Mimecast Logo
Richiedi un preventivo
    Approfondimenti sulla Cyber Resilience
    Tutti gli argomenti
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Archive Data Protection

    Adozione sicura di Slack: Cosa deve sapere

    Considerazioni chiave per superare le sfide dell'adozione di Slack

    by Emily Schwenke

    Key Points

    • Questo blog è stato originariamente pubblicato sul sito web di Aware, ma con l'acquisizione di Aware da parte di Mimecast, ci assicuriamo che sia disponibile anche per i visitatori del sito web di Mimecast.
    • Garantire la conformità legale e la gestione sicura dei dati in Slack.
    • Affrontare la complessa struttura dei dati di Slack con strumenti di monitoraggio e mitigazione in tempo reale.

    La trasformazione digitale del luogo di lavoro moderno ha portato con sé nuovi modi di comunicare e collaborare. Strumenti come Slack offrono vantaggi incommensurabili all'azienda che può sfruttarli in modo sicuro e protetto. In questo post, esaminiamo le principali sfide per l'adozione di Slack che frenano le aziende e i passi che possono compiere per superarle.

    Quali sono i vantaggi di Slack?

    Gli strumenti di collaborazione come Slack hanno sostituito l'e-mail come modalità principale di collaborazione dei dipendenti al lavoro. Slack offre una piattaforma robusta ed efficiente per la gestione dei team, del lavoro di gruppo e delle chat individuali. La sua messaggistica in tempo reale consente ai team remoti e distribuiti di collaborare efficacemente attraverso i fusi orari, eliminando i ritardi associati ai metodi di comunicazione tradizionali.

    Slack offre anche un repository dove è possibile condividere file e documenti, sia in modo nativo che attraverso integrazioni con app e servizi di terze parti come Google Drive, Dropbox, Trello e altri. In questo modo si crea anche un archivio vivente della storia lavorativa che supporta l'onboarding dei nuovi dipendenti, la conservazione e il trasferimento delle conoscenze e fornisce un contesto importante per le decisioni passate.

    Slack stesso è disponibile su un'ampia gamma di piattaforme, comprese le applicazioni desktop, i browser web e i dispositivi mobili, offrendo una maggiore flessibilità per mantenere i dipendenti connessi, e oggi Slack è anche una parte importante di molte culture aziendali. A sostegno di ciò, Slack abilita funzioni sociali come le emoji, le gif e le reazioni, e incoraggia la fusione tra comunicazioni personali e aziendali.

    Le principali sfide dell'adozione di Slack

    Nonostante questi vantaggi, Slack non è privo di rischi. Nel democratizzare l'accesso ai dati aziendali, Slack può anche introdurre nuovi pericoli. Come fanno le aziende a gestire le richieste legali, l'eDiscovery o la forensics interna nei set di dati Slack? La complessità della struttura di messaggistica di Slack - nemmeno gli amministratori possono avere una visibilità completa di tutti i messaggi - può rallentare la scoperta, nascondere le prove e fornire copertura agli attori interni delle minacce.

    Anche i responsabili della compliance potrebbero opporsi al lancio di Slack. Come fanno le organizzazioni a rispettare le politiche di conservazione dei documenti in Slack, soprattutto nei settori altamente regolamentati? E sono in grado di rispondere in tempo a una richiesta di accesso ai dati (DSAR) ai sensi del GDPR o del CCPA/CPRA?

    La difficoltà di trovare i dati all'interno di Slack è una conseguenza del modo in cui sono strutturati i canali e i messaggi. Semplicemente, è una caratteristica, non un bug, e questo lo rende più difficile da superare. Mentre i team legali e di conformità possono faticare a trovare le informazioni di cui hanno bisogno in modo tempestivo, altri utenti possono imbattersi in dati proprietari e riservati ed esfiltrare i dati senza lasciare traccia. Conservare un registro indefinito di tutte le comunicazioni aziendali, come fa Slack per tutti i piani a pagamento per impostazione predefinita, può comportare la compromissione di dati sensibili in un secondo momento, ma cancellare tutti i dati di Slack può anche creare responsabilità, come ha scoperto FTX.

    Anche la cultura aziendale può essere influenzata negativamente da Slack. Se da un lato Slack offre ai colleghi un modo semplice per collaborare, chattare e formare gruppi basati su interessi comuni, dall'altro offre anche una copertura per molestie, tossicità e abusi. Non c'è nulla che impedisca a un dipendente di inviare a un collega un messaggio diretto molesto e di cancellare le prove, rendendo difficile per i team HR o legali confermare l'accaduto. Per proteggere la cultura aziendale e preservare la sicurezza psicologica, la salvaguardia dei dipendenti in Slack deve essere una considerazione prioritaria e non un ripensamento.

    Lo stato attuale dei rischi di sicurezza di Slack

    Slack offre una serie di controlli di sicurezza e di privacy che i proprietari degli spazi di lavoro possono implementare per limitare l'accesso alla loro istanza Slack. Queste includono l'autenticazione a due fattori (2FA), il single sign-on (SSO) basato su SAML, la gestione delle chiavi aziendali (EKM) e il whitelisting IP, anche se alcune di queste funzioni richiedono il livello più alto di appartenenza a Slack, Enterprise Grid. Inoltre, Slack supporta i principali standard di conformità, tra cui SOC 2 Tipo II e ISO/IEC 27001, e può essere utilizzato in modo conforme a HIPAA e GDPR.

    Nonostante questo, ci sono delle lacune nella sicurezza di Slack che le aziende devono affrontare. Rispetto alle comunicazioni tradizionali come le e-mail, la struttura dei dati di Slack è estremamente complessa e le soluzioni tradizionali non riescono a tenere il passo. Piuttosto che messaggi one-to-one o transazionali, consegnati con un contesto circostante (mittenti, destinatari, oggetto, timestamp), i messaggi di Slack scorrono senza soluzione di continuità tra canali pubblici, gruppi privati e messaggi diretti con pochissimo contesto.

    Scoprire semplicemente chi nell'organizzazione ha visto un determinato messaggio Slack può essere quasi impossibile, soprattutto nei canali pubblici. Questo complica lo sforzo di conservazione della perdita di dati se, ad esempio, un file riservato viene erroneamente caricato in pubblico. Dato che la ricerca di Aware mostra che 1 messaggio Slack su 17 contiene 3+ informazioni sensibili o regolamentate, il rischio associato all'accesso non autorizzato ai messaggi Slack è elevato.

    Le soluzioni di sicurezza personalizzate per Slack sono spesso costose da costruire e ritardano inevitabilmente il lancio di Slack. Questo può avere un effetto negativo sulle aziende che hanno bisogno di una soluzione di collaborazione in tempo reale.

    Per risolvere queste sfide, Slack collabora con una serie di soluzioni di DLP, eDiscovery e compliance di terze parti che aumentano le funzioni di sicurezza dei dati native di Slack.

    I controlli di Slack di cui le aziende hanno bisogno per proteggere la collaborazione

    La gestione dei dati di Slack è una parte essenziale dei flussi di lavoro olistici relativi a legge, conformità, sicurezza e risorse umane. Raggiungere gli obiettivi di tutte le unità aziendali senza introdurre ulteriori complessità è la sfida che i team IT e i proprietari di app devono affrontare per implementare Slack. L'incapacità di soddisfare queste esigenze non è un'opzione quando i revisori e le autorità di regolamentazione hanno chiarito che si stanno concentrando su questa serie di dati.

    Qualsiasi soluzione introdotta per gestire i dati di Slack deve avere alcune funzionalità essenziali:

    • Monitoraggio e mitigazione della conformità in tempo reale
    • Capacità di identificare e ispezionare gli allegati
    • Scalabile con l'ambiente Slack

    Le soluzioni che ingeriscono in batch i messaggi di Slack non sono efficaci nel mitigare i rischi quando i dipendenti possono modificare o cancellare i messaggi entro pochi secondi dal loro invio. Gli allegati caricati all'interno di Slack devono anche essere individuabili per gli strumenti di compliance e DLP, per evitare che i dipendenti aggirino i controlli progettati per proteggere i dati di Slack, e idealmente i link devono essere controllati per evitare attacchi di phishing da parte di utenti compromessi, come è accaduto di recente in Microsoft Teams.

    Oltre a questi componenti essenziali di una soluzione di sicurezza Slack, prenda in considerazione i fornitori che offrono la gestione dei dati Slack da una single piattaforma, in grado di affrontare tutte le complessità GRC in un unico luogo, per ridurre i costi e i rischi associati a uno stack tecnologico frammentato.

    In che modo Mimecast Aware protegge i dati di Slack

    In qualità di unico fornitore Slack approvato per DLP ed eDiscovery e di partner di fiducia di GovSlack, Mimecast Aware soddisfa i requisiti dei team di sicurezza, legali, di conformità e delle risorse umane, fornendo archiviazione, ricerca federata, monitoraggio della conformità e approfondimenti sulle persone da una piattaforma centralizzata che consente ai leader IT di spuntare la casella della gestione dei dati Slack.

    Aware utilizza un'elaborazione del linguaggio naturale (NLP) proprietaria per analizzare i messaggi Slack in tempo reale, identificando un maggior numero di casi di violazioni della conformità con meno falsi positivi. Aware è anche in grado di rilevare la condivisione di informazioni sensibili e riservate dell'azienda e di intervenire automaticamente per ridurre il rischio e istruire i dipendenti sulle politiche di utilizzo accettabile.

    Ricerca su Slack da Mimecast Aware

    • Ricerca federata in Slack e in tutti i suoi strumenti di collaborazione collegati
    • Fornisce risultati contestualizzati, insieme a eventuali modifiche o cancellazioni.
    • Cerca per autore, data, tipo di messaggio, piattaforma e altro ancora.
    • Filtrare e raffinare rapidamente i risultati in base a più parametri, per un time-to-context più rapido.

    Conformità a Slack da Mimecast Aware

    • Conserva un archivio immutabile di tutti i messaggi, compresi i messaggi privati e i DM.
    • Eliminare in modo bidirezionale i contenuti secondo un programma regolare, oppure conservare con un solo clic i contenuti dei dipendenti regolamentati.
    • Accelerare le risposte DSAR e rispettare il Diritto all'oblio dei dipendenti.
    • Le regole configurabili intervengono automaticamente quando vengono rilevate potenziali violazioni della conformità.

    DLP di Slack da Mimecast Aware

    • Automatizza la revisione e la correzione di messaggi, file e link in cui i dati sono a rischio.
    • Visualizza il contesto completo dei messaggi per capire l'intento e migliorare le indagini.
    • L'analisi AI/ML e gli avvisi in tempo reale riducono l'esposizione in caso di violazioni.
    • Il rilevamento della tossicità e del sentimento evidenzia le aree di maggior rischio

    Analisi delle persone di Slack da Aware

    • Esplori gli argomenti di tendenza man mano che emergono, completi di sentimento aggregato.
    • Identificare i comportamenti anomali e l'aumento della tossicità per minimizzare il rischio insider.
    • Migliorare le comunicazioni con i dipendenti con approfondimenti e reazioni in tempo reale
    • Analizzare le risposte di sondaggi di forma lunga in pochi minuti e riassumere i risultati con verbali pubblici.

    Con Mimecast Aware, le aziende possono soddisfare le esigenze di più unità con una soluzione olistica che consente l'immediata introduzione di Slack, mitigando i rischi ed estraendo valore sotto forma di approfondimenti aggregati sugli argomenti e i temi che hanno un impatto sui dipendenti. Fissi una telefonata oggi stesso per scoprire come Mimecast Aware può aiutarla ad abilitare Slack nella sua organizzazione.

    49BLOG_1.jpg
    Up Next
    Archive Data Protection |
    Come impostare la sua politica di conservazione dei dati per Slack

    Related Articles

    Archive Data Protection
    Capire il CPRA: proteggere le informazioni personali sensibili e mantenere la conformità
    Archive Data Protection
    Zoom Backup e Archiviazione: Una guida completa
    Archive Data Protection
    Le 10 migliori pratiche di sicurezza di Slack per salvaguardare la collaborazione sul posto di lavoro

    Si abboni a Cyber Resilience Insights per altri articoli come questi.

    Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.

    Iscriviti con successo

    Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog

    Ci terremo in contatto!

    Back to Top