La conformità alle normative sulla privacy dei dati, come il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea e il California Consumer Privacy Act (CCPA), richiede un diverso approccio alla sicurezza per la forza lavoro remota. Continua a leggere per scoprire le cinque migliori pratiche di Splashtop per garantire la conformità con una forza lavoro remota.
Remote work isn't going away. According to a recent Gartner estimate, 51 percent of knowledge workers will be performing their work remotely at the start of 2022 - and that number is realistically higher now with the recent surge of the omicron variant across the globe.
Il rispetto delle regole diventa più difficile quando si lavora a distanza. Consideriamo i risultati di questo recente articolo di Security Magazine che discute i risultati dell'Apricorn 2021 Global IT Security Survey su oltre 400 professionisti della sicurezza IT in Nord America ed Europa. Lo studio riguardava le pratiche e le politiche di sicurezza per il lavoro remoto negli ultimi 12 mesi. Diversi risultati riassumono molto bene i rischi:
Il 60% degli intervistati dichiara che le condizioni di lavoro a distanza imposte dall'epidemia di COVID hanno creato delle problematiche di sicurezza dei dati all'interno delle loro organizzazioni
Il 38% ha dichiarato che il controllo dei dati è stato molto difficile da gestire
Nonostante le preoccupazioni sul controllo dei dati, quasi il 20% ha ammesso che i dispositivi di lavoro sono stati utilizzati da altri componenti del nucleo familiare
La conformità alle normative sulla privacy dei dati per i lavoratori remoti non è stata ancora un argomento di interesse prioritario per i team IT. Un articolo di 2021 Healthcare IT News ha sottolineato che solo 2 team IT su 10 hanno dichiarato di aver fornito strumenti e risorse adeguati per supportare i dipendenti che lavorano in remoto a lungo termine. Questa mancanza di preparazione mette le organizzazioni a rischio di violare le leggi sulla privacy dei dati dei consumatori, in particolare il RGPD e il CCPA.
Gli effetti della mancata conformità
Quando un'organizzazione è responsabile di aver causato ai consumatori un danno potenziale, in quanto non ha adeguatamente protetto le loro informazioni personali identificabili (PII), la conseguenza può prevedere multe ingenti, perdita di clienti e danni considerevoli al brand. Sicuramente, la maggior parte delle persone ricorderà dei casi di alto profilo, come la multa comminata dall'UE ad Amazon e H&M per il mancato rispetto del RGPD, quantificabile in 746 milioni di euro e 35 milioni di euro, rispettivamente. In soli tre anni, l'UE ha emesso più di 800 multe nello Spazio economico europeo (SEE) e nel Regno Unito (che ha mantenuto le norme del RGPD anche dopo la Brexit).
Sì, le organizzazioni più piccole vengono multate. Prendiamo come esempio il fornitore di servizi sanitari svedese Capio St. Göran il quale ha subito un danno al marchio e una multa per violazione del RGPD di 2,9 milioni di euro a seguito di un controllo in uno dei suoi ospedali. Dal controllo è emerso che l'azienda non faceva uso di appropriate procedure di valutazione del rischio e non applicava controlli di accesso efficaci. Di conseguenza, un numero eccessivo di dipendenti aveva accesso a dati personali sensibili.
The same type of enforcement applies to all sizes of organizations under California's CCPA. A September 2021 TechTarget article points out that the State of California recently handed out fines to a car dealership, a grocery store chain, an online dating platform and a pet adoption agency - hardly the titans of modern industry.
In conclusione, se si gestiscono team remoti, è necessario adottare diverse misure per adeguare la politica e le pratiche di sicurezza, in modo da continuare a rispettare le leggi sulla privacy dei dati personali.
Fortunatamente, Splashtop ha permesso a migliaia di organizzazioni di lavorare da remoto. Ecco le 5 migliori pratiche comprovate di Splashtop per garantire la conformità con una forza lavoro a distanza.
Cosa significa conformità dei dati ai sensi del RGPD e del CCPA
Sia il RGPD che il CCPA richiedono che le aziende mantengano le informazioni personali private e sicure. I processi aziendali che gestiscono i dati personali devono essere progettati e costruiti con misure di sicurezza volte a proteggere i dati (ad esempio, utilizzando eventualmente la pseudonimizzazione o l'anonimizzazione completa). Le organizzazioni che controllano i dati devono progettare sistemi informativi tenendo presente la privacy.
Also similar to GDPR, Chapter 55 of the California Consumer Privacy Act of 2018 (CCPA) defines personal information as information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked (directly or indirectly) with a particular consumer or household such as a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, social security number, driver's license number, license plate number, passport number, or other similar identifiers.
I regolamenti si applicano ai dipendenti di qualsiasi organizzazione che lavorano in qualsiasi luogo, sia in ufficio che da remoto. È importante sottolineare che non importa in quale parte del mondo lavorino i dipendenti. I regolamenti si applicano quando i consumatori tutelati dai regolamenti risiedono nella zona UE, nel Regno Unito e/o in California. (Si noti che anche numerosi altri Paesi, come Brasile, Sudafrica, Corea del Sud, Giappone e molti altri, hanno istituito normative simili a partire dal 2019-2021).
Procedura ottimale n.1: modifica le procedure di sicurezza informatica in modo che tengano conto della realtà del "lavoro da remoto"
Come dimostrano i dati di cui sopra, molti dipendenti non hanno familiarità con la sicurezza dei dati e i problemi legati alla privacy. Semplicemente, non si rendono conto di come le loro azioni potrebbero essere causa di una violazione dei dati in grado di mettere a repentaglio i dati personali che la tua organizzazione è tenuta a proteggere.
Il modo migliore per informare i dipendenti è stabilire e condividere una politica di cybersecurity che istruisca i dipendenti su come mantenere al sicuro i dati della tua azienda. La buona notizia è che la tua politica di sicurezza informatica può essere un documento semplice. Deve spiegare le ragioni della sua esistenza e fornire i protocolli di sicurezza specifici (in termini non tecnici) che tutti i dipendenti devono seguire. Dovrebbe anche fornire una fonte di contatto (email o numero di telefono) per i dipendenti che hanno bisogno di ulteriore aiuto per comprenderlo.
Procedura ottimale n.2: istruisci i dipendenti e assicurati che l'IT possa assisterli
Gli impiegati sono spesso l'anello più debole della sicurezza informatica. Una regolare formazione sulla sicurezza contribuisce a garantire un costante aggiornamento su come proteggere l'organizzazione da attacchi informatici.
Criteri di account e password: Assegna a tutti gli utenti i propri dati di accesso e concedi l'accesso tramite password complesse e autenticazione a due fattori/multi-fattore.
Controllo della sicurezza dei dati: i controlli sulla sicurezza dei dati includono l'accesso basato sui ruoli e sul principio del minimo privilegio, il monitoraggio degli accessi, la verifica/inventario degli account e la registrazione. In questo modo, tutti gli utenti hanno un livello minimo di accesso ai dati.
Controllo degli accessi: i controlli degli accessi gestiscono l'accesso elettronico ai dati e ai sistemi e sono basati su livelli di autorità, parametri relativi alla necessità di sapere e una precisa separazione dei compiti per le persone che accedono al sistema.
Risposta agli incidenti di sicurezza: tali procedure consentono a un'organizzazione di indagare, rispondere, mitigare e notificare gli eventi relativi ai servizi Splashtop e alle risorse informatiche.
Procedura ottimale n.3: mantieni i dati crittografati in transito e inattivi
Recital 83 of GDPR requires personal data to be protected - both in transit and at rest. You should consider data to be in transit any time someone accesses it, such as when it travels from a website server to a user device. 'Data at rest' refers to data in storage, such as data on a device's hard drive or a USB flash drive.
I due elementi cardine per garantire la protezione dei dati quando i tuoi dipendenti lavorano in remoto sono la crittografia e il controllo degli accessi.
Crittografia: Splashtop crittografa tutti i dati degli utenti in transito e inattivi e tutte le sessioni utente vengono stabilite in modo sicuro utilizzando TLS. Il contenuto a cui si accede in ogni sessione è sempre crittografato tramite AES a 256 bit.
Controllo degli accessi: Splashtop ha implementato il controllo degli accessi per gestire l'accesso elettronico ai dati e ai sistemi. I nostri controlli degli accessi sono basati su livelli di autorità, livelli del tipo "need-to-know" e sulla distinzione delle funzioni per coloro che accedono al sistema.
Splashtop evita di proposito l'eccessiva raccolta di dati, cosa che troppe aziende fanno senza una legittima ragione di servizio. Ci allineiamo più facilmente con le normative NON raccogliendo dati/informazioni sensibili. Raccogliamo, archiviamo ed elaboriamo solo PII limitate, come nome utente (e-mail), password e registri di sessione (per la revisione da parte dei clienti, la risoluzione dei problemi, ecc.
Procedura ottimale n.4: tratta i dati specifici di una determinata regione geografica all'interno del tuo stack
Se la tua azienda si rivolge a utenti situati in una zona regolamentata, il modo migliore per procedere consiste nel creare uno stack di dati/tecnologia specifico per ognuna di queste zone. Splashtop utilizza uno stack UE con sede in Germania. Questa soluzione garantisce che i trasferimenti di dati relativi ai residenti dell'UE rimangano all'interno della sovranità dell'UE (un principio tassativo del RGPD).
Procedura ottimale n.5: scegli un accesso remoto sicuro
Di solito, coloro che lavorano in remoto usano le VPN e il protocollo RDP (Remote Desktop Protocol) per accedere alle applicazioni e ai dati di cui hanno bisogno per svolgere il loro lavoro. Questa situazione ha spinto i criminali informatici a sfruttare le vulnerabilità legate alla sicurezza delle password e delle VPN per accedere alla rete aziendale e trafugare informazioni e dati.
La soluzione di accesso remoto di Splashtop non si basa su una VPN. Inoltre, segue un approccio Zero Trust. Quando i dipendenti accedono da remoto al computer o alla postazione di lavoro dell'ufficio, entrano attraverso una speciale connessione Splashtop. Una connessione che non fa parte della rete aziendale. Ciò significa che possono visualizzare e lavorare con i dati (ad esempio, i documenti Word) solo sul loro desktop remoto e che i dati non viaggiano mai al di fuori della rete aziendale. Con Splashtop i responsabili della sicurezza IT hanno anche la possibilità di attivare o disattivare le funzioni di trasferimento e stampa dei file. Queste scelte sono altamente raccomandate per la conformità, ma non esistono con una strategia RDP/VPN.
L'accesso remoto Splashtop introduce ancora più funzionalità di sicurezza, come l'autenticazione del dispositivo, l'autenticazione a due fattori (2FA), il single sign-on (SSO) e altro ancora. Queste misure di sicurezza moderne non esistono nell'architettura VPN.
Prevenire è più facile che curare
Come dimostrano queste best practice, puoi adottare cinque misure di buon senso per allinearti alle normative sulla privacy dei dati senza dover fare sforzi enormi. Se il lavoro a distanza è destinato a rimanere, i vantaggi di proteggere i dati dei consumatori nel tuo ambiente di lavoro a distanza superano di gran lunga gli effetti negativi di essere trovati "non conformi".