您必须主动管理的五个关键领域

马克·科伦娜，区域执行合伙人&首席营销官，局外人
与校长Mark Sheehan&Stowell Solutions Group的CIO / CISO

本文是实用的指南，可帮助您主动预防上市（销售和市场营销）计划和运营中的安全问题。遇到问题后，可以使用许多服务，但是在本文中，我们提供了一份工作清单，以帮助您减少可能损害品牌，声誉，收入和业务价值的重大事件的风险。我们认为，主动采取行动比对安全事件做出反应要好。

我们专注于销售和市场营销，因为 客户，产品和服务的安全问题将非常明显，并可能对您的品牌和业务造成最大的损害。违反客户文件的数据或产品或服务的安全性问题可能会使您快速停业；而且，如果他们没有让您破产，那么您的业务将需要很长时间才能恢复。您可能已经遇到了一些客户，他们在询问与产品，服务或整个公司有关的网络防御方面的信息。 

本文针对中小型企业（SMB），其原因如下：

中小型企业尤其容易受到攻击，因为您的技术基础设施可能不如大型基础设施发达，安全性低。

据报道，SMB受外国代理商攻击的频率更高，他们会利用您的服务器来支持其在美国境内的活动。 2019 Verizon数据泄露报告，其中有43％的违规行为涉及中小企业。 

中小型企业很难聘请和留住需要高级技术知识的IT主管。对安全智能CIO或首席信息安全官（CISO）的需求如此之高，以至于中小企业无法竞争保护您的运营所需的人才。

鉴于您的客户关系的范围和规模，对中小型企业的影响可能大于对大型企业的影响。网络事件可能导致立即失去客户和收入。客户和收入的流失也会对您的业务价值产生负面影响。

当谈到上市安全性时，我们指的是您的企业可能用于销售和营销活动的所有人员，流程和技术平台。安全不仅仅是技术问题。您的员工及其遵循（或不遵循）的流程可能会给您的业务带来负面影响，就像未能保护您的技术平台一样。

以下列出了一些需要考虑并可以主动管理的主要风险。对于每个领域，我们都会提供一个小型案例研究，以及有关如何减少辐射的建议。这些示例来自与我们合作过的真实客户。

您主动解决的五个关键领域

您将要说：这永远不会发生。但这确实比您想象的要多。在没有实施和强制执行客户关系管理（CRM）系统的SMB中，以及在没有完善的销售流程，政策和控制的SMB中，您会发现远程保存客户数据的情况很常见。

这是一场噩梦：您最好的销售人员离开了您的业务，在出门时从PC上复制客户文件，然后为您的主要竞争对手服务。您不仅失去了一名出色的员工，而且您的竞争对手也获得了一个-以及他们潜逃的所有客户数据。如果“潜逃”这个词太高，那么谷胱甘肽就可以说是他们偷走了！

• 采用CRM平台，并坚持每个人都将其用于潜在客户和客户数据管理。强制执行此操作的方法很简单：将其写入每个员工的雇用条件，并仅在看到CRM中的活动时，才能按已达成的交易向销售人员付款。 没有CRM活动，没有佣金。
• 每天强制备份到每个人PC的公司服务器上
• 监控大数据下载
• 制定策略来控制，监视和主动管理用户访问，尤其是在出发时。专注于最重要的系统和数据集。 

数据泄露每天都在发生，也许我们对这些泄露的范围变得麻木了。毕竟，有1000条记录被盗，而1亿条被盗？但是对您来说，这不是数字游戏。任何违规行为都会使您的客户和业务合作伙伴（甚至您的银行）对继续与您开展业务三思。

这是一场噩梦：在您花了很多年来获取和保留客户之后，他们对您保护数据的能力失去了信任，他们离开了。由于信任是随着时间而建立的，因此您将无法快速恢复它。

您可以采取什么措施防止这种情况发生？

• 对员工进行安全性最佳实践教育。人是黑客的主要来源，也是保护的主要形式。确保您进行教育并武装您的员工，使其成为您的最佳防线。            
• 了解您最关键的数据资产和系统，并将保护重点放在这些资产和系统上。优先考虑对您的业务最重要的系统。 
• 选择供应商时，评估所有平台的安全功能。
• 确保所有系统都应用了所有最新的安全补丁程序，如果需要，至少每周执行一次。
• 考虑使用软件即服务（SaaS）技术架构，以使在云中托管应用程序的专家能够为您承担起这一责任。但是请确保您评估它们的安全性和功能。

我们中的一位在美国排名前10位的银行工作，这使第三方能够向银行客户推销其产品和服务。这似乎是个好主意，因为该银行从第三方销售中获得了佣金，毕竟，该银行正在帮助客户获得新的创新产品和服务。银行可能有 思想 这是一种很棒的商业模式，但对（1）从未给予许可，或（2）可能给予许可但忘记了这样做的银行客户而言，并不是一个很好的选择。公开羞辱对您的品牌不利。

可以采取什么措施防止这种情况发生？

• 确保所有客户确切知道您将如何以及何时使用他们的信息。
• 以书面形式获得他们的预先批准，并至少每年一次。如果您要遵守美国或国际法律（例如《加利福尼亚消费者隐私法》（CCPA）或欧盟的《通用数据保护条例》（GDPR）），则这一点尤其重要。
• 将创新的产品和服务带入您的业务，并像分销商那样控制其销售。
• 了解适用于您的企业的隐私要求，并准备好进行控制以保护数据和流程以在事件发生时做出响应（例如，违规响应计划）。

如果不是大型的成功零售商，您可以信任谁？您不想成为某个人进入您的大客户系统之一的门户，也不想让供应商向您公开。

您可以采取什么措施防止这种情况发生？

• 了解客户与数据安全有关的要求。 成为领导者，展示您对网络弹性的承诺。这可能只是您需要的与众不同！
• 评估系统的网络安全漏洞和弱点。确保在不久的将来，保护您的客户接触到的一切可能受到威胁的物品。这可能意味着很多事情：锁定对系统的访问，修补系统，主动测试这些系统以确保它们不会被黑客入侵。使用网络安全专家来帮助您理解，评估和确定优先级。 
• 及时了解最新的网络风险，尤其是您所在行业的网络风险。这种“威胁情报”             可以使您和您的领导团队保持警惕，并准备更好地保护您                上市资产和策略。  

对这名男子的销售情况进行的独立审核显示，他在帐单部门有一个同伙，他设法多次发送他的客户发票（每张发票），并且从未处理过任何有关这名男子的客户的信用额。最高销售人员？没门。

您可以采取什么措施防止这种情况发生？

• 确保您具有明确的工作职责，并灌输诚信和信任的文化。
• 考虑更频繁的内部审核，因为它与用户的关键控制和数据访问有关。
• 请注意一些看起来似乎不是“累加”的行为，例如您的最高销售人员每天工作两次，他/她真的可以这么有生产力吗？查找这些危险信号，并制定识别它们的措施。 
• 与法律，人力资源和IT部门合作制定内部威胁计划，以识别最重要的数据以及可能是威胁的早期指标的员工类别和行为。 

底线

进入市场的资产和流程对任何企业而言都是最关键的。无论企业规模大小，对这些资产的威胁都是真实的。我们非常赞赏SMB高管。与更多的玩家竞争，拥有更多的资源，您将面临挑战。您和您的较大竞争对手都面临技术挑战。但是，如果您实施一些关键措施，则可以大大降低风险和对业务的负面影响。 我们希望本文为您提供了公平竞争环境的实用建议。

关于作者

马克·科伦娜，区域执行合伙人&首席营销官，首席局外人和前首席信息官： 电子邮件标记 或致电 612.554.0081

校长Mark Sheehan&Stowell Solutions Group的CIO / CISO: 电子邮件标记 或致电 651.428.6091