Αποβίβαση εργαζομένων: Πρόγραμμα απορρήτου δεδομένων και συμμόρφωσης για HR και IT

Αποβίβαση εργαζομένων: Πρόγραμμα απορρήτου δεδομένων και συμμόρφωσης για HR και IT

Dezember 20, 2022 0 Von admin

Δείτε όλες τις κατ‘ απαίτηση συνεδρίες από το Intelligent Security Summit εδώ.


Το ζήτημα του απορρήτου των δεδομένων έχει λάβει προτεραιότητα καθώς ο όγκος των παραβιάσεων δεδομένων πολλαπλασιάζεται — μαζί με τις επιπτώσεις για τους οργανισμούς και τα τμήματα ανθρώπινου δυναμικού. Άλλωστε, δεκάδες δισεκατομμύρια προσωπικά αρχεία έχουν εκτεθεί τα τελευταία χρόνια.

Κάθε παραβίαση ωθεί τις ρυθμιστικές αρχές να προσθέτουν διασφαλίσεις παρόμοιες με τον Γενικό Κανονισμό Απορρήτου Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης, ο οποίος έγινε νόμος το 2016. Ήδη ο GDPR έχει οδηγήσει σε πρόστιμα σε σχεδόν 1.000 οργανισμούς ύψους άνω των 1,25 δισεκατομμυρίων ευρώ. Η Amazon Europe παίρνει το κορυφαίο βραβείο, με μια τεράστια εισφορά 0,75 δισεκατομμυρίων ευρώ.

Άλλες εταιρείες υψηλού προφίλ που αξιολόγησαν μεγάλα πρόστιμα GDPR περιλαμβάνουν WhatsApp, Google, Target, Yahoo, Marriott, Equifax και Facebook. Ο GDPR δίνει επίσης τη δυνατότητα στα άτομα να ζητήσουν αποζημίωση στο δικαστήριο από οποιονδήποτε απρόσεκτο με τα προσωπικά του αρχεία, την υγεία ή άλλα ευαίσθητα αρχεία πληροφοριών.

Παρόμοιοι νόμοι υπάρχουν σε όλο τον κόσμο, όπως ο νόμος περί απορρήτου της Νέας Ζηλανδίας και ο νόμος περί απορρήτου των καταναλωτών της Καλιφόρνια (CCPA). Έρχονται και άλλα, όπως ο νόμος για την προστασία των προσωπικών δεδομένων της Ινδίας και πιθανώς ένας Αμερικανικός νόμος περί απορρήτου και προστασίας δεδομένων.

Εκδήλωση

Ευφυής Σύνοδος Κορυφής Ασφάλειας Κατ‘ Απαίτηση

Μάθετε τον κρίσιμο ρόλο του AI & ML στην ασφάλεια στον κυβερνοχώρο και τις ειδικές περιπτωσιολογικές μελέτες του κλάδου. Παρακολουθήστε τις συνεδρίες κατ‘ απαίτηση σήμερα.

Παρακολουθήστε εδώ

«Πέρα από τα πρότυπα ασφάλειας και προστασίας δεδομένων, πολλοί κυβερνητικοί και βιομηχανικοί κανονισμοί όπως ο GDPR δεσμεύουν τα δεδομένα του εργατικού δυναμικού», δήλωσε ο James McQuivey, Αντιπρόεδρος και κύριος αναλυτής της Forrester Research. «Αυτοί οι περίπλοκοι κανονισμοί θα αυξηθούν, καθιστώντας πιο δύσκολο τον προσδιορισμό των πληροφοριών των εργαζομένων και του εργατικού δυναμικού που μπορείτε να συλλέξετε και πώς μπορείτε να τις χρησιμοποιήσετε».

Απόρρητο και αποβίβαση

Με τόσες πολλές πιθανές συνέπειες από παραβιάσεις απορρήτου, δεν είναι περίεργο ότι τα τμήματα ανθρώπινου δυναμικού είναι πολύ πιο εξέχοντα στις επιχειρήσεις από ό,τι στο παρελθόν. Οι εργαζόμενοι λαμβάνουν τακτικά εκπαίδευση σχετικά με την ανταλλαγή πληροφοριών, τις πολιτικές απορρήτου δεδομένων και τις διαδικασίες ασφαλείας.

Ένας από τους μεγαλύτερους κινδύνους που σχετίζονται με τις παραβιάσεις του απορρήτου και των δεδομένων στο HR αφορά την αποβίβαση των εργαζομένων. Μπορεί να είναι πολύ εύκολο για ένα άτομο που αναχωρεί να κάνει βαλς έξω από την πόρτα με μια μονάδα USB γεμάτη αρχεία πελατών ή να διατηρήσει πρόσβαση σε ορισμένα συστήματα, ελπίζοντας να επωφεληθεί αργότερα.

ΕΝΑ Πέρα Ταυτότητα Η μελέτη διαπίστωσε ότι το 83% των πρώην εργαζομένων εξακολουθούσε να έχει πρόσβαση σε ορισμένους εταιρικούς λογαριασμούς. Εκτός εάν το HR είναι πολύ εμπεριστατωμένο στη διαδικασία offboarding, οι άνθρωποι μπορούν να βρουν τρόπους να μπουν σε ορισμένα συστήματα. Ένα άλλο εύρημα: Οι μισές από τις επιχειρήσεις δεν χρησιμοποιούν αυτοματοποιημένες διαδικασίες για να αλλάζουν τους κωδικούς πρόσβασης χρηστών όταν κάποιος αποχωρεί και μόνο το ένα τρίτο διαγράφει λογαριασμούς χρηστών ως μέρος της διαδικασίας offboarding. Συνεπώς, δεν πρέπει να αποτελεί έκπληξη το γεγονός ότι το 25% των εργαζομένων παραδέχτηκε ότι είχε λάβει πληροφορίες πελατών από έναν πρώην εργοδότη. Αυτό κυμαίνεται από την επαφή με τον πελάτη και τις οικονομικές πληροφορίες έως ολόκληρες βάσεις δεδομένων CRM.

«Οι εργοδότες θα πρέπει να θεσπίσουν μέτρα ασφαλείας κατά την offboarding, όπως η απενεργοποίηση της πρόσβασης στο email, η κατάργηση όλων των δικαιωμάτων, η απενεργοποίηση της πρόσβασης σε όλες οι εφαρμογές και ζητώντας από τους εργαζομένους να επιβεβαιώσουν ότι έχουν επιστρέψει όλα τα εταιρικά προσωπικά δεδομένα και δεν έχουν διατηρήσει δεδομένα της εταιρείας», δήλωσε ο Uzy Hadad. , Ph.D., ιδρυτής και Διευθύνων Σύμβουλος της privyaένας προμηθευτής προστασίας δεδομένων και συμμόρφωσης που βασίζεται στην τεχνητή νοημοσύνη (AI).

Εκτός από την απενεργοποίηση των λογαριασμών χρηστών, οι οργανισμοί θα πρέπει να ακολουθούν τους ισχύοντες κανόνες απορρήτου όσον αφορά τη διατήρηση δεδομένων email για καθορισμένες περιόδους και τη διαγραφή προσωπικών δεδομένων για την προστασία των δικαιωμάτων του πρώην υπαλλήλου.

«Οι εργοδότες επιτρέπεται να διατηρούν πληροφορίες σχετικά με τους εργαζομένους και τον λόγο της απόλυσης, τόσο ως νομική υποχρέωση όσο και ως μέσο προστασίας του εαυτού τους σε περίπτωση που ένας εργαζόμενος αμφισβητήσει την απόλυση», δήλωσε ο Hadad. «Άλλα δεδομένα σχετικά με τον εργαζόμενο, όπως πληροφορίες που σχετίζονται με μια ιατρική πάθηση ή ιδιωτικά email που δεν απαιτούνται για οποιαδήποτε πιθανή μελλοντική νομική διαμάχη, θα πρέπει να διαγραφούν».

Ενδέχεται να ισχύουν άλλοι κανόνες προστασίας προσωπικών δεδομένων και συμμόρφωσης

Οι κανόνες διαφέρουν από χώρα σε χώρα και περιοχή σε περιοχή. Ο Hadad επεσήμανε ότι ο GDPR δεν λέει πολλά για τις ιδιαιτερότητες της προστασίας δεδομένων στο πλαίσιο της απασχόλησης ή του τερματισμού της απασχόλησης. Ο κανονισμός επιτρέπει στα κράτη μέλη να ορίζουν τις δικές τους κατευθυντήριες γραμμές για την επεξεργασία των προσωπικών δεδομένων των εργαζομένων τόσο κατά τη διάρκεια όσο και μετά την απασχόληση, σύμφωνα με το άρθρο 88 του GDPR.

Εν τω μεταξύ, στην Καλιφόρνια, ο νόμος για τα δικαιώματα της ιδιωτικής ζωής της Καλιφόρνια (CPRA) τίθεται σε ισχύ την 1η Ιανουαρίου 2023 και τροποποιεί σημαντικά τον CCPA. Θα μπορούσε να είναι ναρκοπέδιο για τους εργοδότες εάν δεν διαχειρίζονται σωστά τα δεδομένα των εργαζομένων.

„Η CPRA θα εξαλείψει τις εξαιρέσεις δεδομένων εργαζομένων του CCPA“, δήλωσε ο Hadad. «Όλες οι διατάξεις σχετικά με τα προσωπικά δεδομένα θα ισχύουν πλέον και για τα δεδομένα των εργαζομένων, συμπεριλαμβανομένων όλων των δικαιωμάτων, των υποχρεώσεων διαφάνειας, της εκτίμησης επιπτώσεων και των κανόνων σχετικά με την πώληση προσωπικών δεδομένων και την επεξεργασία ευαίσθητων δεδομένων».

Χρήση τεχνολογίας για την αντιμετώπιση του απορρήτου και της αποβίβασης

Η πληροφορική και το ανθρώπινο δυναμικό πρέπει να κάνουν περισσότερη επιβολή της πολιτικής για να αποφύγουν πιθανή ζημιά από αποχωρούντες ή πρώην υπαλλήλους. Οι οργανισμοί θα πρέπει να αξιολογούν τα δεδομένα που διαθέτουν, τους πολλούς χώρους διαμονής τους και τον τρόπο με τον οποίο εφαρμόζονται στις διαδικασίες απορρήτου και αποβίβασης των εργαζομένων. Τα παλαιού τύπου συστήματα, για παράδειγμα, θα πρέπει να ελέγχονται για τέτοια δεδομένα ως μέρος ενός αποθέματος δεδομένων.

Άλλα εργαλεία για εφαρμογή περιλαμβάνουν την κρυπτογράφηση των δεδομένων των εργαζομένων και την ανωνυμοποίησή τους μέσω κάλυψης δεδομένων. Η τοπική φιλοξενία cloud, επίσης, μπορεί να είναι ένας τρόπος για να αποφευχθεί η παραβίαση του GDPR και άλλων περιορισμών κατά της μεταφοράς δεδομένων εκτός μιας γεωγραφικής ζώνης ή πέρα ​​από τα εθνικά σύνορα.

Οι τακτικές αξιολογήσεις ευπάθειας είναι ένας άλλος τρόπος με τον οποίο οι οργανισμοί μπορούν να διασφαλίσουν ότι τα δεδομένα των εργαζομένων είναι ασφαλή. Αυτές θα πρέπει να περιλαμβάνουν δοκιμές διείσδυσης τρίτων.

«Οι σαρώσεις ευπάθειας βοηθούν στον εντοπισμό πολλαπλών τυφλών σημείων στην ασφάλεια δεδομένων, τη μεταφορά και τις αδυναμίες», δήλωσε ο Αναστάσιος Γκουλέτσος, επικεφαλής κυβερνοασφάλειας και προστασίας δεδομένων στην πλατφόρμα HR. Πανταχού παρών. «Υπάρχουν αρκετοί προμηθευτές που μπορούν επίσης να βοηθήσουν στον εντοπισμό κενών συμμόρφωσης, αλλά γενικά, ο GDPR απαιτεί από εσάς να διατηρείτε μια ανθεκτική υποδομή πληροφορικής όπου τα οργανωτικά μέτρα και τα μέτρα ασφαλείας σας λειτουργούν αποτελεσματικά».

Ως εκ τούτου, η ασφάλεια του τελικού σημείου θα πρέπει να αποτελεί προφανή προτεραιότητα για κάθε εταιρεία, ιδιαίτερα εκείνες που δραστηριοποιούνται παγκοσμίως. Οι προστασίες απορρήτου δεδομένων δεν θα είναι αποτελεσματικές εκτός εάν υποστηρίζονται από χαρακτηριστικά ασφαλείας, όπως τείχη προστασίας, αφαίρεση κακόβουλου λογισμικού, προστασία ransomware, διαχείριση συσκευών, διαχείριση κωδικών πρόσβασης, διαχείριση ενημερώσεων κώδικα και επαγγελματικά VPN ή άλλα μέσα ασφαλούς σύνδεσης. Μην ξεχνάτε τις πολιτικές ασφάλειας πληροφοριών που σχετίζονται με τομείς όπως το απόρρητο, η αποβίβαση εργαζομένων, οι έλεγχοι πρόσβασης, η διαχείριση αλλαγών και η ακεραιότητα δεδομένων.

Ο McQuivey της Forrester προσθέτει λύσεις διαχείρισης ανθρώπινου κεφαλαίου (HCM) που βασίζονται στο cloud στη λίστα των τεχνολογικών διασφαλίσεων. Ορισμένα σύγχρονα συστήματα HCM είναι εξοπλισμένα με λειτουργίες για την αποφυγή παραβίασης των κανόνων απορρήτου και μεταφοράς δεδομένων. Ωστόσο, κάθε φορά που τα δεδομένα τοποθετούνται στο cloud, οι επιχειρήσεις θα πρέπει να διασφαλίζουν ότι αποθηκεύονται μόνο σε επιτρεπόμενες τοποθεσίες. Για παράδειγμα, τα αρχειοθετημένα δεδομένα συχνά απορρίπτονται σε επίπεδα ψυχρής αποθήκευσης στο cloud. Αυτό θα μπορούσε να οδηγήσει σε απώλεια του ελέγχου της θέσης του. Ενα ενεργός αρχείο Ο συνδυασμός εφαρμογών ανοιχτού συστήματος και διαφορετικών τύπων υλικού δίσκου και ταινίας περιέχει λειτουργίες που παρακολουθούν και μεταφέρουν δεδομένα σε πολλαπλές συσκευές αποθήκευσης, διατηρώντας ταυτόχρονα γρήγορη προσβασιμότητα από τον χρήστη και παρακολούθηση των απαιτήσεων απορρήτου δεδομένων.

Εναλλακτικά, ο οργανισμός μπορεί να αξιοποιήσει το νέφος για εφαρμογές, διατηρώντας ταυτόχρονα όλα τα δεδομένα τοπικά, ως ένας τρόπος να παραμείνουν στην κορυφή της συμμόρφωσης.

«Δεδομένου ότι τα δεδομένα και οι εφαρμογές δεν χρειάζεται να τοποθετούνται γεωγραφικά, μπορείτε να εκκινήσετε εφαρμογές στο cloud, αλλά να διατηρήσετε τα δεδομένα που χρειάζεται η εφαρμογή on-prem», δήλωσε ο Steve Wallo, CTO του Περιοχή.

Συνηθίστε την πολυπλοκότητα και τις τοπικές παραλλαγές

Η ενασχόληση με τους νόμους περί απορρήτου δεν είναι καθόλου εύκολη. Εάν η ομοσπονδιακή κυβέρνηση των ΗΠΑ δεν εγκρίνει κάτι σύντομα, περιμένετε πολλές πολιτείες να περάσουν τους δικούς τους κανόνες. Αυτό θα προσθέσει πολυπλοκότητα παρόμοια με τον εφιάλτη του φόρου επί των πωλήσεων που αντιμετωπίζουν οι επιχειρήσεις (κάθε πολιτεία έχει διαφορετικό ποσοστό και πολιτική φόρου επί των πωλήσεων). Σε παγκόσμιο επίπεδο, επίσης, οι χώρες και οι περιφερειακές αρχές όπως η ΕΕ θα θεσπίσουν νόμους που επηρεάζουν ορισμένους τομείς. Εναπόκειται στο IT και το HR να παραμείνουν στην κορυφή όλων αυτών.

«Το τρέχον παγκόσμιο συνονθύλευμα των νόμων περί κυριαρχίας δεδομένων και απορρήτου έχει καταστήσει πιο περίπλοκο από ποτέ για τις επιχειρήσεις τη δημιουργία συνεπών πολιτικών σχετικά με την κοινή χρήση δεδομένων, την ενοποίηση και τη συμμόρφωση», δήλωσε ο Danny Sandwell, ανώτερος υπεύθυνος στρατηγικής λύσεων της Quest. «Αυτό θα συνεχίσει να έχει σημαντικό αντίκτυπο στην ικανότητα των οργανισμών να μεγιστοποιούν τη χρήση δεδομένων σε όλη την υποδομή πληροφορικής τους, εκτός εάν συνθέσουν σαφή σχέδια για την ενοποίηση δεδομένων και τη διακυβέρνηση. Το 2023, η ψήφιση περισσότερων νόμων για την κυριαρχία και την κοινή χρήση δεδομένων θα ωθήσει τις επιχειρήσεις να επενδύσουν στην προβολή των δεδομένων τους και στη δημιουργία σαφών σχεδίων για κοινή χρήση και ενσωμάτωση σε ολόκληρο το τοπίο πληροφορικής τους».

Η αποστολή του VentureBeat πρόκειται να αποτελέσει μια ψηφιακή πλατεία της πόλης για τους τεχνικούς λήπτες αποφάσεων ώστε να αποκτήσουν γνώσεις σχετικά με τη μετασχηματιστική επιχειρηματική τεχνολογία και να πραγματοποιήσουν συναλλαγές. Ανακαλύψτε τις Ενημερώσεις μας.