Guida alla protezione dei dati dei clienti degli MSP

MSP Data Protection blog banner

La protezione dei dati dei clienti è importante per tutte le aziende che vogliono proteggere la propria sicurezza finanziaria e la propria reputazione, ma lo è ancora di più per i fornitori di servizi gestiti (MSP). 

Quando parli con i tuoi clienti, probabilmente dirai loro che un motivo importante per cui la protezione dei dati dei clienti è fondamentale è che la loro intera attività dipende da essi. Se sono vulnerabili all’hacking o alla perdita di dati, si espongono a multe, danni alla reputazione, cause legali e alla possibilità di perdere del tutto l’attività. 

Si potrebbe anche parlare di un caso di studio come quello di Equifax, la cui famigerata violazione dei dati è costata 4 miliardi di dollari di valore di mercato. L’azienda è stata inoltre multata per 700 milioni di dollari dalla FTC e sta ancora affrontando la riparazione e la stampa negativa dell’evento.

Gli MSP raccontano continuamente storie come queste, ma molti dimenticano quanto sia importante la protezione dei dati dei clienti per l’azienda e lasciano che diventi un problema secondario loro stessi per l’azienda e lasciano che diventi un pensiero secondario. In questo articolo parleremo della natura della protezione dei dati dei clienti, del perché è importante pertutti e condivideremo alcune indicazioni di esperti su come proteggere i dati dei clienti.

Questo articolo tratterà i seguenti argomenti:

  • Che cos’è la protezione dei dati dei clienti?
  • Perché i dati dei clienti devono essere protetti?
  • I quattro tipi di dati dei clienti
  • Responsabilità di protezione del cliente
  • Come proteggere i dati dei clienti

Che cos’è la protezione dei dati dei clienti?

La protezione dei dati dei clienti è un concetto che ruota attorno agli strumenti e ai metodi di sicurezza e privacy utilizzati per salvaguardare le informazioni raccolte dai clienti. Questo include tutti i dati di marketing raccolti, i dati finanziari e le informazioni sui loro comportamenti, tutti elementi che possono essere molto preziosi per gli hacker.

Nel caso dell’MSP, i dati dei clienti possono includere anche le credenziali di accesso e le informazioni di gestione IT. Proteggere questo aspetto è essenziale, poiché i dati dei clienti in possesso di un MSP possono essere “le chiavi del castello” per gli hacker che vogliono infiltrarsi nelle reti dei loro clienti. 

Perché è importante la protezione dei dati dei clienti?

Quando si parla di protezione dei dati dei clienti, di solito ci si riferisce a qualcosa di importante per la privacy dei dati chiamato Informazioni di identificazione personale (PII). Si tratta di qualsiasi informazione che possa identificare direttamente un individuo, come nomi e indirizzi, indirizzi e-mail, dati finanziari, copie di documenti di identità rilasciati dallo Stato, numeri di carte di credito o indirizzi IP. 

Poiché le PII sono così sensibili e la loro protezione è importante per ogni individuo, una strategia completa di protezione dei dati diventa essenziale. Ecco i motivi principali per cui ogni organizzazione deve sviluppare un piano completo di protezione dei dati dei clienti, indipendentemente dalle sue dimensioni:

Conformità a leggi e regolamenti

Le norme sulla protezione dei dati differiscono notevolmente da Paese a Paese, ma è importante ricordare che si applicano al luogo in cui si trova il cittadino, non all’entità che raccoglie o elabora i dati. È probabile che qualsiasi azienda con una presenza online debba aderire a normative come il GDPR (nel caso dei cittadini dell’UE) o il CCPA (per i cittadini californiani). Molte di queste norme sono piuttosto severe e la loro mancata osservanza comporta multe salate.

Fiducia dei clienti e reputazione del marchio

I consumatori considerano una violazione dei dati come una violazione della fiducia. Volenti o nolenti, le persone che consegnano i loro dati personali a un’azienda si aspettano che siano protetti e, collettivamente, non perdonano rapidamente gli errori. Alcuni grandi marchi che hanno commesso errori nella protezione dei dati dei clienti hanno sofferto terribilmente per le ricadute in termini di PR, e alcuni hanno persino dovuto affrontare azioni legali collettive da parte dei loro clienti. 

Perdita di tempo e di produttività

Ignorare la necessità di proteggere i dati dei clienti può avere un impatto notevole sui processi aziendali in un secondo momento. A parte le conseguenze finanziarie, legali e di reputazione di un potenziale errore, si possono spendere molte ore e risorse per indagare sugli incidenti e poi risolverli. Se questo causa lo spostamento di risorse da altre operazioni, può significare gravi tempi di inattività per tutta l’organizzazione. 

Quattro tipi di dati del cliente

1) Dati anagrafici

I dati master comprendono informazioni chiave condivise in tutta l’azienda per facilitare i processi aziendali di alto livello. La gestione dei dati master è la pratica di gestire ed elaborare responsabilmente i dati master in base alle esigenze dell’organizzazione. 

I dati master sono i dati funzionali delle aziende. Include elementi come gli elenchi anagrafici di clienti, prodotti e fornitori: gli MSP dovrebbero pensare ai dati dei clienti nei loro CRM e RMM. Questo tipo di dati è spesso considerato mission critical per l’azienda e spesso deve essere condiviso e accessibile in tutta l’azienda, pur rimanendo sicuro.

I dati anagrafici sono creati, gestiti e archiviati in modo specifico, in modo da potervi accedere per i processi o le funzioni aziendali necessarie. Un esempio potrebbe essere un database CRM integrato con altre applicazioni, in modo che gli elenchi di clienti e prospect possano essere visualizzati e utilizzati dal reparto marketing, dal team di vendita e, attraverso un’ integrazione RMM, dai tecnici del team.

2) Dati transazionali

I dati transazionali sono tipicamente creati, archiviati e utilizzati in contesti operativi e/o transazionali, tra cui transazioni bancarie o di fatturazione. I requisiti di sicurezza per l’elaborazione e l’archiviazione dei dati transazionali variano a seconda dei settori. Per un’azienda di e-commerce che vende un prodotto online, questo include solitamente i dati relativi ai comportamenti di acquisto e di spesa dei clienti, nonché i dati relativi ai pagamenti effettivi e all’adempimento. I datiPCI (Personal Credit Information) dei clienti rimangono privati e conformi. Anche le informazioni bancarie e di pagamento dei fornitori devono essere protette.

I dati transazionali tendono a funzionare su una scala molto più ampia rispetto ad altri tipi di dati, a causa del volume bilanciato dal valore potenziale per un hacker. Garantire la privacy e la sicurezza di questi dati e delle relative Informazioni personali sul credito è di fondamentale importanza nella gestione delle politiche e dei processi che li riguardano. 

3) Dati di riferimento

I dati di riferimento sono informazioni stabili che categorizzano i dati, li correlano a valori coerenti e seguono standard interni e/o esterni relativamente fissi. 

Per natura, i dati di riferimento tendono a rimanere invariati o a cambiare molto lentamente nel tempo. Tra gli esempi vi sono gli elenchi di parti e prodotti, le suddivisioni dei segmenti di clientela, gli elenchi di contatti dei fornitori e la documentazione dei processi interni. 

4) Dati a forma libera

I dati liberi, noti anche come dati non strutturati, non sono organizzati o formattati in modo predefinito. Tutti i dati che non sono memorizzati in un foglio di calcolo, in una tabella o in un database facilmente consultabili da un computer sono considerati freeform. 

Pensa a un semplice modulo di contatto su un sito web. Campi come “Nome” e “E-mail” possono essere compresi dall’automazione informatica e utilizzati immediatamente da altre applicazioni, mentre gli inserimenti in “Commenti” saranno considerati liberi.  

I dati freeform possono includere anche documenti, post di blog, articoli di giornale, e-mail, sondaggi, recensioni e feedback, post sui social media e testi telefonici. Poiché i dati freeform sono aperti come la creatività umana, sono i più difficili da elaborare e analizzare. 

Chi è responsabile della protezione dei dati dei clienti?

Sebbene sappiamo che gli MSP hanno la responsabilità di proteggere i dati dei loro clienti, che dire dei clienti stessi? Qual è il loro livello di responsabilità nella protezione dei propri dati? 

Una litania di indagini passate dimostra che i consumatori ritengono che la responsabilità di proteggere i propri dati sia minima. Ritengono invece che la responsabilità di mantenere al sicuro le loro PII ricada quasi interamente sulle aziende con cui condividono i dati. 

I consumatori sono più attenti alla convenienza, quindi tendono a lasciare le preoccupazioni sulla sicurezza alle aziende che offrono i servizi. E come abbiamo detto prima, possono essere piuttosto irremovibili sulla loro posizione. La maggior parte dei consumatori dichiara che non utilizzerebbe più un rivenditore (60%), una banca (58%) o un sito di social media (56%) se subisse una violazione. il 66% dei consumatori dichiara che difficilmente farebbe affari con un’organizzazione che ha subito una violazione in cui sono state rubate le loro informazioni finanziarie e sensibili. (Fonte: Gemalto)

In effetti, queste risposte significano che i consumatori sono disposti ad assumersi dei rischi quando si tratta di sicurezza e privacy, ma sono pronti a dare la colpa all’azienda se qualcosa va storto. 

Il problema principale è che puntare il dito non serve ad affrontare le vere sfide della privacy e della sicurezza. Mentre i regolamenti governativi e le leggi sulla divulgazione delle violazioni dei dati ritengono che le aziende siano responsabili della protezione dei dati, i consumatori devono sfruttare i modi attuali per proteggersi. 

Anche piccoli passi possono aiutare il consumatore a prendere il controllo della propria sicurezza. Abilitare l’autenticazione a due fattori, evitare la tentazione di condividere i dettagli della propria vita sui social media e utilizzare password forti sono tutti passi semplici, ma i consumatori devono essere disposti a subire il colpo della convenienza per sfruttarli. 

Come proteggere i dati dei clienti

  • Rimanete aggiornati sulla crittografia

Le tecnologie di crittografia sono in continua evoluzione per rispondere ai cambiamenti del panorama delle minacce. Le organizzazioni che non rivedono e aggiornano le loro pratiche di crittografia sono spesso vulnerabili agli attacchi informatici. Collabora con il tuo team di sicurezza IT per stabilire un programma di controlli regolari per verificare che la tecnologia e le pratiche di crittografia siano il più possibile aggiornate. 

  • Limitare l’accesso alle informazioni sui clienti

L’accesso con privilegi minimi non è solo un concetto per i ruoli di amministratore e utente. Non tutti i membri del vostro MSP o dell’organizzazione di un cliente hanno bisogno di accedere alle informazioni personali dei clienti. Limitando l’accesso a chi ne ha veramente bisogno, si riducono le opportunità per gli hacker di trovare e sfruttare un punto debole. In questo modo si riduce anche la minaccia di errore umano o di furto intenzionale di informazioni sui clienti da parte di persone interne. 

  • Utilizzare strumenti di gestione delle password

Le password sono ancora una componente fondamentale della sicurezza, anche se spesso sembrano banali rispetto agli strumenti disponibili. Uno di questi strumenti che riporta in primo piano le password forti è un’applicazione di gestione delle password. Creano e memorizzano password complesse per tutti gli account a cui accedono i vostri clienti, crittografando e memorizzando ogni password in modo che gli utenti finali debbano ricordare una sola password principale. Poiché le credenziali sono diventate un punto debole per i cyberattacchi, la gestione delle password dovrebbe essere un’aggiunta obbligatoria allo stack di sicurezza di ogni MSP.

  • Raccogliere solo i dati necessari

Si può essere tentati di raccogliere quanti più dati possibili “per ogni evenienza”, ma questo può portare rapidamente a dei problemi. La raccolta di dati inutili sui clienti non solo comporta uno spreco di energia e di risorse, ma rende anche i vostri dati più ricchi e appetibili per gli hacker. Raccogliere solo ciò che serve per scopi aziendali definiti. Per mettere a proprio agio i consumatori e gli utenti finali, si può anche offrire loro la possibilità di scegliere di non condividere le informazioni personali.

  • Considera la possibilità di distruggere i dati dopo averli utilizzati

I dati memorizzati sono un rischio potenziale. Mentre alcuni dati dei clienti devono essere conservati in perpetuo, questo non è il caso per i tutti dati. Considera la possibilità di distruggere i dati dei clienti dopo averli utilizzati al meglio, piuttosto che conservarli e sostenere un ulteriore onere per la sicurezza. 

  • Fare in modo che la privacy dei clienti sia un affare di tutti

Un programma di sicurezza completo e una politica sulla privacy devono essere creati e adottati da tutti i membri dell’organizzazione. Tutti gli stakeholder devono comprendere l’importanza della protezione dei dati dei clienti e, cosa più importante, aderire alle vostre politiche. Lo stesso approccio dovrebbe essere adottato nei confronti degli utenti finali e del loro coinvolgimento nel processo di sicurezza generale.

  • Far sapere ai clienti che le loro informazioni sono al sicuro

La privacy è una vera preoccupazione per i clienti, quindi far sapere loro esattamente cosa stai facendo per mantenere al sicuro le loro PII è vantaggioso per tutti. Sii chiaro e diretto nella divulgazione delle pratiche di sicurezza. Nascondere i dettagli dei metodi di protezione dei dati dei clienti in una dichiarazione sulla privacy che nessuno legge non è sufficiente. Condividere apertamente il proprio impegno per la privacy è un’opzione di gran lunga migliore e può in ultima analisi aiutare la reputazione dell’azienda e creare fiducia. 

Conclusioni

I dati sono la nuova moneta del crimine informatico e ignorare la sicurezza dei dati dei clienti non è più un’opzione per le organizzazioni di qualsiasi dimensione. Gli hacker sono diventati letalmente efficienti nell’ingannare le aziende attraverso l’ingegneria sociale e altri attacchi, e nessuna azienda vuole affrontare lo stress di contattare i clienti per rivelare una violazione dei dati. Le violazioni che coinvolgono i dati dei clienti possono distruggere la fiducia e portare ad anni di costose conseguenze legali, normative e di reputazione.

L’approccio migliore per proteggere i dati dei clienti è un approccio attivo alla sicurezza informatica. Detto questo, non esistono soluzioni uniche per tutti, quindi gli strumenti e i metodi esatti varieranno per ogni organizzazione. I suggerimenti e le informazioni di cui sopra dovrebbero aiutarti a iniziare il tuo percorso di protezione dei dati dei tuoi clienti.

Passi successivi

Le basi della sicurezza dei dispositivi sono fondamentali per lo stato della tua sicurezza complessiva. NinjaOne semplifica l’applicazione di patch, l’hardening, la protezione e il backup di tutti i dispositivi in modo centralizzato, da remoto e su larga scala.

Ti potrebbe interessare anche

Pronto a semplificare le parti più complesse dell'IT?
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.