每个人都知道失去对客户数据的控制是不好的。那么,为什么它一直在发生?似乎每周我们都会听到一场影响数百万人的新数据崩溃。本周,Facebook和Cambridge Analytica成为新闻焦点,但即使他们的戏剧上演,我们也重新听到了在线旅游网站Orbitz新违反880,000支付卡的消息。仅上个月,我们就发现39个健康数据泄露影响了350,000多个患者记录。同月,我们听到了112,000联邦快递客户记录的泄露。清单还在继续。
Facebook希望我们认为他们最近的漏洞不太重要,因为严格来说,这并不是安全漏洞。对于那些数据被不当利用的5000万Facebook用户来说,这是一种冷淡的安慰。正如我在用户大会上去年5月强调的以我的治理为重点的keynotet一样,是时候退后一步,认真研究一下我们如何管理委托给我们的数据了。以下是Facebook和Cambridge Analytica崩溃的五个教训,每个组织都应该注意。
我们不断听到有关安全漏洞的消息,实际上,安全漏洞的威胁环境正在恶化。美国所有行业数据泄露的平均成本现已超过700万美元,据估计,在未来24个月内,全球约有3分之1的公司将经历至少一次涉及超过10,000条记录的重大泄露。
据《纽约时报》报道,Facebook的首席安全官坚持认为,这一事件不是违规行为: “《纽约时报》和《卫报》最近的剑桥分析报道既重要又有力,但在这个术语的任何合理定义下,称其为 '违规' 都是不正确的。”当然,这可能不是违反安全规定,但这肯定是违反政策和严重违反信任。从Facebook用户的角度考虑这一点,这实际上可能比安全漏洞更糟糕,因为剑桥分析公司不必为了获取这些数据而努力黑客Facebook。
委托客户数据的组织有义务很好地管理它,这不仅意味着数据安全。这意味着就如何管理数据制定周到和全面的政策,并确保实施和审计这些政策的控制措施到位。
这让我想到了第二课。
数据质量是一个巨大的治理问题。有一种著名的计算机科学现象叫做GIGO: 垃圾进,垃圾出。这意味着使用质量差的数据会产生不好的结果。劣质数据造成严重破坏。糟糕的数据质量使加利福尼亚州损失了600万美元的超额假期和病假付款。糟糕的数据质量导致圣何塞市在去年的历史性洪水中未能疏散居民。在一些悲惨的情况下,糟糕的数据质量会导致生命损失。但是,数据质量并不是全有或全无的事情。适合一种目的的数据可能不适合另一种目的。今天,作为一个行业,我们刚刚开始达到一个成熟的水平,我们可以从数据质量的使用角度来考虑数据质量,而不仅仅是从整体准确性的角度来考虑。
但是,我们需要走得更远。Cambridge Analytica使用的Facebook数据可能具有足够的质量来实现其目的,但是使用它是否合法?这是道德的吗?组织需要更广泛地定义适合目的,而不是 “是否有可能将这些数据用于此目的?” 适合目的还必须包括 “将这些数据用于此目的是否合法,道德和适当?”如果您的组织管理他人委托给您的数据,则您有义务明确考虑这一点。最成熟的组织将此决定排除在业务范围之外,并将其与道德或治理组织放在一起,以避免否则会出现的冲突。
底线是: 仅仅因为你不意味着你应该。
在去年的用户会议上,我说过,数据是唯一可以从你那里窃取的商品,而它仍然在你的手中,与实物不同,即使你抓住了小偷,你也永远无法确定你把它拿回来。这适用于您的数据是否被盗或泄露。像任何商品一样,数据的价值在于您从中获得的价值。数据与其他数据组合以产生新数据,然后将其重新分配到其他地方。在这种情况下,Facebook的原始个人资料数据用于创建心理资料。即使恢复或删除原始数据,这些配置文件仍然存在。谁拥有它们?此外,这些配置文件用于制定决策,生成和定位内容以及采取行动。可以解开这些吗?
数据移动得很快,一旦精灵从瓶子里出来,你就不能把它放回去。
正如组织需要考虑他们的数据来源来确定是否适合目的一样,他们也必须非常仔细地考虑他们放置数据的用途,特别是如果数据的产品与他人共享。有些事情不能 “不共享”。
无论您是滥用他人的数据,还是共享随后被滥用的数据,您都将由那些将数据委托给您的人负责。这听起来可能不合理,但这是现实。Facebook的用户不在乎是否有人违反了Facebook的使用条款。他们担心自己的数据被不恰当地收集 -- 他们指责收集、策划和管理这些数据的组织。
上个月,weheard在网上公开了112,000护照和其他身份证记录。这些与2009年2012年约会的记录属于邦戈国际公司,联邦快递2014年并关闭了2017年。谁应对这一违规行为负责?邦戈国际?即使发生在联邦快递收购之前,标题仍然写着 “联邦快递客户记录曝光”。
如果您的组织处理客户数据,无论您是自己收集数据还是从其他人那里获取数据,您都要对客户负责。在规划数据策略并明智地选择合作伙伴时,请仔细考虑这一点。
最后,每次发生这种情况时,我们似乎都必须重新学习一课。数据治理很重要。真的很重要。数据治理有很多花哨的定义,但我的定义很简单: 数据治理意味着将政策应用于数据。关于如何获取、管理和使用数据,它有明确的政策。这是关于传达该政策的。这是关于执行和审计该政策的。
许多组织认为数据治理是一种税收。但是,这是错误的思考方式。把它当成保险单来考虑。为了避免以后的灾难,您现在付出了很小的代价。那只是好生意。