La gestione della conformità RGPD e CCPA per una forza lavoro remota

La conformità alle normative sulla privacy in materia di dati, come il Regolamento generale sulla protezione dei dati (RGPD) dell'Unione europea e il California Consumer Privacy Act (CCPA), richiede un diverso atteggiamento di sicurezza per una forza lavoro remota. Continua a leggere e scopri le cinque procedure ottimali di Splashtop per la conformità quando si ha una forza lavoro remota.

Il lavoro a distanza non sta scomparendo. Secondo una recente stima di Gartner, all'inizio del 2022, il 51% dei lavoratori della conoscenza eseguirà il proprio lavoro da remoto e, attualmente, questa cifra è realisticamente più alta a causa della recente impennata della variante omicron in tutto il mondo.

Il rispetto delle regole diventa più difficile quando si lavora a distanza. Consideriamo i risultati di questo recente articolo di Security Magazine che discute i risultati dell'Apricorn 2021 Global IT Security Survey su oltre 400 professionisti della sicurezza IT in Nord America ed Europa. Lo studio riguardava le pratiche e le politiche di sicurezza per il lavoro remoto negli ultimi 12 mesi. Diversi risultati riassumono molto bene i rischi:

  • Il 60% degli intervistati dichiara che le condizioni di lavoro a distanza imposte dall'epidemia di COVID hanno creato delle problematiche di sicurezza dei dati all'interno delle loro organizzazioni
  • Il 38% ha dichiarato che il controllo dei dati è stato molto difficile da gestire
  • Nonostante le preoccupazioni sul controllo dei dati, quasi il 20% ha ammesso che i dispositivi di lavoro sono stati utilizzati da altri componenti del nucleo familiare

La conformità alle normative sulla privacy dei dati per i lavoratori remoti non è stata ancora un argomento di interesse prioritario per i team IT. Un articolo di 2021 Healthcare IT News ha sottolineato che solo 2 team IT su 10 hanno dichiarato di aver fornito strumenti e risorse adeguati per supportare i dipendenti che lavorano in remoto a lungo termine. Questa mancanza di preparazione mette le organizzazioni a rischio di violare le leggi sulla privacy dei dati dei consumatori, in particolare il RGPD e il CCPA.

Gli effetti della mancata conformità

Quando un'organizzazione è responsabile di aver causato ai consumatori un danno potenziale, in quanto non ha adeguatamente protetto le loro informazioni personali identificabili (PII), la conseguenza può prevedere multe ingenti, perdita di clienti e danni considerevoli al brand. Sicuramente, la maggior parte delle persone ricorderà dei casi di alto profilo, come la multa comminata dall'UE ad Amazon e H&M per il mancato rispetto del RGPD, quantificabile in 746 milioni di euro e 35 milioni di euro, rispettivamente. In soli tre anni, l'UE ha emesso più di 800 multe nello Spazio economico europeo (SEE) e nel Regno Unito (che ha mantenuto le norme del RGPD anche dopo la Brexit).

Sì, le organizzazioni più piccole vengono multate. Prendiamo come esempio il fornitore di servizi sanitari svedese Capio St. Göran il quale ha subito un danno al marchio e una multa per violazione del RGPD di 2,9 milioni di euro a seguito di un controllo in uno dei suoi ospedali. Dal controllo è emerso che l'azienda non faceva uso di appropriate procedure di valutazione del rischio e non applicava controlli di accesso efficaci. Di conseguenza, un numero eccessivo di dipendenti aveva accesso a dati personali sensibili.

Questo stesso tipo di attuazione viene eseguito nei confronti di organizzazioni di tutte le dimensioni in base al CCPA della California. Un articolo di TechTarget del settembre 2021 sottolinea che lo stato della California ha recentemente multato una concessionaria d'auto, una catena di negozi di alimentari, una piattaforma di incontri online e un'agenzia di adozioni di animali, che non sono propriamente dei colossi dell'industria moderna.

In conclusione, se si gestiscono team remoti, è necessario adottare diverse misure per adeguare la politica e le pratiche di sicurezza, in modo da continuare a rispettare le leggi sulla privacy dei dati personali.

Fortunatamente, Splashtop ha consentito a migliaia di organizzazioni di lavorare in remoto. Ecco le 5 best practice comprovate di Splashtop per la conformità pur avendo una forza lavoro remota.

Cosa significa conformità dei dati ai sensi del RGPD e del CCPA

Sia il RGPD che il CCPA richiedono che le aziende mantengano le informazioni personali private e sicure. I processi aziendali che gestiscono i dati personali devono essere progettati e costruiti con misure di sicurezza volte a proteggere i dati (ad esempio, utilizzando eventualmente la pseudonimizzazione o l'anonimizzazione completa). Le organizzazioni che controllano i dati devono progettare sistemi informativi tenendo presente la privacy.

Analogamente al RGPD, il capitolo 55 del California Consumer Privacy Act del 2018 (CCPA) stabilisce che le informazioni personali comprendono informazioni che identificano, si riferiscono, descrivono, sono ragionevolmente associabili o potrebbero essere ragionevolmente collegate (direttamente o indirettamente) a un particolare consumatore o nucleo familiare, come ad esempio un nome reale, uno pseudonimo, un indirizzo postale, un identificatore personale univoco, un identificatore online, un indirizzo Internet Protocol, un indirizzo e-mail, il nome di un account, un codice fiscale, un numero di licenza di guida, un numero di targa, un numero di passaporto o altri identificatori simili.

Le norme si applicano ai dipendenti di qualsiasi organizzazione che lavorano in qualsiasi luogo, sia in ufficio che in remoto. È importante sottolineare che non importa in quale parte del mondo lavorano i dipendenti. Le norme si applicano quando i consumatori protetti dalle normative vivono nella zona dell'UE, nel Regno Unito e/o in California. (Si noti che anche numerosi altri paesi, come Brasile, Sudafrica, Corea del Sud, Giappone e molti altri hanno istituito regolamenti simili a partire dal 2019-2021).

Procedura ottimale n.1: modifica le procedure di sicurezza informatica in modo che tengano conto della realtà del "lavoro da remoto"

Come dimostrano i dati di cui sopra, molti dipendenti non hanno familiarità con la sicurezza dei dati e i problemi legati alla privacy. Semplicemente, non si rendono conto di come le loro azioni potrebbero essere causa di una violazione dei dati in grado di mettere a repentaglio i dati personali che la tua organizzazione è tenuta a proteggere.

Il modo migliore per tenere informati i dipendenti è creare e condividere una politica di sicurezza informatica che insegni loro a mantenere al sicuro i dati della tua azienda. La buona notizia è che la tua politica di sicurezza IT può essere un semplice documento. Dovrebbe spiegare le ragioni per cui esiste e fornire i protocolli di sicurezza specifici (in termini non tecnici) che tutti i dipendenti dovrebbero seguire. Dovrebbe anche indicare un punto di contatto (e-mail o numero di telefono) per i dipendenti che hanno bisogno di ulteriore aiuto per comprenderla.

Procedura ottimale n.2: istruisci i dipendenti e assicurati che l'IT possa assisterli

Gli impiegati sono spesso l'anello più debole della sicurezza informatica. Una regolare formazione sulla sicurezza contribuisce a garantire un costante aggiornamento su come proteggere l'organizzazione da attacchi informatici.

  • Criteri di account e password: Assegna a tutti gli utenti i propri dati di accesso e concedi l'accesso tramite password complesse e autenticazione a due fattori/multi-fattore.
  • Controllo della sicurezza dei dati: i controlli sulla sicurezza dei dati includono l'accesso basato sui ruoli e sul principio del minimo privilegio, il monitoraggio degli accessi, la verifica/inventario degli account e la registrazione. In questo modo, tutti gli utenti hanno un livello minimo di accesso ai dati.
  • Controllo degli accessi: i controlli degli accessi gestiscono l'accesso elettronico ai dati e ai sistemi e sono basati su livelli di autorità, parametri relativi alla necessità di sapere e una precisa separazione dei compiti per le persone che accedono al sistema.
  • Risposta agli incidenti di sicurezza: tali procedure consentono a un'organizzazione di indagare, rispondere, mitigare e notificare gli eventi relativi ai servizi Splashtop e alle risorse informatiche.

Procedura ottimale n.3: mantieni i dati crittografati in transito e inattivi

In base al punto 83 del RGPD, i dati personali devono essere protetti, sia in transito che a riposo. Bisogna considerare i dati in transito ogni volta che qualcuno vi accede, come quando viaggiano dal server di un sito Web al dispositivo dell'utente. I "dati a riposo" si riferiscono ai dati in memoria, come ad esempio quelli contenuti nel disco rigido di un dispositivo o in una chiavetta USB.

I due elementi cardine per garantire la protezione dei dati quando i tuoi dipendenti lavorano in remoto sono la crittografia e il controllo degli accessi.

  • Crittografia: Splashtop crittografa tutti i dati degli utenti in transito e inattivi e tutte le sessioni utente vengono stabilite in modo sicuro utilizzando TLS. Il contenuto a cui si accede in ogni sessione è sempre crittografato tramite AES a 256 bit.
  • Controllo degli accessi: Splashtop ha implementato il controllo degli accessi per gestire l'accesso elettronico ai dati e ai sistemi. I nostri controlli degli accessi sono basati su livelli di autorità, livelli del tipo "need-to-know" e sulla distinzione delle funzioni per coloro che accedono al sistema.

Splashtop evita intenzionalmente la raccolta eccessiva di dati, un'azione intrapresa da troppe aziende senza una legittima ragione di servizio aziendale. Ci allineiamo più facilmente alle normative NON raccogliendo dati/informazioni sensibili. Raccogliamo, archiviamo ed elaboriamo solo informazioni personali limitate, come nome utente (e-mail), password e registri di sessione (per la revisione dei clienti, la risoluzione dei problemi, ecc.). Inoltre, Splashtop si impegna a non vendere le informazioni dei clienti, come previsto dalle linee guida definite dal RGPD e CCPA.

Procedura ottimale n.4: tratta i dati specifici di una determinata regione geografica all'interno del tuo stack

Se la tua azienda si rivolge a utenti situati in una zona regolamentata, il modo migliore per procedere consiste nel creare uno stack di dati/tecnologia specifico per ognuna di queste zone. Splashtop utilizza uno stack UE con sede in Germania. Questa soluzione garantisce che i trasferimenti di dati relativi ai residenti dell'UE rimangano all'interno della sovranità dell'UE (un principio tassativo del RGPD).

Procedura ottimale n.5: scegli un accesso remoto sicuro

Di solito, coloro che lavorano in remoto usano le VPN e il protocollo RDP (Remote Desktop Protocol) per accedere alle applicazioni e ai dati di cui hanno bisogno per svolgere il loro lavoro. Questa situazione ha spinto i criminali informatici a sfruttare le vulnerabilità legate alla sicurezza delle password e delle VPN per accedere alla rete aziendale e trafugare informazioni e dati.

La soluzione di accesso remoto di Splashtop non necessita di VPN e segue un approccio Zero Trust. Quando i dipendenti accedono da remoto al computer o alla postazione dell'ufficio, lo fanno tramite una speciale connessione stabilita da Splashtop, che non fa parte della rete aziendale. Il che significa che possono solo visualizzare e lavorare con i dati (ad esempio, i documenti Word) sul loro desktop remoto. Tuttavia, tali dati non viaggiano mai al di fuori della rete aziendale. Grazie a Splashtop, i responsabili della sicurezza IT possono anche scegliere di abilitare o disabilitare sia il trasferimento dei file che le funzioni di stampa. Tali scelte sono altamente indicate per il rispetto delle norme, ma non sussistono con una strategia RDP/VPN.

L'accesso remoto Splashtop introduce ancora più funzionalità di sicurezza, come l'autenticazione del dispositivo, l'autenticazione a due fattori (2FA), il single sign-on (SSO) e altro ancora. Queste misure di sicurezza moderne non esistono nell'architettura VPN.

Prevenire è più facile che curare

Come dimostrano queste procedure ottimali, è possibile adottare cinque provvedimenti ragionevoli per adeguarsi ai regolamenti sulla privacy dei dati anche senza sforzi eccessivi. Poiché il lavoro a distanza è destinato a persistere, il vantaggio di proteggere i dati dei consumatori nel proprio ambiente di lavoro a distanza supera di gran lunga gli effetti negativi dovuti alla mancanza di conformità.

Per scoprire come la tua organizzazione può ottenere rapidamente un accesso remoto sicuro e protetto, allineato al CCPA, al RGPD e ad altre normative sulla privacy dei consumatori, visita la nostra pagina sulla conformità.


Contenuto correlato

Banner di prova gratuito nella parte inferiore del blog