Por: Vijay Sundaram, Jefe Global de estrategia en Zoho Corp
En los últimos años las empresas han sufrido millones de ataques cibernéticos que han dejado pérdidas hasta de 45,000 millones de dólares anuales a nivel global. De acuerdo con el ESET Security Report 2019, 2 de cada 3 empresas sufrieron un incidente de seguridad durante el 2018, siendo México, Perú y Ecuador, los tres países estudiados con los mayores incidentes de seguridad, cuyos índices se registraron en 72%, 71% y 65% respectivamente.
Además, este estudio encontró que en Latinoamérica aún existe una baja implementación de soluciones de seguridad y que las mayores preocupaciones de las empresas en la región, se relacionan con el acceso indebido (61%) el robo de la información (58%) y la privacidad (48%) Por ende, ha surgido la necesidad de implementar sistemas de seguridad cuyo gasto en hardware y software proyecta un crecimiento del 9,4% anual hasta el año 2023, según International Data Corporation (IDC)
Los múltiples casos de fallas en la seguridad de las empresas han provocado una clara desconfianza en los usuarios que ahora exigen la protección y privacidad de sus datos. Además, los escándalos relacionados con amenazas en la privacidad, enfrentan a las empresas al pago de multas millonarias que demuestran que la seguridad debe ser una prioridad para la supervivencia empresarial.
Como director de estrategia de una empresa de software en la nube, me gustaría compartir algunos enfoques y recomendaciones que hemos considerado que todas las empresas de software pueden abordar las demandas urgentes de sus clientes en materia de seguridad y privacidad.
Implementar sus propios hackers de seguridad
Muchas empresas tienen algún tipo de equipo interno de seguridad cibernética. En software, un proveedor típico empleará dos equipos, rojo y azul, que realizarán pruebas de penetración regulares y crearán soluciones de seguridad, respectivamente. Estos equipos tendrán mucha independencia y serán eliminados de las cadenas de mando tradicionales para garantizar su autonomía y autoridad.
Un gran paso adicional para las empresas es contratar un hacker o un equipo de hackers para descubrir debilidades. Las empresas también pueden organizar concursos públicos o privados de "recompensa de errores", donde los piratas informáticos son recompensados por detectar vulnerabilidades, y las empresas reciben información de terceros sobre la seguridad de sus datos.
Generar confianza a través de certificados de cumplimiento
Las industrias financieras y de atención médica tienen amplios requisitos de cumplimiento; las compañías de software tienen las menos estrictas. Si desea proteger la reputación de su empresa como una que ofrece privacidad y seguridad sólidas al cliente, dé el paso para asegurar los certificados de cumplimiento.
La certificación de referencia es la ISO 27001, que representa el estándar de seguridad de la información. Cuando tenga esta certificación, puede ayudar a demostrar que su empresa sigue las mejores prácticas de seguridad y realiza evaluaciones para determinar que los datos están adecuadamente protegidos.
Limitar los datos del cliente que realmente necesita
Muchas compañías ofrecen su software en forma de prueba limitada con la intención de convertir a los usuarios de prueba en clientes de pago. Para cubrir esta apuesta, algunas compañías pedirán y requerirán mucha más información del cliente de la necesaria para ejecutar la prueba. De esta manera, las empresas que no convierten a los usuarios de prueba en clientes aún pueden ganar dinero vendiendo sus datos.
Los clientes potenciales expertos desconfían de que se les pida algo más que información de contacto básica durante un período de prueba. Si aman el producto, se registrarán y proporcionarán la información adicional necesaria.
Almacenar los datos del cliente solo el tiempo que sea necesario
En la misma línea, muchas empresas cometen el error de guardar datos innecesarios recopilados de clientes potenciales que finalmente no se registran o de clientes que no han utilizado un producto o servicio durante un período prolongado de tiempo.
Aunque está bien conservar los datos por razones de marketing y ventas a corto plazo, mantenerlos a largo plazo crea mayores riesgos de seguridad tanto para la empresa como para sus clientes de prueba y temporales. Piénselo: como consumidor, ¿cómo reaccionaría si sus propios datos personales estuvieran comprometidos debido a una prueba que firmó hace años?
Considerar el riesgo de convertir datos en ingresos
La inteligencia artificial y otras herramientas de inteligencia empresarial, aplicadas diligentemente a la información del cliente, ciertamente pueden mejorar su comercialización y ventas y la experiencia general del cliente. Sin embargo, si su modelo de negocio se basa en recopilar, parcelar y vender datos de usuarios a anunciantes, su negocio podría verse comprometido desde el principio.
Ninguna cantidad de garantías y acuerdos pueden establecer una estrategia de ganancias compensatoria. Todo esto significa que las empresas deben ser proactivas y públicas con sus prácticas de seguridad y privacidad. Pero no todo recae en las empresas. Hay sitios web que enumeran las empresas que compran y venden datos, que los clientes pueden consultar.
En conclusión, un mercado libre regulado obliga a las empresas a cumplir con las reglas de seguridad y privacidad, incluso a medida que las reglas evolucionan. Las compañías con visión de futuro comenzarán a distinguirse en las áreas de privacidad y seguridad del cliente. Desarrollarán prácticas que van desde lo mundano a lo innovador para convertir esto en una ventaja competitiva.
Comments