O cumprimento dos regulamentos de privacidade de dados, como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA), requer uma postura de segurança diferente para uma força de trabalho remota. Continue a ler as cinco melhores práticas comprovadas da Splashtop para se manter em conformidade com uma força de trabalho remota.
O trabalho remoto não vai desaparecer. De acordo com uma recente estimativa da Gartner, 51% dos trabalhadores do conhecimento vão realizar o seu trabalho remotamente no início de 2022 - e esse número é realisticamente mais elevado agora com o recente aumento da variante omicron em todo o mundo.
O cumprimento se torna mais difícil em condições de trabalho remoto. Considere as conclusões deste artigo recente da revista de segurança que discute os resultados do Apricorn 2021 Global IT Security Survey de mais de 400 profissionais de segurança de TI em toda a América do Norte e Europa. O estudo foi sobre práticas e políticas de segurança para o trabalho remoto nos últimos 12 meses. Vários resultados resumiram muito bem os riscos:
60% dos pesquisados dizem que as condições de trabalho remoto induzidas pela COVID criaram problemas de segurança de dados dentro das suas organizações
38% afirmou que o controle de dados tem sido muito difícil de gerir
Apesar das preocupações com o controle de dados, quase 20% admitiram que os seus dispositivos de trabalho foram utilizados por outros membros do seu núcleo familiar
A conformidade com as regulamentações de privacidade de dados para trabalhadores remotos ainda não foi um foco para as equipes de TI. Um artigo de 2021 da Healthcare IT News apontou que apenas 2 em cada 10 equipes de TI afirmaram ter fornecido ferramentas e recursos adequados para apoiar os colaboradores que trabalham remotamente a longo prazo. Esta falta de preparação coloca as organizações em risco de violarem as leis de privacidade de dados de consumo, em particular o RGPD e o CCPA.
O Impacto da Não-Conformidade
Quando se verifica que uma organização causou potenciais danos aos consumidores por não proteger adequadamente as suas informações de identificação pessoal (PII), o resultado pode incluir multas substanciais, perda de clientes e danos significativos à marca. Certamente, a maioria das pessoas pode recordar casos de alto perfil como a UE multando a Amazon e a H&M por não ter cumprido com a RGPD em 746 milhões de euros e 35 milhões de euros, respetivamente. No entanto, em apenas 3 anos, a UE emitiu mais de 800 multas em todo o Espaço Económico Europeu (EEE) e no Reino Unido (que mantém as regras do RGPD, mesmo depois do Brexit).
Sim, as organizações mais pequenas são multadas. Tome, por exemplo, a prestadora de cuidados de saúde sueca Capio St. Göran. Recebeu danos à marca e uma multa RGPD no valor de 2,9 milhões de euros na sequência de uma auditoria a um dos seus hospitais. A auditoria demonstrou que a empresa não utilizou avaliações de risco adequadas e não implementou controles de acesso eficazes. Como resultado, vários funcionários tiveram acesso a dados pessoais sensíveis.
O mesmo tipo de obrigação se aplica a todos os tamanhos de organizações sob o CCPA da Califórnia. Um artigo de Setembro de 2021 da TechTarget aponta que o Estado da Califórnia distribuiu recentemente multas a uma concessionária de carros, uma cadeia de mercearias, uma plataforma de encontros online e uma agência de adoção de animais - dificilmente os titãs da indústria moderna.
Em última análise: se você estiver gerenciando equipes remotas, precisa tomar várias medidas para ajustar a sua política e práticas de segurança para se manter em conformidade com as leis de privacidade de dados pessoais.
Felizmente, a Splashtop tem permitido que milhares de organizações trabalhem remotamente. Aqui estão as 5 melhores práticas comprovadas da Splashtop para se manter em conformidade com uma força de trabalho remota.
O que Significa Conformidade de Dados sob a GDPR e a CCPA
Tanto o RGPD como a CCPA exigem que as empresas mantenham as informações pessoais privadas e seguras. Os processos comerciais que tratam dados pessoais devem ser concebidos e construídos com medidas de segurança para proteger os dados (por exemplo, utilizando pseudonimização ou anonimização total, quando adequado). As organizações que controlam dados devem desenhar sistemas de informação tendo a privacidade em mente.
Também semelhante à GDPR, O Capítulo 55 da Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA) define informação pessoal como informação que identifica, se relaciona, descreve, é razoavelmente capaz de ser associada, ou poderia ser razoavelmente ligada (direta ou indiretamente) a um determinado consumidor ou agregado familiar tal como um nome real, apelido, endereço postal, identificador pessoal único, identificador online, endereço do Protocolo de Internet, endereço de e-mail, nome da conta, número de segurança social, número da carteira de habilitação, número da matrícula, número do passaporte, ou outros identificadores semelhantes.
O regulamento aplica-se aos empregados de qualquer organização que trabalhem em qualquer local, seja no escritório ou remotamente. O mais importante é que não importa onde no mundo os empregados trabalham. Os regulamentos aplicam-se quando os consumidores que estão protegidos pelos regulamentos vivem na zona da UE, no Reino Unido e/ou na Califórnia. (Nota que vários outros países, como o Brasil, África do Sul, Coreia do Sul, Japão e muitos outros também instituíram regulamentos semelhantes de 2019 a 2021).
Melhor Prática #1: Atualize a sua política de segurança cibernética para refletir a realidade do "trabalho remoto".
Como mostram os dados acima, muitos empregados não estão familiarizados com questões de segurança e privacidade de dados e simplesmente não reconhecem como as suas ações podem levar a uma quebra de dados que expõe os dados pessoais que a sua organização deve proteger.
A melhor maneira de informar os empregados é estabelecer e compartilhar uma política de cibersegurança que instrua os empregados sobre como manter os dados do seu negócio seguros. A boa notícia é que a sua política de segurança informática pode ser um documento simples. Ele deve explicar as razões da sua existência e fornecer os protocolos de segurança específicos (em termos não técnicos) que todos os empregados devem seguir. Também deve fornecer uma fonte de contato (e-mail ou telefone) para os empregados que precisem de ajuda adicional para o compreenderem.
Boas Práticas #2: Treinar os funcionários e garantir que o TI pode dar suporte a eles
Os funcionários são muitas vezes o elo mais fraco na cibersegurança. O treinamento regular de segurança ajuda a manter os funcionários atualizados sobre como proteger a organização de ataques maliciosos.
Políticas de Conta e Senha:
Atribui a todos os usuários os seus próprios logins e conceda acesso através de senhas fortes e autenticação de dois fatores / multi-fatores.
Controle de Segurança de Dados:
Os controles de segurança de dados incluem o acesso baseado no princípio do menor privilégio, monitoramento de acesso, revisão/inventário de contas e registro. Isto significa que todos os usuários têm um nível mínimo de acesso aos dados.
Controle de Acesso:
Os controles de acesso gerenciam o acesso eletrônico a dados e sistemas e são baseados em níveis de autoridade, parâmetros de necessidade de conhecimento e uma clara separação de deveres para as pessoas que acessam o sistema.
Resposta a Incidentes de Segurança:
Os procedimentos de "Resposta a Incidentes de Segurança" permitem a uma organização investigar, responder, mitigar e notificar de eventos relacionados com os serviços Splashtop e ativos de informação.
Boas Práticas #3: Mantenha os dados encriptados quando em trânsito e em repouso
O considerando 83 da GDPR requer que os dados pessoais sejam protegidos - tanto em trânsito como em repouso. Você deve considerar os dados como estando em trânsito sempre que alguém os acessa, como por exemplo quando os mesmos viajam de um servidor de website para um dispositivo do usuário. "Dados em repouso" refere-se a dados em armazenamento, tais como dados no disco rígido de um dispositivo ou em uma unidade USB (pendrive).
As duas chaves para manter a proteção de dados quando os seus funcionários trabalham remotamente são a encriptação e o controle de acesso.
Encriptação:
A Splashtop encripta todos os dados dos usuários em trânsito e em repouso, e todas as sessões dos usuários são estabelecidas com segurança usando TLS. O conteúdo acessado dentro de cada sessão é sempre encriptado através de AES de 256 bits.
Controle de Acesso:
A Splashtop implementou controles de acesso para gerir o acesso eletrônico a dados e sistemas. Os nossos controles de acesso são baseados em níveis de autoridade, níveis de necessidade de conhecimento, bem como na segregação de deveres para aqueles que acessam o sistema.
A Splashtop evita propositadamente a recolha excessiva de dados - algo que muitas empresas fazem sem uma razão de serviço comercial legítima. Nos alinhamos mais facilmente com os regulamentos ao NÃO recolher dados/informações sensíveis. Apenas recolhemos, armazenamos e processamos informações pessoais limitadas, tais como nome de usuário (e-mail), senha e registros de sessão (para os clientes reverem, resolução de problemas, etc.), e a Splashtop não vende as informações do cliente, conforme a GDPR e diretrizes da CCPA.
Boas práticas #4: Trate dados específicos de geografia dentro da sua própria pilha
Se a sua empresa servir os usuários numa zona regulada, o jeito mais seguro de atuar é criando uma pilha de dados/tecnologia específica para cada zona regulamentada. A Splashtop aproveita uma pilha da UE sediada na Alemanha. Isto garante que as transferências de dados relacionadas com os residentes da UE permanecem dentro da soberania da UE (uma regra rigorosa do RGPD).
Melhor Prática #5: Use acesso remoto seguro
As pessoas que trabalham remotamente usam VPNs e RDP (remoto desktop protocol) para acessar as aplicações e dados de que necessitam para executar o seu trabalho. Isso levou os cibercriminosos a explorar a segurança fraca das senhas e vulnerabilidades VPN para acessar à rede corporativa, roubando informações e dados.
A solução de acesso remoto da Splashtop não depende de uma VPN. Além disso, ela segue uma abordagem Zero Trust. Quando os empregados acessam remotamente o computador do escritório ou à estação de trabalho, eles entram através de uma conexão especial Splashtop. Uma conexão que não faz parte da rede corporativa. Isto significa que eles só podem ver e trabalhar com os dados (ou seja, documentos Word) no seu ambiente de trabalho remoto, e os dados nunca viajam fora da rede corporativa. Os líderes de segurança informática também têm a escolha, com a Splashtop, de ativar ou desativar tanto a transferência de arquivos como as funções de impressão. Estas escolhas são altamente recomendadas para se manter em conformidade, mas não existem com uma estratégia RDP/VPN.
O acesso remoto Splashtop apresenta ainda mais recursos de segurança, como autenticação de dispositivo, autenticação de dois fatores (2FA), autenticação única (SSO) e muito mais. Essas medidas de segurança modernas não existem na arquitetura VPN.
Prevenir é Mais Fácil que Remediar
Como estas melhores práticas demonstram, você pode tomar cinco medidas de senso comum para se alinhar com os regulamentos de privacidade de dados sem um esforço gigante. Com o trabalho remoto aqui para ficar, o lado positivo de proteger os dados do consumidor no seu ambiente de trabalho remoto supera de longe os efeitos negativos de ser encontrado "fora de conformidade".
