0
0
As melhores práticas de segurança digital e privacidade de dados são essenciais para organizações de todos os tamanhos e tipos. Muito foi escrito sobre ameaças, ataques DDoS (negação de serviço distribuída), batalhas legais, ransomware e ordens executivas que afetam esse cenário. Estou interessado em como colocamos a conscientização sobre ameaças em ações práticas e colaborativas e em como recrutar colegas de trabalho, chefes, funcionários e familiares para trabalhar com você na redução de ameaças, protegendo a privacidade e aumentando a segurança.
Como os líderes podem priorizar e gerenciar a responsabilidade adicional de segurança e privacidade enquanto administram uma empresa ou organização sem fins lucrativos em crescimento? Encontramos pistas olhando para a história e o sucesso do design thinking. Agora, o design thinking é considerado uma capacidade essencial dos negócios, porque força as organizações a repensar suas propostas de valor aplicando uma perspectiva centrada no cliente. Mas isso só fará você parte do caminho até lá. Seu verdadeiro valor é realizado apenas quando uma organização pode reorganizar e colaborar internamente para criar consistentemente idéias, o resultado do design thinking, uma realidade comprovada e verdadeira para seus clientes. O mesmo vale para a aplicação das melhores práticas de segurança e privacidade, a fim de manter sua organização crescendo e atendendo às crescentes demandas do mercado.
Entenda o que você tem e quem pode querer
Ao empregar um processo de design thinking para inovação, as organizações começam tentando entender todos os hábitos, emoções e motivações de clientes e funcionários, sempre procurando detalhes de necessidades não atendidas. Adotar o pensamento de segurança e privacidade não é diferente. Mapeie os ativos valiosos da organização e quem possa ter acesso a eles, atualmente e historicamente. Examine como os funcionários usam dados, ferramentas e práticas para entender o cenário de ameaças ou quem pode querer acessar os dados. Para aplicar o pensamento sobre segurança e privacidade, os líderes querem entender quais tipos de dados eles mantêm, onde eles os mantêm e o que eles usam para comunicá-los interna e externamente. Mesmo que você não acredite que a organização tenha adversários óbvios, ela detém e processa dados, existem atores que desejam danificar,
Inventário para entender: mapear quem tem acesso e em que níveis para todos os sistemas
Fazer um inventário de tudo o que é digital, intangível e hardware pode ser uma maneira valiosa e surpreendente de descobrir quantos pontos de entrada um invasor tem para acessar seus dados valiosos. Aqui está um exemplo de uma tela de modelo de negócios – um painel para ajudar a debater e identificar todos os ativos notáveis da sua organização.
Idealize e priorize o que vale a pena abordar
Depois de entender quais ativos sua organização possui, é hora de pensar em como abordá-los e o que priorizar. Dica: a mudança de comportamento sempre será uma parte significativa da melhoria do seu estado de segurança e privacidade. Há uma série de vitórias rápidas para implementar e comportamentos para incentivar logo de cara. Discutir alguns deles em equipe e comprometer-se com eles levará a outras idéias e compromissos adequados às necessidades específicas da sua organização.
Como os ativos podem estar em risco
Aqui estão algumas coisas que melhoraram a privacidade e a segurança básicas:
1. Conheça intimamente os termos do SLA (Service Level Agreement) para quaisquer ativos comerciais essenciais, como hospedagem de sites ou CMS e ferramentas de relacionamento com clientes
Se você estiver usando um provedor para hospedar seu site, consulte o SLA para verificar se ele protege seus dados em caso de emergência. Uma regra prática é: se você não está pagando por um produto, você é o produto. As versões gratuitas geralmente vêm com os planos de recuperação ou proteção mais baixos possíveis; portanto, saiba no que você está entrando e no que está protegido e não protegido quando usa algo que é vital para a sua organização executar, como um site. Se houver uma camada paga desse serviço ou um complemento que custe um pouco mais, considere-o para melhorar os termos do SLA. Além disso, preste atenção em onde você armazena seus backups ou recuperação de desastres. Pode ser necessário manter sua própria cópia dos dados se o provedor os perder.
2. Escreva suas próprias políticas e termos de serviço
O Instituto Nacional de Padrões e Tecnologia (NIST) tem exemplos e modelos de segurança digital e políticas de privacidade de dados que qualquer organização pode e deve adaptar para atender às suas necessidades. A Estação de Rádio WNYC, lar do podcast ‘note to self’, ‘o programa técnico sobre ser humano’ também possui uma linguagem clara e ‘ termos de serviço ‘ claros , que você pode usar como ponto de partida. Os ótimos termos de serviço e as políticas nem sempre precisam ter 50 páginas e estão escritos em juridico. Você pode tentar debater com sua equipe os valores, princípios e hábitos aceitáveis e inaceitáveis que espera de funcionários, fundadores, conselhos e clientes para dobrá-los em seus próprios termos de serviço personalizados. Para mais inspiração, confira este podcast.
3. Escolha ótimas ferramentas: minimize a quantidade de ferramentas usadas para comunicação e consolide onde puder
Uma das melhores maneiras de reduzir os riscos é fazer com que todos na organização usem o mesmo serviço de nuvem, pensando cuidadosamente sobre quem tem quais permissões. Além disso, opte por ferramentas de código aberto e criptografadas como Signal, WhatsApp ou Keybase como ferramentas secundárias para comunicação quando possível. Mais importante, verifique se todos os dispositivos de hardware são copiados e criptografados. Isso pode ser tão simples quanto ativar o FileVault2 (MacOs), o BitLocker (Windows). Nos telefones, as versões modernas do (Android) são fornecidas com criptografia de arquivo ou disco completo. O iOS também é criptografado por padrão.
Todos os funcionários devem usar um gerenciador de senhas (como Enpass ou 1Password). Isso fornece uma maneira de o usuário manter senhas complexas sem precisar se lembrar de todas elas. Isso garantirá que todas as senhas de cada site sejam únicas. Isso tornará difícil para um invasor reutilizar sua senha, que eles podem ter obtido de um site comprometido, e limita o escopo dos possíveis danos.
Aqui está um sitecom mais informações sobre gerenciadores de senhas. Elimine qualquer uso de contas compartilhadas. As contas compartilhadas geralmente são difíceis de gerenciar, difíceis de rastrear e quase impossíveis de impor quem tem acesso. Cada pessoa específica deve ter acesso, por conta própria, aos dados necessários. As contas de compartilhamento geralmente têm vida longa e podem se tornar uma ‘porta dos fundos’ que supera as que têm conhecimento de sua existência.
Teste e implemente, rápido e lento
Um modelo completo de ameaças com especialistas em segurança pode expor táticas rápidas de vitória e estratégias de longo prazo para lidar com ameaças e criar práticas recomendadas. No entanto, como o design thinking, o pensamento sobre segurança e privacidade tem muito mais a ver com o comportamento e os hábitos das pessoas do que quase qualquer outra coisa. Nessa perspectiva, indivíduos e organizações podem ver uma imagem holística do que podem ser necessários para implementar sua estratégia de segurança e privacidade. Crie um plano de testes, testes, avaliações e retrospectivas regulares para saber o que está funcionando para sua organização e o que não está. Se você quiser saber mais sobre modelagem de ameaças, confira algumas destas fontes:
Hoje, uma das oportunidades mais importantes que as organizações podem enfrentar para criar consistentemente valor é implementar fortes práticas recomendadas de segurança digital e privacidade de dados. Queremos ver uma ampla adoção do pensamento de segurança e privacidade espelhar o sucesso do design thinking nas últimas duas décadas. As organizações podem iniciar essa adoção utilizando métodos de design thinking.