0
0
As organizações monitoram suas redes de computadores por vários motivos — desde a obtenção de informações sobre disponibilidade, desempenho e falhas até a identificação de possíveis vulnerabilidades e explorações de segurança cibernética. No processo, eles geralmente coletam mais dados do que o necessário sobre funcionários, clientes, clientes em potencial, fornecedores e muito mais. A atitude predominante é que, como os dados existem, são fáceis de capturar e relativamente baratos de armazenar, por que não coletá-los? Mas, considerando os recursos expansivos da tecnologia de hoje, combinados com o quão integrada ela é em todos os aspectos de nossas vidas, existe o perigo de coletar dados privados e desnecessários propositalmente ou inadvertidamente.
Mais dados significa mais risco
Esse problema só aumentará à medida que as tecnologias de monitoramento continuarem a melhorar e tiverem a capacidade de reunir perspectivas mais amplas e características pessoais únicas. Tal como está, as empresas coletam muitos dados diretos sobre indivíduos e usam o enriquecimento de terceiros para adicionar detalhes mais completos, alguns dos quais são mais intrusivos do que o necessário. À medida que camada após camada de diversos dados é capturada, é provável que os insights ultrapassem cada vez mais os limites da privacidade e criem riscos .
Todos os dados coletados durante o monitoramento – incluindo informações financeiras, comunicações, propriedade intelectual, arquivos pessoais, contratos e outros materiais confidenciais – têm o potencial de entrar no domínio público, seja por hacking ou erro humano. Um conto de advertência recente é uma configuração incorreta do servidor do Departamento de Defesa que espalhou mensagens de e-mail e detalhes pessoais confidenciais de funcionários federais. Embora essas informações fossem necessárias para autorizações de segurança militar, muitas empresas estão coletando dados semelhantes sem uma necessidade legítima, criando uma ameaça desnecessária de exposição.
Os hackers exploram regularmente os dados pessoais para abrir informações de autenticação que lhes permitem monetizar seus crimes cibernéticos, que se tornaram mais fáceis e lucrativos graças às criptomoedas. Há também atores de estado-nação, espionagem corporativa e até mesmo organizações politicamente motivadas que buscam obter propriedade intelectual para melhorar sua posição. Isso não precisa ser um segredo proprietário da empresa. Eles podem estar procurando um processo, aplicativo, diagrama de engenharia ou até mesmo mensagens de texto simples.
Quando o monitoramento parece vigilância
Outra preocupação com a coleta excessiva de dados é o impacto sobre os funcionários. Quando empresas e fornecedores obtêm insights desnecessários para a missão principal de monitoramento, isso pode alarmar os funcionários. Isso é especialmente verdadeiro quando os limites entre trabalho e casa se misturam, tornando os dispositivos pessoais cada vez mais disponíveis para a coleta de dados corporativos.
Além disso, se os dados coletados não puderem ser rastreados para um objetivo específico, os funcionários podem confundir monitoramento legítimo de rede e segurança com vigilância, especialmente porque as ferramentas de monitoramento de funcionários se tornaram mais amplamente utilizadas com o início do trabalho remoto. Essas ferramentas têm uma finalidade diferente das ferramentas de monitoramento de rede e segurança, mas isso nem sempre é claro para os funcionários.
Assumindo o controle dos dados
Quando se trata de monitoramento de rede e segurança, há um forte argumento a ser feito para coletar e analisar dados em um nível micro discreto. Mas quando visto em um nível macro, onde mais informações pessoais e desnecessárias são coletadas e conectadas com outras fontes de dados, o caso pode perder sua validade. Isso geralmente acontece quando os diretores de informações (CIOs) e outros ficam tão envolvidos no monitoramento dos recursos avançados da tecnologia que isso ofusca suas boas intenções e leva a resultados questionáveis. Aqui estão algumas etapas para ajudar a evitar que os dados tenham vantagem:
● Como organização, é importante alterar a forma como os dados são visualizados. Para muitos líderes, cada ponto de dados é visto pelas lentes da missão de negócios e não pela perspectiva da privacidade. A chave é identificar cada ponto de dados que está sendo coletado e determinar se é uma informação central ou informação de enriquecimento. Na maioria dos casos, os dados coletados estritamente para fins de enriquecimento são mais difíceis de justificar.
● Devido aos avanços na análise de dados, não se trata apenas de revisar as informações que estão sendo alimentadas no sistema. É sobre como os algoritmos estão sendo treinados e quais controles estão em vigor para definir o que é confidencial e como mantê-lo assim. Sem esses controles, o algoritmo pode usar pontos de dados desnecessários, resultando em saídas que respondem a perguntas que nunca deveriam ser feitas.
● Além de melhorar a consistência e a qualidade dos dados, uma equipe de governança de dados pode ser inestimável para ajudar a educar os funcionários e outras pessoas sobre o que está e o que não está sendo monitorado e por quê. Eles também podem desenvolver e aplicar políticas de dados da empresa e garantir a conformidade com padrões e regulamentos para evitar que as linhas de privacidade sejam cruzadas.
● Quando se trata de fornecedores, deve haver uma diretriz clara de que os dados coletados precisam estar vinculados aos serviços prestados. Os líderes de TI devem fazer estas três solicitações aos fornecedores:
— Forneça um relato detalhado de todos os dados coletados, como estão sendo coletados, com que frequência estão sendo coletados e como estão sendo usados.
—Descrever o mecanismo de acesso que está sendo usado para coletar dados e determinar se, e em que medida, ele permite a coleta de dados desnecessários.
—Explique se há opções para optar por não coletar pontos de dados específicos e, em caso afirmativo, quaisquer implicações que possam resultar se forem tomadas.
Uma revisão completa dos procedimentos de monitoramento e coleta de dados provavelmente revelará que a maioria das organizações está exagerando e colocando a empresa, seus funcionários e seus clientes em risco. É hora de aceitar que a chance de ser hackeado hoje não é mais extremamente baixa. Isso intensifica a necessidade de as empresas tomarem as medidas necessárias para repensar suas estratégias de coleta e monitoramento de dados e implementar as melhores práticas para proteger a privacidade dos funcionários e a integridade corporativa.
FONTE: DARK READING