Шифрование
Проблема: Хакерство, потеря или кража мобильных устройств, случайно или умышленно
совместно используемые пароли - это некие общие причины любых утечек. Наиболее оптимальным сценарием для компании был
бы следующий: «Да, что-то произошло, но данные были зашифрованы». Но, к сожалению
гораздо чаще происходят кражи незашифрованных данных. В
нескольких недавних случаях утечек, связанных с кражей или потерей жесткого
диска, данные были не зашифрованы. Это приводит к тому, что бизнес должен
объяснять клиентам, во-первых то, почему их данные утекли, а во-вторых, почему
они не были зашифрованы.
Случай из жизни: В одно кредитное агентство был
совершено незаконное вторжение, после которого компания не досчиталась портативного
устройства, на котором хранились персональные идентификационные данные клиентов.
Компания сообщила об этом в правоохранительные органы, уведомила клиентов и
выпустила пресс-релиз. Примерно через месяц правоохранительные органы вернули
украденное портативное устройство. Выяснилось, что данными никто не пользовался,
и доступа к ним не осуществлялось. Компания
вздохнула с облегчением, т.к. была на грани катастрофы по причине того, что на
этом устройстве содержались миллионы конфиденциальных записей.
Выводы: Не забывайте
о базовых защитных мерах, особенно о шифровании. Используйте его для хранимых и
используемых данных, на портативных устройства, для электронной почты. Но нет
смысла использовать шифрование для данных, которые вам уже не нужны и хранить
которые вы не собираетесь.
Будьте прозрачными
Проблема: Когда
происходит утечка, компании стремятся всеми силами сохранить лицо. Это желание можно
понять. Но при этом, некоторые организации пытаются скрыть данный факт и сообщить о нем
как можно меньше. В результате люди, которых коснулся этот инцидент, начинают
подозревать, что ситуация гораздо серьезней, чем говорит компания, в результате
чего доверие к этой компании снижается. Но если вы будете откровенны и открыты со
своими клиентами, то это поможет вам сохранить с ними нормальные отношения, что
дорогого стоит.
Случай из жизни: Один
университет имел мужество быть открытым и прозрачным по поводу произошедшей
утечки. Как только они обнаружили, что инцидент произошел они моментально
выпустили пресс-релиз на эту тему, а также создали веб-сайт с вопросами и
ответами для тех людей, которых коснулся данный инцидент. Все это было сделано в
дополнение к оповещению всех тех, кого затронула утечка.
Выводы: Не прячетесь от утечек. Будьте со своими
клиентами, объясняйте им, что произошло и поддерживайте их. Если вы признаете
факт, что инцидент произошел и демонстрируете, что активно работаете над его
устранением, это добавит вам уважения в глазах сотрудников и клиентов. И вам не
придется отвечать на вопросы, почему и отчего вы пытаетесь что-то скрыть.
Знайте тех, кого затронула утечка
Проблема: Определение того какие данные и какие люди были затронуты в связи с
утечкой поможет вам определить необходимые требования к уведомлениям. При этом
следует учитывать то, что при желании быть соответствующим образом оповещенным
об утечке, многие люди не хотят знать о каких-то проблемах, которые их напрямую
не затрагивают. Не стоит рассылать
уведомления до того, как вы блокировали утечку и разобрались в том, какие
данные утекли. Это может привести к путанице
и тому, что вы оповестите много лишних людей. При этом стоит иметь в виду, что
пресса точно не пропустит эту неразбериху.
Случай из жизни: После одной из утечек ипотечное агентство разослало уведомление об этом
инциденте по всей клиентской базе данных. Чуть позже выяснилось, что утечка
затронула меньше половины списка рассылки. Некоторые адресаты получили по
несколько уведомлений, что заставило их понервничать. Избыток уведомлений вызвал
огромный шквал звонков недовольных и взволнованных людей в компанию.
Выводы: Как только произошла утечка и вы считаете, что она может затронуть важные
данные, необходимо подготовить уведомление для возможной рассылки. До того, как
рассылать уведомление надо определиться с перечнем тех, кто должен его получить,
а также тем какие данные были затронуты и какие риски могут возникнуть. Рассылка
оповещений до того, как на руках есть факты может наделать больше вреда, чем
пользы.
Подготовьте ваш колл-центр
Проблема: Когда вы
будете оповещать людей, затронутых утечкой, будьте готовы к тому, что они
начнут задавать вопросы. И если вы думаете, что выделив только одного человека
в вашей компании для ответов на вопросы вы решите задачу, то вы ошибаетесь. После
оповещений обычно следует шквал звонков, который накрывает с головой даже
колл-центр. Помните, что вам надо быть максимально прозрачными и открытыми с
клиентами, и если они не смогут получить ответы на имеющиеся вопросы, то
напряжение и негатив будут только нарастать. Поэтому всегда будьте готовы, что
после оповещения об утечке звонков будет гораздо больше, чем вы
предполагаете.
Случай из жизни: В больнице произошел инцидент,
связанный с потерей жесткого диска. Для общения с пострадавшими они подписали
соглашение с компанией, которая в течение 48 часов организовала колл-центр для
ответов на вопросов. Работники колл-центра были специально подготовлены для общения с людьми, которые получили
оповещения об утечке. Это было сделано основываясь на предыдущем опыте по
приему звонков от пострадавших от утечки людей.
Выводы: Должным
образом подготовленный колл-центр демонстрирует вашим клиентам то, что вы
заботитесь об их проблемах. Это важный аспект во взаимоотношениях с клиентом,
т.к. зачастую после утечки клиенты не хотят иметь дело с компанией, которая ее
допустила. Если у вас не хватает ресурсов своего колл-центра для такой работы,
то следует рассмотреть вариант передачи этой функции на аутсорсинг.
Не игнорируйте
уведомления
Проблема: Реакция на утечку
в конечном итоге сводится к уведомительному письму. И это вас шанс сгладить недовольство
клиентов. Зачастую этим шансом пренебрегают и многие клиенты чувствуют себя еще
более запутанными по поводу того что же происходит на самом деле. Помните, что
оповещать надо только тех, кого необходимо и делать это один раз.
Случай из жизни: Утечка в
одном из университетов потребовала рассылки уведомлений по сотням тысяч
адресов. При этом выяснилось, что многие данные были устаревшими и письмо возвращалось
с пометкой «неизвестный адрес» и дополнительным счетом на оплату. Для
того, чтобы снизить затраты и не заниматься бесконечной пересылкой писем
необходимо проверить актуальность имеющейся информации до рассылки.
Основные выводы: Прежде, чем
посылать уведомления своим клиентам подумайте об их желаниях и потребностях.
63% опрошенных клиентов хотят определенной компенсации после того, как узнают,
что произошла утечка. И они правы. При этом вы можете предложить им подписку на
использование услуги типа защиты персональной информации или мониторинг кредита
в качестве компенсации.
