A conformidade com as normas de privacidade de dados, como o Regulamento Geral de Proteção de Dados da União Europeia (RGPD) e a Lei de Privacidade do Consumer da Califórnia (CCPA), exige uma postura de segurança diferente para uma força de trabalho remota. Continue a ler para ver as cinco melhores práticas comprovadas de conformidade da Splashtop quando se tem uma força de trabalho remota.
O trabalho remoto não vai desaparecer. De acordo com uma recente estimativa da Gartner, 51% dos trabalhadores do conhecimento vão realizar o seu trabalho remotamente no início de 2022 - e esse número é realisticamente mais elevado agora com o recente aumento da variante omicron em todo o mundo.
O cumprimento se torna mais difícil em condições de trabalho remoto. Considere as conclusões deste artigo recente da revista de segurança que discute os resultados do Apricorn 2021 Global IT Security Survey de mais de 400 profissionais de segurança de TI em toda a América do Norte e Europa. O estudo foi sobre práticas e políticas de segurança para o trabalho remoto nos últimos 12 meses. Vários resultados resumiram muito bem os riscos:
60% dos pesquisados dizem que as condições de trabalho remoto induzidas pela COVID criaram problemas de segurança de dados dentro das suas organizações
38% afirmou que o controle de dados tem sido muito difícil de gerir
Apesar das preocupações com o controle de dados, quase 20% admitiram que os seus dispositivos de trabalho foram utilizados por outros membros do seu núcleo familiar
A conformidade com as regulamentações de privacidade de dados para trabalhadores remotos ainda não foi um foco para as equipes de TI. Um artigo de 2021 da Healthcare IT News apontou que apenas 2 em cada 10 equipes de TI afirmaram ter fornecido ferramentas e recursos adequados para apoiar os colaboradores que trabalham remotamente a longo prazo. Esta falta de preparação coloca as organizações em risco de violarem as leis de privacidade de dados de consumo, em particular o RGPD e o CCPA.
O Impacto da Não-Conformidade
Quando se verifica que uma organização causou potenciais danos aos consumidores por não proteger adequadamente as suas informações de identificação pessoal (PII), o resultado pode incluir multas substanciais, perda de clientes e danos significativos à marca. Certamente, a maioria das pessoas pode recordar casos de alto perfil como a UE multando a Amazon e a H&M por não ter cumprido com a RGPD em 746 milhões de euros e 35 milhões de euros, respetivamente. No entanto, em apenas 3 anos, a UE emitiu mais de 800 multas em todo o Espaço Económico Europeu (EEE) e no Reino Unido (que mantém as regras do RGPD, mesmo depois do Brexit).
Sim, as organizações mais pequenas são multadas. Tome, por exemplo, a prestadora de cuidados de saúde sueca Capio St. Göran. Recebeu danos à marca e uma multa RGPD no valor de 2,9 milhões de euros na sequência de uma auditoria a um dos seus hospitais. A auditoria demonstrou que a empresa não utilizou avaliações de risco adequadas e não implementou controles de acesso eficazes. Como resultado, vários funcionários tiveram acesso a dados pessoais sensíveis.
O mesmo tipo de obrigação se aplica a todos os tamanhos de organizações sob o CCPA da Califórnia. Um artigo de Setembro de 2021 da TechTarget aponta que o Estado da Califórnia distribuiu recentemente multas a uma concessionária de carros, uma cadeia de mercearias, uma plataforma de encontros online e uma agência de adoção de animais - dificilmente os titãs da indústria moderna.
Em última análise: se você estiver gerenciando equipes remotas, precisa tomar várias medidas para ajustar a sua política e práticas de segurança para se manter em conformidade com as leis de privacidade de dados pessoais.
Felizmente, a Splashtop tem permitido que milhares de organizações trabalhem remotamente. Aqui estão as 5 melhores práticas comprovadas de conformidade da Splashtop quando se tem uma força de trabalho remota.
O que Significa Conformidade de Dados sob a GDPR e a CCPA
Tanto o RGPD como a CCPA exigem que as empresas mantenham as informações pessoais privadas e seguras. Os processos comerciais que tratam dados pessoais devem ser concebidos e construídos com medidas de segurança para proteger os dados (por exemplo, utilizando pseudonimização ou anonimização total, quando adequado). As organizações que controlam dados devem desenhar sistemas de informação tendo a privacidade em mente.
Também semelhante à GDPR, O Capítulo 55 da Lei de Privacidade do Consumidor da Califórnia de 2018 (CCPA) define informação pessoal como informação que identifica, se relaciona, descreve, é razoavelmente capaz de ser associada, ou poderia ser razoavelmente ligada (direta ou indiretamente) a um determinado consumidor ou agregado familiar tal como um nome real, apelido, endereço postal, identificador pessoal único, identificador online, endereço do Protocolo de Internet, endereço de e-mail, nome da conta, número de segurança social, número da carteira de habilitação, número da matrícula, número do passaporte, ou outros identificadores semelhantes.
Os regulamentos se aplicam aos funcionários de qualquer organização que trabalhem em qualquer localização, seja no escritório ou remotamente. Não importa onde no mundo os empregados trabalham. Os regulamentos aplicam-se quando os consumidores que são protegidos pelos regulamentos vivem na zona da UE, Reino Unido e/ou Califórnia. (Note que muitos outros países, tais como Brasil, África do Sul, Coreia do Sul, Japão e muitos outros também instituíram regulamentos semelhantes a partir de 2019-2021).
Melhor prática #1: Atualize a sua política de segurança cibernética para refletir a realidade do “trabalho remoto”
Como mostram os dados acima, muitos empregados não estão familiarizados com questões de segurança e privacidade de dados e simplesmente não reconhecem como as suas ações podem levar a uma quebra de dados que expõe os dados pessoais que a sua organização deve proteger.
A melhor maneira de informar os funcionários é estabelecer e compartilhar uma política de segurança cibernética que instrua os funcionários sobre como manter os dados do seu negócio seguros. A boa notícia é que a sua política de segurança TI pode ser um documento simples. Ele deve explicar as razões pela qual existe e fornecer os protocolos de segurança específicos (em termos não técnicos) que todos os funcionários devem seguir. Também deve fornecer uma fonte de contato (e-mail ou telefone) para os funcionários que precisam de ajuda adicional para compreenderem isso.
Boas Práticas #2: Treinar os funcionários e garantir que o TI pode dar suporte a eles
Os funcionários são muitas vezes o elo mais fraco na cibersegurança. O treinamento regular de segurança ajuda a manter os funcionários atualizados sobre como proteger a organização de ataques maliciosos.
Políticas de Conta e Senha:
Atribuir a todos os usuários os seus próprios logins e conceder acesso através de palavras-passe fortes e autenticação de dois fatores/vários fatores.
Controle de Segurança de Dados:
Os controles de segurança de dados incluem acesso baseado em função com base no princípio de menos privilégio, monitoramento de acesso, revisão de conta/inventário e registro. Isso significa que todos os usuários têm um nível mínimo de acesso aos dados.
Controle de Acesso:
Os controles de acesso gerem o acesso eletrônico a dados e sistemas e baseiam-se nos níveis de autoridade, nos parâmetros da necessidade de saber e numa separação clara de funções para as pessoas que acessam o sistema.
Resposta a Incidentes de Segurança:
Os procedimentos da “Resposta a Incidentes de Segurança” permitem que uma organização investigue, responda, mitigue e notifique eventos relacionados com os serviços e ativos de informação da Splashtop.
Boas Práticas #3: Mantenha os dados encriptados quando em trânsito e em repouso
O considerando 83 da GDPR requer que os dados pessoais sejam protegidos - tanto em trânsito como em repouso. Você deve considerar os dados como estando em trânsito sempre que alguém os acessa, como por exemplo quando os mesmos viajam de um servidor de website para um dispositivo do usuário. "Dados em repouso" refere-se a dados em armazenamento, tais como dados no disco rígido de um dispositivo ou em uma unidade USB (pendrive).
As duas chaves para manter a proteção de dados quando os seus funcionários trabalham remotamente são a encriptação e o controle de acesso.
Encriptação:
A Splashtop encripta todos os dados dos usuários em trânsito e em repouso, e todas as sessões de usuários são estabelecidas com segurança utilizando o TLS. O conteúdo acessado dentro de cada sessão é sempre encriptado via AES de 256 bits.
Controle de Acesso:
A Splashtop implementou controles de acesso para gerir o acesso eletrônico a dados e sistemas. Os nossos controles de acesso se baseiam nos níveis de autoridade, níveis de necessidade de saber, bem como na segregação de funções para aqueles que acessam o sistema.
A Splashtop evita propositalmente a coleta excessiva de dados - algo que muitas empresas fazem sem uma razão legítima de serviço comercial. Nos alinhamos mais facilmente com os regulamentos, NÃO recolhendo dados/informações sensíveis. Só coletamos, armazenamos e processamos PII limitada, como nome de usuário (e-mail), senha e registros da sessão (para os clientes analisarem, solucionarem problemas, etc.) e a Splashtop não vende informações dos clientes de acordo com o RGPD e as diretrizes do CCPA.
Boas práticas #4: Trate dados específicos de geografia dentro da sua própria pilha
Se a sua empresa servir os usuários numa zona regulada, o jeito mais seguro de atuar é criando uma pilha de dados/tecnologia específica para cada zona regulamentada. A Splashtop aproveita uma pilha da UE sediada na Alemanha. Isto garante que as transferências de dados relacionadas com os residentes da UE permanecem dentro da soberania da UE (uma regra rigorosa do RGPD).
Melhor Prática #5: Use acesso remoto seguro
As pessoas que trabalham remotamente usam VPNs e RDP (remoto desktop protocol) para acessar as aplicações e dados de que necessitam para executar o seu trabalho. Isso levou os cibercriminosos a explorar a segurança fraca das senhas e vulnerabilidades VPN para acessar à rede corporativa, roubando informações e dados.
A solução de acesso remoto da Splashtop não depende de uma VPN. Além disso, segue uma abordagem de Confiança Zero. Quando os funcionários acessam remotamente o computador ou estação de trabalho do escritório, entram através de uma conexão Splashtop especial. Uma conexão que não faz parte da rede corporativa. Isso significa que só podem ver e trabalhar com os dados (ou seja, documentos do Word) no seu desktop remoto e os dados nunca viajam para fora da rede corporativa. Os líderes de segurança de TI também têm a escolha com a Splashtop para ativar ou desativar as funções de transferência de arquivos e impressão. Estas escolhas são altamente recomendadas para que haja conformidade, mas não existem com uma estratégia RDP/VPN.
O acesso remoto Splashtop apresenta ainda mais recursos de segurança, como autenticação de dispositivo, autenticação de dois fatores (2FA), autenticação única (SSO) e muito mais. Essas medidas de segurança modernas não existem na arquitetura VPN.
Prevenir é Mais Fácil que Remediar
Como estas melhores práticas demonstram, você pode dar cinco passos de senso comum para alinhar com as regulamentações de privacidade de dados sem um esforço massivo. Com o trabalho remoto veio para ficar, o lado positivo para proteger os dados dos consumidores no seu ambiente de força de trabalho remota supera em muito os efeitos negativos de ser encontrado 'sem conformidade'.