É mais importante do que nunca garantir que todos os funcionários estejam cientes das questões de privacidade e segurança.
Com os funcionários trabalhando cada vez mais remotamente e usando dispositivos não autorizados, é vital estabelecer uma estrutura de zero trust. No centro desta estrutura está o “princípio do menor privilégio”, por meio do qual os usuários têm acesso à menor quantidade de recursos pelo menor tempo necessário para concluir uma tarefa. Até que seja demonstrado o contrário, a equipe de TI deve presumir que todas as solicitações de acesso foram comprometidas. Além disso, deve autenticar os usuários com base em sua identidade, localização e integridade do dispositivo, ao mesmo tempo que procura qualquer comportamento anômalo e incomum.
Todos os funcionários devem adotar uma mentalidade de confiança zero
Além de uma estrutura de zero trust, todos os funcionários devem ter uma mentalidade de confiança zero. Eles devem ter cuidado com e-mails de fontes desconhecidas; todas as chamadas telefônicas estranhas devem ser tratadas como potenciais esforços de engenharia social, e qualquer TI oculta – dispositivos, software, aplicações e serviços não sancionados oficialmente pela equipe – deve ser relatada.
Essa mentalidade de confiança zero se aplica a todos os funcionários de uma organização, incluindo aqueles nos escalões superiores do organograma. Afinal, os funcionários de nível C e outros usuários privilegiados costumam ser os alvos mais valiosos para os malfeitores.
Muitos ataques de alto perfil são o resultado de abuso de privilégios, muitas vezes devido ao fato de agentes mal-intencionados obterem acesso aos privilégios dos usuários. É particularmente importante incutir uma mentalidade de confiança zero nesses usuários privilegiados. Se ele facilitou violações direta ou indiretamente no passado, a equipe de TI deve considerar gravações de sessões privilegiadas. Ao supervisionar as atividades de usuários privilegiados em bancos de dados, servidores remotos e outros sistemas críticos, é possível realizar auditorias e encerrar instantaneamente uma sessão de usuário que pareça suspeita.
Dito isto, a chave para a privacidade e segurança de dados globais tem menos a ver com a monitorização das atividades dos funcionários e mais com a construção de uma mentalidade.
Atribua pontuações de privacidade de dados para responsabilizar os funcionários
Quando se trata de incutir uma mentalidade de confiança zero em todos os funcionários, existem certos métodos testados e comprovados. Pelo menos inicialmente, tudo se resume à educação. A maioria das empresas oferece cursos obrigatórios sobre privacidade e segurança, seguidos de questionários, muitas vezes com perguntas baseadas em incidentes reais ocorridos dentro e fora dela. No entanto, este é o mínimo.
Na ManageEngine, usamos “pontuações de privacidade de dados” para responsabilizar os funcionários. Após a realização de treinamentos e questionários periódicos, cada equipe recebe uma pontuação de privacidade de dados, que é divulgada em um fórum interno. Essas pontuações de privacidade de dados não são tão diferentes da dos alunos na faculdade de direito. No entanto, dado que estas pontuações de privacidade de dados são atribuídas ao nível da equipe, nenhum funcionário é destacado. Descobrimos que essas pontuações ajudaram a os responsabilizar.
Embora possamos ter cursos e perguntas relacionadas ao GDPR ou CPRA, incentivamos nossos funcionários a pensar mais sobre os princípios subjacentes, em oposição às leis.
Concentre-se em princípios em vez de leis
Novas leis estão sempre surgindo. Ao focar nos princípios por trás dessas leis, os funcionários geralmente estarão preparados quando elas chegarem. Por exemplo, enfatizamos o princípio da minimização de dados.
Em geral, os funcionários devem coletar apenas os dados dos clientes que forem necessários, e esses dados devem ser mantidos apenas pelo tempo mínimo necessário. Outro exemplo, que se aplica principalmente aos designers e desenvolvedores da organização, é o princípio da privacidade desde a concepção. Os funcionários devem pensar proativamente sobre as repercussões de privacidade e segurança que os seus produtos podem facilitar no futuro.
Incorpore ganchos contextuais em ferramentas de software
Colocar ganchos contextuais em aplicações provou ser uma forma bastante eficaz de lembrar os funcionários sobre questões de privacidade e segurança. Por exemplo, se um funcionário da ManageEngine postar o nome, e-mail ou número de telefone de outro funcionário em um canal de comunicação interno, um chatbot aparecerá com uma mensagem dizendo: “Compartilhar informações pessoais não é uma boa prática”. Se necessário, este chatbot pode ser programado para bloquear totalmente o compartilhamento de dados.
No entanto, esta aprendizagem contextual ensina aos funcionários sobre privacidade e segurança em tempo real, em um ambiente de trabalho real, o que lhes permite adquirir uma forte compreensão destas questões ao longo do tempo.
Além disso, é importante enfatizar que a conscientização sobre segurança e privacidade é contínua. Assim como as pontuações de privacidade de dados em nível de equipe, os ganchos contextuais nas aplicações precisam ser atualizados com frequência.
Conclusão
Mesmo as empresas que realizam muitas sessões obrigatórias de educação sobre segurança da informação são vítimas de ataques cibernéticos evitáveis. A educação por si só não é suficiente. Não apenas incentivamos nossos funcionários a adotar uma mentalidade de zero trust, mas também atribuímos periodicamente pontuações de privacidade de dados às equipes e colocamos ganchos contextuais nas ferramentas de software.
É vital que todos os funcionários façam da privacidade e segurança dos dados uma prioridade em suas vidas, dentro e fora do horário de trabalho. Felizmente, ao usar as estratégias acima, descobrimos que as preocupações com a privacidade e a segurança dos dados acabam se tornando uma segunda natureza.
Artigo original: Global data privacy and security begins with employees
