A conformidade com as normas de privacidade de dados, como o Regulamento Geral de Proteção de Dados da União Europeia (RGPD) e a Lei de Privacidade do Consumer da Califórnia (CCPA), exige uma postura de segurança diferente para uma força de trabalho remota. Continue a ler para ver as cinco melhores práticas comprovadas de conformidade da Splashtop quando se tem uma força de trabalho remota.
Remote work isn't going away. According to a recent Gartner estimate, 51 percent of knowledge workers will be performing their work remotely at the start of 2022 - and that number is realistically higher now with the recent surge of the omicron variant across the globe.
O cumprimento se torna mais difícil em condições de trabalho remoto. Considere as conclusões deste artigo recente da revista de segurança que discute os resultados do Apricorn 2021 Global IT Security Survey de mais de 400 profissionais de segurança de TI em toda a América do Norte e Europa. O estudo foi sobre práticas e políticas de segurança para o trabalho remoto nos últimos 12 meses. Vários resultados resumiram muito bem os riscos:
60% dos inquiridos afirmam que as condições de trabalho remoto induzidas pela Covid-19 criaram problemas de segurança de dados nas suas organizações
38% afirmaram que o controle de dados tem sido muito difícil de gerenciar
Apesar das preocupações de controle de dados, quase 20% admitiu que os seus dispositivos de trabalho tenham sido utilizados por outros membros do seu círculo familiar
A conformidade com as regulamentações de privacidade de dados para trabalhadores remotos ainda não foi um foco para as equipes de TI. Um artigo de 2021 da Healthcare IT News apontou que apenas 2 em cada 10 equipes de TI afirmaram ter fornecido ferramentas e recursos adequados para apoiar os colaboradores que trabalham remotamente a longo prazo. Esta falta de preparação coloca as organizações em risco de violarem as leis de privacidade de dados de consumo, em particular o RGPD e o CCPA.
O Impacto da Não-Conformidade
Quando se verifica que uma organização causou potenciais danos aos consumidores por não proteger adequadamente as suas informações de identificação pessoal (PII), o resultado pode incluir multas substanciais, perda de clientes e danos significativos à marca. Certamente, a maioria das pessoas pode recordar casos de alto perfil como a UE multando a Amazon e a H&M por não ter cumprido com a RGPD em 746 milhões de euros e 35 milhões de euros, respetivamente. No entanto, em apenas 3 anos, a UE emitiu mais de 800 multas em todo o Espaço Económico Europeu (EEE) e no Reino Unido (que mantém as regras do RGPD, mesmo depois do Brexit).
Sim, as organizações mais pequenas são multadas. Tome, por exemplo, a prestadora de cuidados de saúde sueca Capio St. Göran. Recebeu danos à marca e uma multa RGPD no valor de 2,9 milhões de euros na sequência de uma auditoria a um dos seus hospitais. A auditoria demonstrou que a empresa não utilizou avaliações de risco adequadas e não implementou controles de acesso eficazes. Como resultado, vários funcionários tiveram acesso a dados pessoais sensíveis.
The same type of enforcement applies to all sizes of organizations under California's CCPA. A September 2021 TechTarget article points out that the State of California recently handed out fines to a car dealership, a grocery store chain, an online dating platform and a pet adoption agency - hardly the titans of modern industry.
Em última análise: se você estiver gerenciando equipes remotas, precisa tomar várias medidas para ajustar a sua política e práticas de segurança para se manter em conformidade com as leis de privacidade de dados pessoais.
Felizmente, a Splashtop tem permitido que milhares de organizações trabalhem remotamente. Aqui estão as 5 melhores práticas comprovadas de conformidade da Splashtop quando se tem uma força de trabalho remota.
O que significa conformidade de dados no RGPD e CCPA
Tanto o RGPD como a CCPA exigem que as empresas mantenham as informações pessoais privadas e seguras. Os processos comerciais que tratam dados pessoais devem ser concebidos e construídos com medidas de segurança para proteger os dados (por exemplo, utilizando pseudonimização ou anonimização total, quando adequado). As organizações que controlam dados devem desenhar sistemas de informação tendo a privacidade em mente.
Also similar to GDPR, Chapter 55 of the California Consumer Privacy Act of 2018 (CCPA) defines personal information as information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked (directly or indirectly) with a particular consumer or household such as a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, social security number, driver's license number, license plate number, passport number, or other similar identifiers.
Os regulamentos se aplicam aos funcionários de qualquer organização que trabalhem em qualquer localização, seja no escritório ou remotamente. Não importa onde no mundo os empregados trabalham. Os regulamentos aplicam-se quando os consumidores que são protegidos pelos regulamentos vivem na zona da UE, Reino Unido e/ou Califórnia. (Note que muitos outros países, tais como Brasil, África do Sul, Coreia do Sul, Japão e muitos outros também instituíram regulamentos semelhantes a partir de 2019-2021).
Boas Práticas #1: Atualize a sua política de cibersegurança para refletir a realidade do “trabalho remoto”
Como os dados acima mostram, muitos funcionários não estão familiarizados com questões de segurança de dados e privacidade dos titulares de dados e simplesmente não reconhecem como as suas ações podem levar a uma violação de dados que expõe os dados pessoais que a sua organização deve proteger.
A melhor maneira de informar os funcionários é estabelecer e compartilhar uma política de segurança cibernética que instrua os funcionários sobre como manter os dados do seu negócio seguros. A boa notícia é que a sua política de segurança TI pode ser um documento simples. Ele deve explicar as razões pela qual existe e fornecer os protocolos de segurança específicos (em termos não técnicos) que todos os funcionários devem seguir. Também deve fornecer uma fonte de contato (e-mail ou telefone) para os funcionários que precisam de ajuda adicional para compreenderem isso.
Boas Práticas #2: Treinar os funcionários e garantir que o TI pode dar suporte a eles
Os funcionários são muitas vezes o elo mais fraco na cibersegurança. O treinamento regular de segurança ajuda a manter os funcionários atualizados sobre como proteger a organização de ataques maliciosos.
Políticas de conta e palavra-passe: atribua a todos os utilizadores os seus próprios inícios de sessão e conceda acesso através de palavras-passe fortes e autenticação de dois fatores/múltiplos fatores.
Controle de Segurança de Dados: os controles de segurança dos dados incluem acesso baseado em funções com base no princípio de “menos privilégios”, monitoramento de acessos, revisão/inventário e registro de contas. Isto significa que todos os usuários têm um nível mínimo de acesso aos dados.
Controle de Acessos: Os controles de acesso gerem o acesso eletrônico a dados e sistemas e baseiam-se nos níveis de autoridade, parâmetros necessários, e uma clara separação de deveres para as pessoas que acessam o sistema.
Resposta a Incidentes de Segurança: os procedimentos de “Resposta a Incidentes de Segurança” permitem que uma organização investigue, responda, mitigue e notifique eventos relacionados com serviços Splashtop e ativos de informação.
Boas Práticas #3: Mantenha os dados encriptados quando em trânsito e em repouso
Recital 83 of GDPR requires personal data to be protected - both in transit and at rest. You should consider data to be in transit any time someone accesses it, such as when it travels from a website server to a user device. 'Data at rest' refers to data in storage, such as data on a device's hard drive or a USB flash drive.
As duas chaves para manter a proteção de dados quando os seus funcionários trabalham remotamente são a encriptação e o controle de acesso.
Encriptação: A Splashtop encripta todos os dados do usuário em trânsito e em repouso, e todas as sessões de usuário são estabelecidas com segurança através do TLS. O conteúdo acessado em cada sessão é sempre encriptado através de AES de 256 bits.
Controle de Acessos: O Splashtop implementou controles de acesso para gerir o acesso eletrônico a dados e sistemas. Os nossos controles de acesso baseiam-se nos níveis de autoridade, nos níveis de necessidade de conhecer, bem como na segregação de deveres para aqueles que acessam o sistema.
A Splashtop evita propositalmente a coleta excessiva de dados - algo que muitas empresas fazem sem uma razão legítima de serviço comercial. Nos alinhamos mais facilmente com os regulamentos, NÃO recolhendo dados/informações sensíveis. Só coletamos, armazenamos e processamos PII limitada, como nome de usuário (e-mail), senha e registros da sessão (para os clientes analisarem, solucionarem problemas, etc.) e a Splashtop não vende informações dos clientes de acordo com o RGPD e as diretrizes do CCPA.
Boas práticas #4: Trate dados específicos de geografia dentro da sua própria pilha
Se a sua empresa servir os usuários numa zona regulada, o jeito mais seguro de atuar é criando uma pilha de dados/tecnologia específica para cada zona regulamentada. A Splashtop aproveita uma pilha da UE sediada na Alemanha. Isto garante que as transferências de dados relacionadas com os residentes da UE permanecem dentro da soberania da UE (uma regra rigorosa do RGPD).
Best Practice #5: Utilizar um acesso remoto seguro
As pessoas que trabalham remotamente usam VPNs e RDP (remoto desktop protocol) para acessar as aplicações e dados de que necessitam para executar o seu trabalho. Isso levou os cibercriminosos a explorar a segurança fraca das senhas e vulnerabilidades VPN para acessar à rede corporativa, roubando informações e dados.
A solução de acesso remoto da Splashtop não depende de uma VPN. Além disso, segue uma abordagem de Confiança Zero. Quando os funcionários acessam remotamente o computador ou estação de trabalho do escritório, entram através de uma conexão Splashtop especial. Uma conexão que não faz parte da rede corporativa. Isso significa que só podem ver e trabalhar com os dados (ou seja, documentos do Word) no seu desktop remoto e os dados nunca viajam para fora da rede corporativa. Os líderes de segurança de TI também têm a escolha com a Splashtop para ativar ou desativar as funções de transferência de arquivos e impressão. Estas escolhas são altamente recomendadas para que haja conformidade, mas não existem com uma estratégia RDP/VPN.
O acesso remoto Splashtop apresenta ainda mais recursos de segurança, como autenticação de dispositivo, autenticação de dois fatores (2FA), autenticação única (SSO) e muito mais. Essas medidas de segurança modernas não existem na arquitetura VPN.
Prevenir é Mais Fácil que Remediar
Como estas melhores práticas demonstram, você pode dar cinco passos de senso comum para alinhar com as regulamentações de privacidade de dados sem um esforço massivo. Com o trabalho remoto veio para ficar, o lado positivo para proteger os dados dos consumidores no seu ambiente de força de trabalho remota supera em muito os efeitos negativos de ser encontrado 'sem conformidade'.
