Hoy en día, los medios de comunicación hablan continuamente sobre las violaciones de datos personales, hackeos empresariales y otros actos ilícitos, difíciles de detectar e identificar por parte de las empresas y los consumidores.
Es probable que, cuando se realicen estas acciones, las responsabilidades recaigan sobre sus proveedores de servicios de seguridad. Si bien existen muchas empresas dedicadas a la ciberseguridad, no todas ellas cuentan con la protección y las herramientas para resistir los embates constantes de este tipo de delitos.
Mientras se revisan y aplican nuevas leyes sobre la privacidad en el mundo —como la Regulación General de Protección de Datos de la Unión Europea (GDPR por sus siglas en inglés), la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Cuidado de Datos del Senado de los Estados Unidos o casos más específicos como la Ley General de Ciberseguridad en México—, los sectores empresariales deben apostar por mejorar sus herramientas digitales, perfeccionar sus modelos de ciberseguridad y contratar empresas que puedan ofrecer estrategias efectivas y adaptables para su negocio.
Como Director Estratégico de una empresa de software en la nube, les comparto cinco medidas de seguridad que las compañías deberían de estar implementando en este momento para abordar las demandas urgentes de sus clientes.
1. Desplegar sus propios hackers
Muchas empresas cuentan con equipos internos de ciberseguridad. En software, un proveedor típico suele emplear dos equipos —rojo y azul— que realizan pruebas de intervención regulares y crean soluciones de seguridad, respectivamente.
Estos equipos tienen mucha independencia y son apartados de las cadenas de mando de la empresa para asegurar su autonomía y autoridad. Además, suelen ser necesarios para proteger los datos de los clientes, pero las empresas no deben depender únicamente de los equipos internos para garantizar la privacidad y seguridad de los clientes.
Un paso adicional importante para las empresas es contratar a un hacker aliado para descubrir las debilidades. Las empresas de software también pueden realizar concursos privados o públicos de “recompensa por errores”, en los que se premia a los hackers por detectar vulnerabilidades y así reciben información sobre la solidez de la seguridad de sus datos.
2. Construir confianza con certificados de cumplimiento
Así como el sector financiero o sanitario tienen requisitos de cumplimiento en sus normas para ofrecer un servicio de calidad, las empresas de software también los necesitan. La certificación básica ISO-27001 es la que representa el estándar de seguridad de la información. Ésta demuestra que tu empresa sigue las mejores prácticas de seguridad y realiza evaluaciones periódicas para determinar que los datos estén protegidos adecuadamente.
Si tu compañía ofrece servicios en la nube, considera la posibilidad de obtener un certificado de cumplimiento SOC 2 Tipo II. Estas medidas requieren que las empresas establezcan y sigan políticas y procedimientos de seguridad estrictos con respecto a los datos de los clientes.
3. Limitar los datos de los clientes en pruebas de producto
Algunas empresas de software ofrecen pruebas limitadas de sus productos con la intención de convertir a esos usuarios de prueba en clientes de pago. Para cubrir estas pruebas, las compañías solicitan más información a los clientes de la que realmente necesitan. De esta manera, las empresas que no convierten a los usuarios de prueba en clientes regulares pueden seguir ganando dinero al vender sus datos.
Esta mala práctica debe terminar. Solicitar un nombre y una dirección de correo electrónico debería ser suficiente para que el usuario descargue y utilice el producto durante su período de prueba. Si obtiene los resultados que busca, seguramente el nuevo cliente se registrará y proporcionará la información necesaria para descargar la suite completa. Obtén fidelidad del cliente por el uso orgánico de tus productos y no por el beneficio económico que éste pueda traer gracias a sus datos personales.
4. Almacenar los datos del cliente sólo durante el tiempo que sea necesario
En la misma línea, muchas empresas cometen el error de almacenar datos innecesarios que han recolectado de clientes potenciales que no se inscriben en últimas instancias o de clientes que no han utilizado su producto o servicio durante un período prolongado. Algunas empresas guardan los datos por razones de marketing y ventas para el corto plazo.
Sin embargo, la gran mayoría los almacena a largo plazo, con lo cual crean mayores riesgos de seguridad tanto para el negocio como para sus clientes. Tan sólo piensa como si tú fueras el consumidor: ¿cómo reaccionarías si tus propios datos personales se vieran comprometidos por una “prueba gratuita” a la cual te inscribiste hace años? Existen en el mercado compañías que no almacenan los datos de usuarios sin importar si la versión que utilizan es gratuita o pagada.
5. Evitar usar la tecnología con fines lucrativos para terceros
La Inteligencia Artificial y otras herramientas digitales empresariales, aplicadas exclusivamente a recopilar y estudiar la información de los clientes o nuevos prospectos, pueden ayudar a mejorar la experiencia que se ofrece y a administrar de mejor manera las áreas comerciales o de negocio.
No obstante, muchas empresas sólo utilizan la tecnología para la recopilación, envío y venta de datos de usuarios a terceros. Esto representa un gran riesgo para todos, desde el usuario, la empresa y hasta quién adquiere dicha información. A lo largo de los años hemos visto ejemplos como el robo masivo de información sensible de los usuarios y demandas millonarias contra empresas que ofrecen estos servicios. Las prácticas de seguridad y privacidad deben ser proactivas y públicas con el fin de ofrecer protección y beneficios para nuestros clientes y nuestros negocios.
Empresas tecnológicas con visión a futuro comenzarán a distinguirse desde sus áreas de privacidad y seguridad al convertir buenas prácticas en una ventaja competitiva. Las prácticas leales de seguridad y uso adecuado de la información de los clientes no sólo deben ser impulsadas por altos ejecutivos o por áreas legales, sino que deben convertirse en las responsabilidades diarias de todos los empleados que laboran dentro del mercado tecnológico. Sé parte del cambio que se avecina.