A interrupção dos negócios e o pedágio financeiro provocado pelo COVID-19 forçaram muitas empresas, grandes e pequenas, a deixarem os funcionários irem. De fato, mais de 40 milhões de americanos pediram desemprego nas últimas 10 semanas, com cortes atingindo grandes empresas, incluindo Boeing, IBM e United Airlines.
Embora as demissões nunca sejam um cenário fácil de lidar em qualquer momento, o quão bem elas são tratadas varia muito, diz Niamh Muldoon, diretor sênior de confiança e segurança da EMEA com a OneLogin.
“No início da minha carreira, trabalhei em um caso em que um processo de demissão deu terrivelmente errado e resultou em enorme prejuízo financeiro para a empresa, juntamente com uma enorme investigação, descoberta eletrônica e um caso legal”, diz Muldoon. “Então, exorto as organizações a investirem tempo no planejamento adequado para esta situação infeliz.”
Isso inclui as repercussões potenciais se um funcionário demitido decidir retaliar e sair com propriedade intelectual corporativa privada (IP) ou outros dados confidenciais. E isso não é incomum: de acordo com um relatório recente sobre 2.000 funcionários dos EUA e do Reino Unido da empresa de segurança de e-mail Tessian, mais de um terço admitiu ter levado documentos da empresa com eles quando deixaram um emprego. Os dados também revelaram que os funcionários dos EUA têm quase o dobro de chances de baixar, salvar ou exfiltrar documentos relacionados ao trabalho antes de sair ou depois de serem demitidos de um emprego.
Atualizar o planejamento para funcionários remotos
Com tantas pessoas trabalhando em casa em meio à pandemia, muitas demissões afetarão funcionários que não estão fisicamente em um escritório. Lidar com seu controle de acesso e outros requisitos exclusivos pode ser um novo território para alguns gerentes de segurança.
“A menos que os controles tenham sido atualizados durante a primeira fase do trabalho de casa, é provável que o processo que rege as separações de funcionários não tenha sido alterado para abordar como laptops, crachás de porta, telefones celulares e quaisquer dados em unidades USB podem ser tratados quando não há departamento de TI para devolver ativos corporativos”, diz Mackey.
Certifique-se de que a comunicação está clara
As mensagens relativas às rescisões que ocorrem virtualmente também precisarão ser adaptadas para considerar a distância. Comunicar claramente aos trabalhadores afastados suas expectativas sobre parar o uso de dispositivos da empresa, diz Stephen Cavey, co-fundador e evangelista-chefe da Ground Labs.
“Eles devem estar cientes de que, após a conclusão de seu emprego, nenhum dado da empresa deve ser acessado por meio de qualquer dispositivo”, diz ele. “Os riscos associados a esse cenário devem ser mínimos ao utilizar uma boa ‘planilha de execução’ e onde os dados são armazenados em locais controlados pela empresa.”
Coloque uma cláusula de segurança IP em contratos de trabalho
Pode não ser preciso dizer, mas qualquer estratégia de segurança sólida significa que você implementou práticas de segurança de dados antes que qualquer corte de pessoal comece.
“Muitos contratos de trabalho devem ter uma cláusula IP rigorosa e incluir linguagem específica sobre o tratamento de dados confidenciais enquanto trabalham para e ao sair de sua empresa”, diz Claire Ginnelly, diretora de RH do Fórum de Segurança da Informação.
Realize treinamento regular de conformidade IP
Além de garantir que a linguagem seja incluída em contratos antes mesmo de os funcionários começarem seu trabalho, uma boa prática de segurança de dados também significa treinamento regular de conformidade para todos os funcionários no manuseio de dados confidenciais e um inventário bem mantido de todos os equipamentos e dispositivos emitidos durante o mandato do funcionário, diz Ginnelly.
“Todos esses aspectos devem ser revistos na entrevista de saída, juntamente com quaisquer contas de mídia social que precisam ser trocadas para o gerente de pessoas, que deve confirmar que todos os privilégios são desligados rapidamente após o offboarding”, diz ela.
Monte sua equipe de stakeholders
Os gerentes de segurança precisam estar à mesa no início de qualquer plano de rescisão. Recursos humanos e legais também estarão envolvidos.
“É imprescindível que o RH garanta que os líderes empresariais estejam se conectando com sua equipe e fomentando fortes relações pessoais”, diz Ginnelly. “A comunicação entre as equipes precisa ser clara sobre qual o impacto da saída de um funcionário sobre as partes interessadas, processos e sistemas.”
Atribua um gerenciador de garantia independente
Além do RH, uma equipe de projetos multifuncionais com representação de negócios e tecnologia precisa apoiar a equipe de segurança para gerenciar com sucesso o risco, diz Muldoon, da OneLogin. “Nomear um gerente de garantia independente dentro da equipe do projeto é um papel fundamental”, acrescenta. “Essa pessoa está no ponto de completar listas de verificação e assinar que as ações estão concluídas.”
Escolha seu caminho de descomissionamento sabiamente
Embora os executivos de segurança estejam na mesma página sobre a importância de bloquear o acesso à rede de um funcionário demitido, sua abordagem sobre como ele deve ser tratado difere.
“Não se apresse em cortar o acesso ou empurrar as pessoas para fora sem a capacidade de coletar arquivos pessoais”, aconselha Jadee Hanson, CISO e CIO da Code42. “Se você, de repente, começar a tratar mal seus funcionários, você deve se preparar para que os danos sejam causados à sua empresa.”
Mas outros foram da opinião de que funcionários demitidos deveriam ser imediatamente bloqueados fora dos sistemas para evitar comportamentos retaliatórios.
“Quando se trata de offboarding e proteção do IP corporativo, o tempo é tudo”, diz Rick Holland, CISO da Digital Shadows. “O processo de rescisão deve ser orquestrado para eliminar oportunidades para os funcionários roubarem ou destruirem dados. O acesso corporativo deve ser desativado no momento exato em que o empregado for informado da rescisão.”
Para funcionários de alto risco, habilitar proativamente monitoramento adicional por meio de soluções como análise de comportamento de usuários e entidades (UEBA) poderia alertar para qualquer atividade suspeita antes da data real de rescisão do funcionário, acrescenta.
No entanto, alguns também recomendam uma abordagem mais matizada, caso a caso.
“A pergunta chave a ser feita no contexto das separações dos funcionários seria: quais controles de auditoria estão em vigor para identificar dados que foram acessados pelo funcionário e esses controles de auditoria podem garantir que todos os dados sejam devolvidos intactos quando um funcionário está devolvendo seus ativos físicos”, diz Tim Mackey, estrategista principal de segurança da Synopsys CyRC.
Obter promessas escritas também na saída
Embora as pessoas sejam tão boas quanto sua palavra, e não possam fazer jus a ela, ainda é importante ter documentação de expectativas de segurança quando estão saindo pela porta, mesmo que isso tenha sido parte do contrato de trabalho inicial.
“Os gestores de segurança devem trabalhar com o RH para garantir que os funcionários assinem uma declaração durante o offboarding que os lembre de suas obrigações de confidencialidade e que atesta que eles não estão levando nenhuma informação confidencial com eles, inclusive em seus dispositivos pessoais”, diz Sounil Yu, ex-CISO do Bank of America e agora CISO-residente na YL Ventures.
Mantenha o equipamento rendido intacto
Yu também recomenda que as organizações não sejam muito rápidas para reformar ou reciclar equipamentos de trabalhadores demitidos.
“Se o funcionário está partindo para um concorrente, a organização pode querer reter o equipamento do funcionário para análise forense no caso de surgirem evidências sugerindo que o funcionário pode ter saído com informações confidenciais.”
Cuidar de uma equipe de segurança que pode estar queimando
Embora as demissões sejam difíceis para aqueles que estão perdendo seus empregos, também é difícil para aqueles que ficaram para trás. Fique de olho em sua equipe de segurança e certifique-se de que eles tenham o suporte necessário durante os tempos de tentativa, diz Hanson, do Code42.
“Em qualquer situação de demissão, a segurança precisa ter largura de banda para olhar para mais alertas, cavar mais dados e abordar mais riscos em um período de tempo muito compactado”, diz ela. “Certifique-se de que sua equipe está apoiada para fazer esse trabalho com os backups e suporte certos no local.”
FONTE: DARK READING