati nelle e-mail e la crittografia a livello di file per proteggere i dati su sistemi e server.

Inoltre, eseguire regolarmente backup dei dati e archiviare i backup in un luogo sicuro. In questo modo, anche se sei il bersaglio di un attacco informatico come un ransomware, puoi comunque accedere ai dati. Inoltre, non dovrai pagare il riscatto.

tipi di dati sensibili

Fonte immagine

5. Proteggiti dalle truffe di phishing

Per ridurre il rischio di perdite dovute ad attacchi di phishing, implementa filtri antispam in tutta l'organizzazione. Aggiorna anche tutti i dispositivi con software antivirus e antimalware che si aggiornano automaticamente per far fronte alle minacce emergenti e proteggere continuamente i dati.

Le persone svolgono un ruolo importante nel ridurre al minimo l'impatto degli attacchi di phishing. Incoraggia i dipendenti a segnalare eventuali truffe e-mail che incontrano alla persona o al dipartimento appropriato.

6. Aggiorna tutto il software

Gli hacker sfruttano le vulnerabilità di sicurezza nei dispositivi e nel software per attaccare le organizzazioni e compromettere i dati dei clienti. I fornitori di software di solito rilasciano patch dopo aver rilevato le vulnerabilità nei loro prodotti. Implementa queste patch per aggiornare il software e proteggere i dati dei clienti.

7. Implementare l'autenticazione a più fattori

L'autenticazione a più fattori (MFA) offre una protezione più solida per gli account e i dati aziendali. MFA richiede un ulteriore fattore di autenticazione, non solo una password. Pertanto, anche se un hacker ruba la password di un utente autorizzato, avrà comunque bisogno del secondo fattore per accedere a un account aziendale. Di solito, questo fattore rimane sotto il controllo dell'utente autorizzato, quindi è difficile per un hacker comprometterlo o rubarlo.

autenticazione a due fattori vs autenticazione a più fattori

Fonte immagine

8. Formare le persone sulle pratiche di sicurezza informatica

L'educazione alla sicurezza informatica è essenziale per eliminare le debolezze legate alle persone nella sicurezza informatica. Istruisci i tuoi dipendenti sulle migliori pratiche di sicurezza informatica. Addestrali a riconoscere i segni di un attacco di phishing e come evitare le truffe di social engineering.

Spiegare l'importanza di password complesse e MFA. Inoltre, mostra loro perché non dovrebbero utilizzare le reti Wi-Fi pubbliche per lavoro e attenersi sempre alle politiche di sicurezza e privacy dell'organizzazione.

9. Limitare l'accesso ai dati

Limitare l'accesso ai dati in base alla necessità di sapere riduce al minimo le minacce interne ai dati. Quando possibile, implementa il principio del privilegio minimo (PoLP), in modo che gli utenti possano accedere o modificare solo i dati di cui hanno bisogno per il loro ruolo. Gestisci i livelli di accesso e le autorizzazioni con gli strumenti di gestione delle identità e degli accessi (IAM).

10. Implementare un'infrastruttura completa per la protezione dei dati

Per proteggere i dati dei clienti ed evitare violazioni, è necessaria un'infrastruttura di sicurezza completa con tutti questi strumenti:

  • Software antivirus e antimalware
  • Software anti-adware e anti-spyware
  • Firewall Web di nuova generazione
  • Blocco pop-up
  • Strumenti di rilevamento e risposta degli endpoint (EDR).
  • Scanner di vulnerabilità
  • Gestore di password
  • MAE

Metti da parte un budget per questi strumenti. Aiuteranno a proteggere la tua organizzazione dalle violazioni dei dati e recupererai il tuo investimento abbastanza rapidamente.

Proteggi la tua azienda, i tuoi clienti e i tuoi dati

Il numero e la frequenza delle violazioni dei dati sono aumentati notevolmente negli ultimi anni. Gli ultimi cinque anni sono stati particolarmente negativi, con gli hacker che hanno preso di mira una serie di organizzazioni di alto profilo e hanno colpito milioni di persone.

Fortunatamente, non tutto è perduto. Hai un certo controllo sui dati che raccogli e utilizzi. Ancora più importante, puoi proteggere questi dati e impedire che cadano nelle mani sbagliate. Utilizzando le idee e le migliori pratiche condivise qui, puoi ridurre i rischi per la tua azienda e i tuoi clienti.

  1. Scopri quali dati stai raccogliendo
  2. Raccogli solo informazioni essenziali
  3. Crea e pubblica un'informativa trasparente sull'utilizzo dei dati e sulla privacy
  4. Cripta tutti i dati sensibili dell'utente
  5. Proteggiti dalle truffe di phishing
  6. Aggiorna tutto il software
  7. Implementa l'autenticazione a più fattori
  8. Formare le persone sulle pratiche di sicurezza informatica
  9. Limitare l'accesso ai dati
  10. Implementare un'infrastruttura completa per la protezione dei dati

Circa l'autore

Irina Maltseva è responsabile della crescita presso Aura e fondatrice presso ONSAAS. Negli ultimi sette anni, ha aiutato le aziende SaaS ad aumentare le proprie entrate con il marketing in entrata. Nella sua precedente azienda, Hunter, Irina ha aiutato i professionisti del marketing 3M a creare connessioni commerciali che contano. Ora, in Aura, Irina sta lavorando alla sua missione per creare un Internet più sicuro per tutti. Per metterti in contatto, seguila su LinkedIn.