É mais importante do que nunca garantir que todos os funcionários estejam cientes das questões de privacidade e segurança de dados dentro de uma organização.
Com os funcionários cada vez mais trabalhando remotamente e usando dispositivos não sancionados, é vital estabelecer uma estrutura de Zero Trust. No centro dessa estrutura está o “princípio do menor privilégio”, pelo qual os usuários têm acesso à menor quantidade de recursos pelo menor tempo necessário para concluir uma tarefa.
Até que seja mostrado o contrário, a equipe de TI deve assumir que todas as solicitações de acesso foram comprometidas. Além disso, deve autenticar os usuários com base em sua identidade, localização e integridade do dispositivo, ao mesmo tempo em que está atenta a qualquer comportamento anômalo e incaracterístico.
Neste artigo, vamos entender um pouco mais sobre isso. Boa leitura!
Mentalidade Zero Trust: por onde começar?
Além de uma estrutura de Zero Trust, todos os funcionários devem ter sua mentalidade baseada nela. Eles devem desconfiar de e-mails de fontes desconhecidas, todas as chamadas telefônicas estranhas devem ser tratadas como potenciais esforços de engenharia social, e o uso de qualquer dispositivo, software, aplicativo e serviço não oficialmente sancionado pela equipe de TI deve ser relatado.
Essa mentalidade se aplica a todos os funcionários de uma organização, incluindo aqueles nos escalões superiores do organograma. Afinal, funcionários de nível C e outros usuários privilegiados costumam ser os alvos mais relevantes.
Muitos ataques são o resultado do abuso de privilégios, muitas vezes devido a agentes mal-intencionados que obtêm acesso aos privilégios dos usuários. É particularmente importante incutir uma mentalidade de Zero Trust nesses usuários privilegiados. Se um desses usuário tiver facilitado violações direta ou indiretamente no passado, a equipe de TI deve considerar gravações de sessão privilegiadas.
Ao supervisionar as atividades de usuários privilegiados em bancos de dados, servidores remotos e outros sistemas críticos, pode-se dar suporte a auditorias e encerrar instantaneamente uma sessão de usuário que pareça suspeita. Dito tudo isso, a chave para a privacidade e segurança de dados globais tem menos a ver com o monitoramento das atividades dos funcionários e mais a ver com a construção de uma mentalidade de Zero Trust em todos eles.
Aplicando a mentalidade zero trust: atribua pontuações de privacidade de dados para responsabilizar funcionários
Quando se trata de incutir uma mentalidade de Zero Trust em todos os funcionários, existem certos métodos testados e comprovados. Pelo menos inicialmente, trata-se de educação. A maioria das empresas realiza cursos obrigatórios sobre privacidade e segurança, seguidos de questionários, muitas vezes com perguntas baseadas em incidentes do mundo real que aconteceram dentro e fora da empresa. No entanto, isso é o mínimo.
Na ManageEngine, usamos “pontuações de privacidade de dados” para responsabilizar os funcionários. Depois de realizar cursos de treinamento e testes periódicos, cada equipe recebe uma pontuação de privacidade de dados, que é postada em um fórum interno. Essas pontuações de privacidade de dados não são tão diferentes da postagem pública das pontuações dos alunos na faculdade de direito. No entanto, dado que essas pontuações são atribuídas no nível da equipe, nenhum funcionário é destacado. Descobrimos que essas pontuações ajudaram a responsabilizar os funcionários.
Embora possamos ter cursos e perguntas de teste relacionadas ao GDPR ou CPRA, incentivamos nossos funcionários a pensar mais sobre os princípios subjacentes, em vez de leis.
Concentre-se em princípios, em vez de leis
Novas leis estão sempre vindo por água abaixo. Ao se concentrar nos princípios por trás dessas leis, os funcionários geralmente estarão preparados quando as leis chegarem. Por exemplo, enfatizamos o princípio da minimização de dados. Em geral, os funcionários só devem coletar dados de clientes que sejam necessários, e esses dados só devem ser mantidos pelo tempo mínimo necessário. Outro exemplo, que diz respeito principalmente aos designers e desenvolvedores da organização, é o princípio da privacidade por design. Os funcionários devem pensar proativamente sobre as repercussões de privacidade e segurança que seus produtos podem facilitar no futuro.
Incorpore ganchos contextuais em ferramentas de software
Colocar ganchos contextuais em aplicação provou ser uma maneira bastante eficaz de lembrar os funcionários sobre questões de privacidade e segurança. Por exemplo, se um funcionário da ManageEngine publicar o nome, e-mail ou número de telefone de outro funcionário em um canal de comunicação interno, um chatbot aparecerá com uma mensagem informando: “Compartilhar informações pessoais não é uma boa prática”.
Se necessário, esse chatbot pode ser programado para bloquear totalmente o compartilhamento de dados. No entanto, esse aprendizado contextual ensina os funcionários sobre privacidade e segurança em tempo real, em um ambiente de trabalho real, o que permite que eles ganhem uma forte compreensão dessas questões ao longo do tempo.
Além disso, é importante ressaltar que a conscientização sobre segurança e privacidade está em andamento. Assim como as pontuações de privacidade de dados em nível de equipe, os ganchos contextuais dentro das aplicações precisam ser atualizados com frequência.
Conclusão
Mesmo as empresas que realizam muitas sessões obrigatórias de educação informativa são vítimas de ataques cibernéticos evitáveis. Então, não apenas incentivamos nossos funcionários a adotar uma mentalidade de Zero Trust, mas periodicamente atribuímos pontuações de privacidade de dados às equipes e colocamos ganchos contextuais nas ferramentas de software.
É vital que todos os funcionários façam da privacidade e da segurança de dados uma prioridade em suas vidas. Felizmente, usando as estratégias acima, descobrimos que as preocupações com a privacidade e a segurança dos dados acabam se tornando mais comum.
Artigo original: Global data privacy and security begins with employees
Traduzido por Evellyn da Silva Amorim
