در مقاله قبلی خواندیم که با افزایش مقیاس، پیچیدگی و فراوانیِ دزدی داده ‌ها رویکرد کنش‌ گرای تیم شما به زیرساخت امنیتی و در صورت لزوم  بازسازی وفاداری مشتری پس از دزدی داده‌ ها، اهمیت بسیاری زیادی دارد. در این مقاله به ادامه بحث در این باره می پردازیم.

-مقیاس و منبع نقض امنیت اطلاعات را ارزیابی کنید:

یک بررسی کامل از مقیاس و منبع نقض امنیت اطلاعات با یک سوال ساده آغاز می ‌شود: هکرها یا جاسوسان داخلی چه اطلاعاتی را می ‌خواهند و چرا؟ اطلاعات حساس شرکتتان را ممیزی کنید تا حداکثر عمق دزدی احتمالی را بفهمید. به عنوان مثال، احتمالا شما آدرس و اطلاعات کارت اعتباری مشتریانتان را نگه می ‌دارید اما کد بیمه‌ شان شاید هیچ وقت به کارتان نیاید. یک بررسی سریع اطلاعات می ‌تواند به شما در تشخیص میزان شدت دزدی از جامعه‌ مشتریانتان کمک کند.

به همان شکلی که یک متخصص می‌ تواند به شما در پیروی از قوانین اعلان نقض امنیت کمک کند، یک متخصص امنیت اطلاعات نیز می‌ تواند به شما در کشف آن چه واقعا اتفاق افتاده کمک کنند. چون هکرها به ‌طور فزاینده ‌ای در شکستن امنیت سیستم‌ ها استاد شده ‌اند (و شما به تنهایی نمی‌ توانید جلوی این دزدی بایستید).

شما از چشمان یک متخصص می‌ توانید هر نوع نقطه ضعفی که منجر به رخنه شود را مشاهده کرده و از آن جا نوشتنِ یک طرح امنیت اطلاعات جامع را آغاز کنید. آگاه باشید که در این راه ممکن است احتیاج باشد زیر ساخت امنیتی خود را برای حفظ داده‌ های مشتریان، دوباره از نوع بسازید. سایر موقعیت ‌ها، مانند خطای انسانی نیز به همین میزان اهمیت دارند، چون شما می ‌توانید از طریق آموزش آن ها را مرتفع سازید. بهترین نمونه ‌های امنیتی، بی ‌شمارند اما همه ‌شان شامل تأیید اعتبار دو مرحله‌ ای، دسترسی محدود به اطلاعات حساس، برنامه ‌های رمزگذاری، نرم ‌افزار نظارت، تشخیص خودکار، آموزش کارکنان و تست منظم هستند.

-وظایف اخلاقی‌تان به‌عنوان یک شرکت را بدانید:

قوانین اعلان نقض امنیت، حداقل الزامات برای احترام به حقوق مشتری را لیست می ‌کند، اما روش بازیابی اعتماد مشتریانتان را به شما یاد نمی‌ دهد.

انجام دادنِ کار درست در یک سناریوی دزدی اطلاعات به معنی رفتن فرای مقررات برای جمع و جور کردن اوضاع است.

مدیرعامل شرکت Rook Security، آقای جی جی تامپسون به مجله‌ فوربز گفت که «پنجره جادویی» برای نشان‌ دادن ارزیابی روشنی از آن چه اتفاق افتاده و آن چه شما در موردش انجام خواهید داد به مشتریان، وجود دارد. شرکت شما نیاز دارد اثربخش کار کند تا به آن ضرب ‌العجل برسد. با این که یک هفته به نظر زمان کوتاهی می ‌آید، برای مشتریانی که شماره کارت‌ های اعتباری و کدهای ملی‌ شان به سرقت رفته زمانی بسیار طولانی ا‌ست.

-چگونگی تهیه یک اعلان نقص امنیتی:

یک «اعلان نقض امنیتی» یک اصطلاح رسمی برای ایمیلی ا‌ست که برای مشتریان می‌ فرستید و به آن ها دزدی اطلاعات را اطلاع می‌ دهید. در این زمان، خواندن قوانین از اهمیت ویژه‌ ای برخوردار است. اما حتی وقتی شرکت ‌ها از قوانین اعلان نقض امنیتی مو به مو پیروی کنند، معمولا در مواقع بسیاری از آن ها سر باز می ‌زدند. چند نکته برای نوشتن یک اعلان نقض وجود دارد که مهم ترینش رفتار انسانی با مشتریانتان است.

با مشتریان همدردی کنید:

دزدی اطلاعات می‌ تواند رشته ‌ای از فجایع را برای مشتریان ایجاد کند، مانند دزدی هویت و کلاهبرداری با استفاده از کارت اعتباری. هنگامی‌ که برای مشتریان می نویسید، حسشان از این اتفاق را تصور کنید. با حس دست و پا بستگی و کلافگی‌ شان از این که برای عادی کردن شرایط باید دوندگی کنند، همدردی کنید. بالاخره آن ها تقصیری ندارند. با خلوص نیت برای آن چه باعثش شدید عذرخواهی کنید و مسئولیت کامل این دزدی را بر عهده بگیرید.

در مورد آن چه اتفاق افتاده شفاف باشید:

اعلان ‌های نقض نباید مبهم نوشته شوند. با شفافیت و بدون پیچیدگی تمام آن چه اتفاق افتاده را توضیح دهید. مثلا می ‌توانید بگویید «هفته‌ گذشته یک هکر از سد امنیتی جامع ما (شامل یک فایروال و یک تأیید اعتبار دو مرحله ‌ای) عبور کرده و اطلاعات کارت اعتباری هزار نفر از مشتریان ما را به سرقت برده است.»

راه‌ های رفع نقطه ‌ضعف را مشخص کنید:

اگر طرح پاسخ به نقض امنیتی اطلاعات را به خوبی ایجاد کرده باشید، تیم شما در تمام ساعات برای حل هر نقطه ‌ضعف و جبران کردن برای مشتریان تلاش خواهند کرد. در ایمیل اطلاع‌ رسانی، راه ‌هایی را که شرکت برای پاسخگویی داخلی ایجاد کرده و با متخصصان خارجی برای ایجاد یک تغییر مثبت در این خصوص همکاری می‌ کند، توضیح دهید.

برای اعتماد مجدد به شرکت شما، مشتریان نیاز به جزئیات کارهایی که برای به‌روزرسانی زیرساخت امنیتی کنونی تان انجام داده اید، دارند.

یک طرح محافظت هویت بخرید:

دزدی اطلاعات چالش ‌برانگیز هستند چون ضرر اتفاق افتاده است. یکی از دشوارترین چیزها در مورد دزدی ‌ها این است که هیچ کاری از دستتان برای بهتر کردن اوضاع مشتریان برنمی ‌آید. پیشنهاد خرید یک طرح محافظت هویت، یک کار کوچک اما پرمعنی برای کاهش پیامدهای بد هر مشتری ا‌ست. اعتماد را برای مشتریان آسان کنید و این قدم را برایشان تبدیل به یک مشکل دیگر نکنید.

انگیزه ‌ای برای وفاداری ایجاد کنید:

مشتریان وفادار وقتی تصمیم می‌ گیرند در تمامی شرایط کنار شرکت و برند شما بمانند، استحقاق یک «متشکر» دارند. در انتهای ایمیل، سخاوت به ‌خرج دهید و یک تخفیف برای خرید بعدی یا خدمت آتی آن ها، اضافه کنید. این کوپن ناچیز می ‌تواند راه اعتماد دوباره را هموار کند و به مشتریان اطمینان دهد شما از سود خود برای شیرین کردن تجربه آن ها صرف نظر می‌ کنید.

منبع: helpscout