Craig Spiezle y David Fowler hablan sobre datos confiables y marketing

Nota del editor: en septiembre de 2015, David Fowler, jefe de privacidad y cumplimiento digital de Act-On, conversó con Craig Spiezle, director ejecutivo de Online Trust Alliance, sobre el papel que juega la confianza en el marketing actual. Lo que sigue es una transcripción editada de esa conversación.

DAVID FOWLER : En los últimos años, hemos visto infracciones masivas de seguridad en línea con los consiguientes daños personales para millones de personas. También hemos visto la explosión del marketing digital que nos permite enfatizar la experiencia del cliente en parte a través de la personalización casi en tiempo real. A la gente le gusta estar en el extremo receptor del marketing personalizado; aumenta las tasas de respuesta.

La otra cara de la moneda es que la personalización se basa en los datos de los clientes que las empresas recopilan todos los días, ya que el robo de sus datos personales debido a algo que una empresa hizo o dejó de hacer para proteger sus datos es la peor experiencia que podría tener como consumidor. tener. Estas cosas están estrechamente unidas en esta economía de ADN digital en la que operamos actualmente.

Estamos aquí hoy para explorar los problemas y el papel que cada CMO y vicepresidente de marketing puede desempeñar para mantener seguros los datos de los clientes y mantener altos los niveles de confianza. Estoy aquí con Craig Spiezle, el director ejecutivo de Online Trust Alliance. La OTA es una organización sin fines de lucro con la misión de mejorar la confianza en línea, especialmente en la convergencia de la privacidad, la seguridad, el marketing interactivo y la administración de la marca. Bienvenido, Craig.

CRAIG SPIEZLE : Cuando hablamos de participación del cliente, ya sea respondiendo a un correo electrónico, haciendo clic en un anuncio o completando una transacción a través de un carrito de compras, la confianza es la base de todas estas interacciones. Más importante aún, la falta de confianza puede afectar significativamente su reputación y sus resultados.

DAVID : Craig, cuéntanos más sobre la OTA y la génesis de la organización.

CRAIG : La génesis de la organización fue el problema de confiar en el correo electrónico.

A mediados de 2005, estábamos tratando de promover las mejores prácticas para abordar el spam, incluida la falsificación y la suplantación de correo electrónico. A medida que avanzábamos, nos basamos en eso como base para discusiones similares sobre "¿Podemos confiar en un sitio web, es legítimo?" ¿Podemos confiar en un anuncio?

Hemos llegado a la conclusión de que tenemos que fijarnos en el respeto por el cliente y la protección del consumidor. Necesitamos analizar la seguridad del sitio web con el que está interactuando y la privacidad, cómo está tratando esa privacidad. Es casi como dos caras de la misma moneda. Y tenemos que mirar esas cosas a largo plazo. El temor es hoy si continuamos operando y enfocándonos en el cumplimiento de los requisitos mínimos sin un enfoque en la administración, la confianza del consumidor tal como la conocemos se verá empañada y tendrá un gran impacto en las marcas y los objetivos comerciales y la innovación en el mercado.

¿Debería el negocio como de costumbre incluir filtraciones de datos esperadas?

DAVID : Empecemos con los datos. En la esfera del marketing digital, ahí es realmente donde comienzan la mayoría de las empresas: los datos que tienen sobre los consumidores y cómo los tratan. Entonces, hablemos un poco sobre las filtraciones de datos. ¿Crees que eso es solo una parte de hacer negocios digitales hoy en día?

CRAIG : Bueno, somos una sociedad y una economía basadas en datos. Los datos son una nueva fiebre del oro para muchos lugares y personas. Bien hecho, es de gran valor para las empresas y los consumidores. Dicho esto, al igual que los delincuentes que persiguen las diligencias en el Lejano Oeste, los delincuentes han evolucionado y también reconocen que esta información tiene mucho valor.

Creo que debemos reconocer la probabilidad de que todas las organizaciones experimenten una violación de datos o un incidente de pérdida de datos. Y reconociendo eso, tendrá mejores pasos para ayudar a prevenir, ayudar a detectar y ayudar a mitigar y remediar el impacto de eso. Si no reconoces eso, serás atrapado con los pies planos. Y creo que tendrá un daño irreparable tanto en la reputación como en el aspecto legal de los problemas.

Cómo proteger a tu comprador (y tu reputación digital)

DAVID : ¿Puede explicar qué pueden hacer las marcas hoy para proteger su reputación digital en el mercado actual?

CRAIG : Diría que esto no es solo para las marcas, es cada organización, proveedores de servicios, marcas, campañas electorales, cualquier persona que recopile, mantenga o procese datos.

Hay ciertos fundamentos, si te enfocas en la seguridad de los datos. La realidad es que cuando realmente lo investigamos, y lo hemos analizado durante los últimos cinco años, y los datos son muy concluyentes, más del 95 por ciento de los incidentes de pérdida de datos podrían haberse evitado. si se hicieran cosas sencillas. Esto incluye una gestión sencilla de parches. Esto incluye el uso simple de software listo para usar para prevenir cosas, así como restringir y revalidar el acceso de los usuarios a los sistemas.

Así que miramos todas estas cosas combinadas. Como resultado, publicamos anualmente una guía de preparación para la violación de datos. También organizamos talleres. El objetivo es ayudar a equipar a las empresas para que comprendan las cosas simples que conducen a la mayoría de las infracciones y cómo responder mejor.

La otra cara de eso es reconocer que tendrá una infracción. Tienes que estar preparado. Esto no es diferente a tener un simulacro de incendio en la escuela, necesita como organización tener un plan para abordar una infracción y tener un simulacro de incendio, cómo responder y cada elemento de respuesta desde la notificación a las partes afectadas, trabajando con aplicación de la ley, comunicaciones internas y áreas relacionadas allí. Una vez más, se trata de la prevención desde el principio y luego de cómo comunicarlo y resolverlo en el futuro.

DAVID : Yendo un paso más allá, ¿qué pueden hacer las marcas si eres, por ejemplo, un minorista en línea o cualquier tipo de organización que interactúa con los consumidores de manera regular? ¿Qué podemos hacer para ayudar a proteger a nuestros consumidores más allá de las cosas que ha mencionado?

CRAIG : Una de las primeras cosas es revalidar el propósito comercial de los datos que está recopilando. Muchas veces, cuando nos involucramos en la revisión de un incidente de incumplimiento, surgen preguntas como "¿Por qué recopilamos estos datos en primer lugar? ¿Siguen siendo estos datos relevantes para nuestro negocio? ¿Cómo lo almacenamos? Es una idea simple: si no lo guardas, no lo puedes perder. Así que esa es una de las primeras cosas en las que pensar.

El otro elemento es la revalidación del acceso de los usuarios . Lo que sucede típicamente en la organización es que el trabajo de alguien cambia, pero no logramos revocar los permisos o el acceso a los datos. No es que sea un mal empleado; se trata de reducir la huella de riesgo o amenaza. Entonces, si el correo electrónico de David o las contraseñas de David se ven comprometidas, se limitará la exposición o el riesgo de eso. Piense en ello como poner cortafuegos en un edificio. Con un cortafuegos, si hay un incendio en un apartamento, no se propaga al otro. Lo mismo es que si tiene amplios privilegios de usuario y comprometen un área, pueden comprometer otros sistemas. De nuevo, es el modelo de contención de tus datos, pero también de revalidar los derechos de acceso de los usuarios.

El correo electrónico como vector de ataque

DAVID : Cambiemos un poco de tema y hablemos sobre la autenticación de correo electrónico. Como mencionaste anteriormente, realmente esa fue la génesis de la OTA. Y sé que ha hecho una enorme cantidad de trabajo de difusión y de apoyo y transmitiendo ese mensaje, sin juego de palabras, en términos de autenticación de correo electrónico. ¿Puede darnos un estado del estado rápido en términos de cómo le está yendo a la industria en términos de adopción de la autenticación?

CRAIG : Agradezco esta oportunidad porque, en última instancia, el correo electrónico es uno de los vectores de ataque principales, si no el principal, en la actualidad. Es muy fácil suplantar y falsificar un correo electrónico para convencer a un usuario de que abra un correo que tiene enlaces maliciosos o malware malicioso para comprometer el dispositivo de un usuario y luego ejecutar una infracción.

Así es exactamente como sucedió todo el ataque a Target. Un proveedor recibió un correo, lo abrió, su sistema se vio comprometido, tiene acceso a otros sistemas en Target y fue este efecto dominó. Eso habla de la importancia de validar su correo, tanto en el lado entrante de la organización, como de manera importante para sus consumidores o constituyentes a los que está enviando correos.

Lo que hace la autenticación de correo electrónico es ayudar al ISP o a la parte receptora a validar que el remitente está autorizado para enviar en nombre del propietario del dominio. Hay varios protocolos técnicos o estándares para hacerlo, pero son muy complementarios. SPF [remitente permitido de] y DKIM [correo identificado de claves de dominio] son ​​los dos principales y son muy complementarios. Siempre pienso en ello como una taza de mantequilla de maní de Reese. Son buenos por separado, pero significativamente mejores cuando se trabajan juntos. Cubren los casos de uso o casos marginales de cada uno para ayudar a validar la autenticación.

La buena noticia es que hemos tenido una gran adopción. La mala noticia es que no es coherente entre los subdominios. Esa es un área que necesita más atención gerencial dentro de las empresas de todos los subdominios que pueden estar administrando o delegando a otros. ¿Están todos autenticando el 100 por ciento? Una vez que tenga la seguridad de que puede autenticarse, puede haber publicado lo que se llama una política DMARC [Autenticación, informes y conformidad de mensajes basados ​​en dominio], otro estándar técnico que proporciona a la red receptora o al ISP instrucciones claras sobre cómo manejar una correo que falla.

Entonces, combina SPF y DKIM, autentica nuevamente el correo que supuestamente proviene de su dominio y DMARC proporciona una afirmación de política al ISP, puede evitar fácilmente la mayoría, si no todos, los intentos de suplantación de correo electrónico.

Dicho esto, SPF y DKIM han crecido mucho. DMARC está ahora mismo muy, muy limitado en su proceso de adopción. Necesitamos duplicar nuestros esfuerzos para impulsar la adopción en esa área.

DAVID : Si tuviera un cuadro de mando o una boleta de calificaciones, ¿cómo nos va en esta industria en términos de implementación de la autenticación?

CRAIG : De hecho, tenemos un cuadro de mando. Y David, como sabrás, recuerda que anualmente la OTA publica lo que llamamos una auditoría de confianza en línea. Evaluamos los 500 principales sitios de comercio electrónico, los 100 principales bancos, etc. Por ejemplo, si observa los 500 principales sitios de comercio electrónico, el 78 por ciento de ellos adopta tanto SPF como DKIM. Y eso es genial. El año pasado fue del 74 por ciento. 2012 fue del 43 por ciento. Así que hemos aumentado un 35 por ciento desde 2012. Así que hemos tenido un gran crecimiento en la adopción por parte de los minoristas líderes. La industria bancaria está ligeramente rezagada en un 63 por ciento, lo cual es preocupante debido a la gran cantidad de adquisiciones de bancos y demás. Esas son áreas clave a tener en cuenta allí.

El área DMARC es una preocupación mayor. Una vez más, tenemos la base de SPF y DKIM implementada. Pero solo el 22 por ciento de los 500 minoristas principales han adoptado DMARC. Por lo tanto, tenemos un largo camino por recorrer para ayudar realmente a avanzar en la protección y la integridad del correo electrónico como canal.

DAVID : No podría estar más de acuerdo, Craig. Obviamente, es extremadamente importante construir su reputación digital publicando la autenticación de alguna forma, porque ese es realmente el primer espacio para comenzar a enviar cualquier tipo de correo electrónico, no solo comercial, sino también corporativo.  

El estado de la legislación sobre privacidad

Cambiemos de marcha un poco. Me gustaría hablar sobre algunas iniciativas de privacidad relacionadas con los EE. UU. y las iniciativas de privacidad potencialmente internacionales. Ha habido mucha legislación de privacidad en juego en los libros a nivel estatal durante varios años. Obviamente, California es el ejemplo perfecto de todo lo relacionado con la privacidad en lo que respecta a las iniciativas estatales.

Pero, ¿ve algún tipo de legislación de privacidad nacional unilateral en nuestro futuro cercano? Y si es así, ¿tiene alguna idea de lo que puede ser?

CRAIG : Desafortunadamente, mi entusiasmo y optimismo sobre la legislación nacional no es tan alto. Eso es muy decepcionante, porque creo que la comunidad empresarial realmente se beneficiaría de ello. Pero, de nuevo, hay algunas organizaciones de cabildeo muy fuertes cuya opinión es que no hay daño real y superarlo, y por lo tanto no promoverlo. Pero, en última instancia, las empresas legítimas quieren saber, quieren desarrollar productos, quieren tener innovación. Tener un marco universal o al menos nacional creo que beneficiaría tanto a las empresas como a los consumidores.

Mismo punto sobre la legislación de violación de datos. Uno pensaría que después de las infracciones tipo Titanic que hemos experimentado con los principales minoristas sería suficiente para hacer avanzar la pelota. Pero hoy tenemos 47 niveles diferentes de legislación estatal sobre violaciones de datos. Así que estamos desafiados en esas áreas. Y hace dos años, el presidente Obama presentó una declaración de derechos de privacidad en la Casa Blanca. Fue genial, yo estaba allí. En 24 horas, los principales grupos comerciales dijeron que no iban a apoyarlo. Eso es un desafío. Creo que un llamado a la acción es: veamos el beneficio a largo plazo aquí, reconozcamos la privacidad y el derecho del consumidor a la privacidad como un activo, no diferente del medio ambiente.

Necesitamos analizar esto porque nuevamente, si continuamos ignorando la privacidad, podría convertirse en un derrame tóxico que, con el tiempo, tardará mucho tiempo en reconstruirse y revitalizarse el medio ambiente. Y ese es el desafío que tenemos hoy en la privacidad.

DAVID : Habiendo pasado por los primeros días de la legislación CAN-SPAM y los debates en torno a eso, estaba bastante claro que nos dirigíamos por una ruta de aceptación hasta que algunos cabilderos se involucraron en el último minuto. Y ahora tenemos esta ley de exclusión bajo la cual tenemos que operar. Así que sí, es interesante ver cómo funcionan las ruedas del gobierno. Y, obviamente, al estar en un año electoral el próximo año, probablemente no haya ganas de impulsar ningún tipo de legislación de privacidad suficiente en lo que se refiere al beneficio del consumidor a corto plazo.

CRAIG : Una de las cosas que acabamos de publicar fue una auditoría de los 23 candidatos presidenciales. Lo que fue increíble es que efectivamente seis de ellos no tenían políticas de privacidad o políticas que no abordaran ninguno de los aspectos fundamentales de la privacidad. Da un poco de miedo pensar que uno de estos candidatos podría ser el próximo presidente de los Estados Unidos, y que sus campañas y su personal realmente no se están enfocando en los datos y la privacidad del consumidor desde la perspectiva del consumidor. Y eso es preocupante a medida que avanzamos. Así que, con suerte, estamos avanzando, aumentando esa conciencia y también aumentando la conciencia de lo que los consumidores deberían pensar sobre los sitios que frecuentan.

Las implicaciones de privacidad del Internet de las Cosas

DAVID : Estamos escuchando mucho sobre Internet de las cosas y ese tipo de iniciativas. ¿Tiene alguna idea de las implicaciones de privacidad en torno a la Internet de las cosas? ¿Y en qué debemos comenzar a pensar como empresas para prepararnos para cuando el Internet de las cosas se convierta en la corriente principal?

CRAIG : El Internet de las cosas produce una gran cantidad de innovación, se está introduciendo una gran cantidad de productos y servicios, pero hay una falla un tanto sistémica al considerar la seguridad y la privacidad de manera integral.

Hemos desarrollado un marco, lo que llamamos un marco IOT de confianza , un marco de Internet de las cosas. Esto analiza la sostenibilidad, en términos del impacto a largo plazo. ¿Cómo se actualizará o reparará la puerta de mi garaje? ¿Cómo sabré? ¿Qué datos se recopilan a lo largo del tiempo, cómo se notifica a un consumidor? Y ya sea que se trate de un monitor para bebés, un servicio de transmisión digital dentro del hogar, un abridor de puertas de garaje o una tecnología portátil, estos dispositivos recopilan una gran cantidad de datos. ¿Realmente estamos pensando en cómo se almacenan esos datos, cómo se transmiten y, de nuevo, cuáles son las políticas de privacidad? ¿Sabemos cómo ese fabricante de televisores está compartiendo los datos? ¿Los consumidores tienen la transparencia y la capacidad de optar por participar o no?

Así que ese es el panorama que tenemos hoy. Literalmente miles de dispositivos salen a diario. Desde bombillas hasta vigilabebés, como decíamos, hasta electrodomésticos. Tenemos que mirar esto. El lado positivo es que los fabricantes de dispositivos buscan este liderazgo, no muy diferente de los desafíos de no tener una legislación sobre violación de datos. Hoy no hay legislación ni siquiera un código de conducta o buenas prácticas. Durante los últimos ocho meses, la OTA ha reunido a un grupo muy amplio de partes interesadas para unirse y ayudar a desarrollar este marco para que podamos comprender y abordar mejor los problemas de seguridad, privacidad y sostenibilidad de los dispositivos IOT y los datos que recopilan.

DAVID : Hay una gran cantidad de problemas que surgen cuando todo está conectado y las cosas están en la red. Tengo esta visión de mi refrigerador en casa averiado y sin hablar con la cafetera o la tostadora. Creo que tengo que ir a casa y comprobar eso. Pero definitivamente hay muchos problemas en torno a eso.

¿En qué tipo de amenazas digitales adicionales deberíamos estar pensando ahora? Esa es una pregunta capciosa porque realmente no lo sabemos. Pero, ¿qué crees que viene, de lo que ves en cuanto a tendencias dentro del ecosistema digital?

CRAIG : Los consumidores se están dando cuenta de enormes beneficios. Estamos pasando de múltiples PC desde nuestros hogares, a lectores, a dispositivos móviles. Estos dispositivos están con nosotros todo el tiempo. A veces eso es bueno, a veces eso es malo. La capacidad de rastrear a un consumidor de un dispositivo a otro puede ser excelente si recuerda dónde estaba leyendo un artículo, y la próxima vez que lo abra en el avión recuerda lo mismo. Hay muchos aspectos positivos en el seguimiento entre dispositivos. Lo contrario de eso es cómo se usa, lo que puede no estar dentro de las expectativas de un consumidor.

Hoy tenemos un entorno en el que tenemos seguimiento, tenemos tecnologías de reconocimiento facial que están sucediendo, tenemos drones. ¿Cuáles son las preocupaciones de privacidad de esto? Hablamos sobre el derecho a la privacidad dentro de su hogar, pero ¿qué pasa con el dron que vuela por encima, cómo se recopilan y utilizan esos datos? Tenemos estas áreas que, como formuladores de políticas, como líderes empresariales, debemos analizar, porque nuevamente el poder del estado es tremendo, pero también el poder del abuso puede ser igualmente significativo.

DAVID : No podría estar más de acuerdo contigo. Acabo de actualizar mi cable en casa y una de las nuevas funciones es la información de mi cuenta. Facturación, toda mi PI [información personal] se muestra en mi televisor, lo cual fue bastante sorprendente, y me sentía extremadamente infringido cuando lo encendí ayer.

La dificultad de preservar el anonimato y la privacidad

MIEMBRO DEL PÚBLICO : Recuerdo haber leído una historia sobre el filtrado colaborativo y los pocos puntos de datos que realmente se necesitan antes de que pueda comenzar a hacer predicciones bastante precisas. ¿Hablará de eso en relación con los datos y la privacidad?

CRAIG : Bueno, absolutamente. Un buen ejemplo fue esta demanda con AOL hace años. Afirmaron que básicamente estaban anonimizando toda la información, y que no tomó mucho trabajo decir "Bueno, espera un segundo, aquí hay un chico, tiene 42 años, no tiene mucho vello facial en la cabeza, tiene un acento inglés, vive en un código postal específico, y todas esas cosas. Y de repente te identificas con una precisión del 99 por ciento de que es David Fowler.

Veo la privacidad personal de alguien con gran respeto, ya sea su punto de vista político o sus puntos de vista sobre temas contemporáneos. Esos quedan expuestos muy rápidamente. Es frustrante porque desde una perspectiva legal el argumento es, “Muéstrame el daño, no importa que yo sepa el punto de vista político de David, o sus intereses personales. Entonces, ¿cuál es el daño real? Ese es un problema con el modelo legal estadounidense. Es un enfoque basado en los daños. Considerando que la UE cree en este derecho fundamental a la privacidad. La caída de Safe Harbor pone de relieve este problema.

Es increíble pensar que aquí, una década después, estamos hablando de algunos de los mismos temas. Creo que a veces nos enfocamos tanto en lo negativo, y sigo tratando de volver a los consumidores que están obteniendo una gran cantidad de valor hoy. El desafío es que lleguemos a este punto de inflexión donde los consumidores pierden la confianza. Eso ya lo estamos viendo. La gente responde; más personas están usando bloqueadores de anuncios que nunca más. ¿Por qué? Porque no confían en los anuncios. Les preocupan las prácticas de privacidad que no pueden controlar y los anuncios maliciosos que se publican.

DAVID : Eso definitivamente se discutió hace diez años; ahí es donde nos dirigíamos: no puedes confiar en el correo electrónico, no puedes confiar en la marca, etc. Obviamente, en este espacio es un poco más complejo, pero cuando nos enfocamos solo en el correo electrónico, era la misma conversación.

CRAIG : Una vez más, es a largo plazo lo que está sucediendo. Usamos bastante la analogía de la contaminación y el medio ambiente. Mucha gente dice: “Bueno, es solo un poco de aceite que se está yendo por el desagüe, no es gran cosa, supéralo. Y es solo la dirección de tu casa, alguien puede conseguirla en otro lugar”.

Pero es el poder de los grandes datos y el análisis poder agregar todos estos datos con otras fuentes de datos; lo que parecen ser píxeles aislados de información se convierten en una composición muy completa del estilo de vida de alguien. En el contexto adecuado, esto puede ser muy poderoso; en el contexto equivocado puede perjudicar a alguien y su educación, sus posibilidades de empleo, o en otras áreas. Entonces esas son preocupaciones.

Beneficios comerciales por unirse a la OTA

DAVID : ¿Podría hablar por un momento sobre cómo se beneficiaría una empresa al unirse a la OTA y la organización que representa?

CRAIG : Online Trust Alliance es una organización benéfica 501(c)(3). Fieles a nuestra misión, trabajamos con un amplio grupo de partes interesadas para desarrollar lo que creemos que son principios y mejores prácticas que mejoran la confianza, pero igualmente importantes que demuestran un compromiso con la autorregulación. Creo que las empresas tienen un beneficio significativo en todos los aspectos de eso. Las marcas se benefician, los consumidores se benefician y lo último que nadie quiere es legislación y regulaciones que limiten nuestra capacidad de ser progresistas e innovadores.

Las empresas realmente tienen un asiento en la mesa. Ellos ayudan a dar forma a esto. Trabajamos nuevamente no solo en los EE. UU., trabajamos internacionalmente en estos temas. Cuando abordamos un problema, no es en nombre de una empresa o conjunto de empresas, es para el ecosistema. Tenemos empresas como Gap and Publisher's Clearinghouse, Target, las principales empresas de alarmas, así como proveedores de servicios y empresas como Microsoft, Twitter y otras. Somos capaces de traer este liderazgo intelectual y esta base de conocimientos, e impulsar nuestras mejores prácticas. Otro de los principales beneficios es que las empresas aprenden unas de otras. El aprendizaje entre pares es muy efectivo, y creo que unirme a la OTA realmente ayudaría a acelerar la planificación comercial y los objetivos comerciales de una empresa.

DAVID : He visto el desarrollo del grupo y ciertamente me he beneficiado personal y profesionalmente del conocimiento compartido. Así que ciertamente apreciamos que nos brinde la oportunidad de hacer eso. Craig, me gustaría agradecerle nuevamente por su tiempo y sus conocimientos. Realmente aprecio que seas parte de la conversación. Y estoy deseando volver a charlar contigo.

CRAIG : Gracias y gracias a Act-On por su liderazgo y por hacer esto posible y por apoyar nuestra visión y nuestros esfuerzos durante la última década.

Adelántese a las leyes de protección de datos y comprenda el marco de cumplimiento de la UE con la guía gratuita de Act-On: Descripción general de la protección de datos de la UE.