Monitoraggio della conformità della sicurezza di Slack: Tutto quello che deve sapere

Mentre un numero sempre maggiore di aziende si rivolge a strumenti di collaborazione in tempo reale come Slack per supportare il flusso di lavoro moderno, la sicurezza e la conformità normativa sono un'area di crescente preoccupazione per gli organi di governo e i dirigenti. Questo post tratta di tutto ciò che gli amministratori dello spazio di lavoro devono sapere per mantenere la conformità all'interno di Slack e proteggere i dati aziendali per ridurre al minimo il rischio di multe, sanzioni e altre azioni legislative.

Che cos'è il monitoraggio della conformità?

Il monitoraggio della conformità si riferisce al processo continuo di garantire che un'organizzazione aderisca alle leggi, ai regolamenti e alle politiche interne di utilizzo accettabile. Per fare questo, le aziende adottano una serie di misure per tracciare e valutare l'attività dei dipendenti all'interno di strumenti e app autorizzati dal lavoro. Queste misure mirano a rilevare i comportamenti non conformi o rischiosi e a mitigare i rischi di multe e sanzioni normative. Un monitoraggio efficace della compliance aiuta a ridurre i rischi, a mantenere le pratiche etiche e a salvaguardare la reputazione dell'organizzazione.

Perché il monitoraggio della conformità è essenziale per le aziende moderne?

Con la maggior parte del lavoro odierno che si svolge online con strumenti basati sul cloud e attraverso team distribuiti, il monitoraggio della conformità è più importante che mai per proteggere i dati sensibili che un'azienda gestisce. Questi dati possono includere dati regolamentati, come le informazioni sanitarie personali (PHI) e i dati del settore delle carte di pagamento (PCI), nonché la proprietà intellettuale e altre informazioni proprietarie e riservate.

In passato, queste informazioni sensibili e regolamentate sarebbero state limitate a soluzioni on-premise, come archivi cartacei o reti informatiche chiuse, riducendo la necessità di monitorare la conformità. Con una maggiore quantità di informazioni che fluiscono liberamente tra i dispositivi e le applicazioni, le aziende devono implementare soluzioni 24 ore su 24 in tutti i luoghi in cui i loro dipendenti lavorano:

• Proteggere i dati e la privacy
• Salvaguardia dai rischi di cybersecurity
• Prevenire eventuali violazioni e le relative multe
• Sostenere la cultura aziendale

Quali sono alcune delle sfide di conformità dell'utilizzo di Slack?

Slack è uno strumento di collaborazione estremamente popolare, ma comporta delle sfide per i responsabili della compliance. Questi includono:

• Condivisione di dati sensibili: I dipendenti utilizzano Slack per accelerare il lavoro, condividendo informazioni e file riservati, che vengono poi conservati a tempo indeterminato all'interno delle istanze Slack a pagamento.
• eDiscovery e ricerca: Trovare informazioni all'interno di Slack può essere difficile, in quanto i messaggi hanno impostazioni di visibilità diverse a seconda che siano inviati in canali pubblici, privati o messaggi diretti.
• Complessità dei dati: I set di dati generati dalle piattaforme di collaborazione come Slack sono enormi: ogni dipendente in un posto di lavoro medio invia 30-40 messaggi al giorno, il che significa che anche le piccole istanze di Slack possono contenere milioni di messaggi e file.
• Modifiche e cancellazioni: Gli utenti di Slack (custodi) mantengono il pieno controllo sui messaggi che inviano e possono modificarli o cancellarli in qualsiasi momento. Questo rende più difficile per i responsabili della compliance capire quando si sono verificate potenziali violazioni.
• Integrazioni di terze parti: Slack si collega a migliaia di app e strumenti diversi, ognuno dei quali potrebbe aumentare i rischi per la sicurezza dei dati, condividendo informazioni sensibili. Gli amministratori devono assicurarsi che le integrazioni soddisfino gli stessi standard di conformità di Slack.

Quali controlli di conformità nativi ha Slack?

Slack supporta i team che si occupano di compliance e di sicurezza informatica, fornendo una serie di funzioni e controlli che aiutano a gestire le informazioni sensibili all'interno dei messaggi di Slack. Innanzitutto, Slack è conforme a una serie di standard globali di sicurezza e privacy, tra cui ISO 27001, SOC 2, SOC 3, APEC PRP e APEC CBPR. Inoltre, Slack consente agli amministratori di utilizzare il suo software in modo conforme alle principali normative di conformità, come GDPR, CCPA/CPRA, HIPAA, FINRA, FedRAMP e altre ancora.

Per consentire alle aziende di rispettare la conformità, Slack offre controlli sulla residenza dei dati che consentono agli amministratori di scegliere la regione geografica in cui vengono archiviati i dati. Slack offre anche un Addendum sul trattamento dei dati, che delinea gli obblighi e i requisiti di Slack ai sensi del GDPR, del CCPA e di legislazioni simili in relazione al trattamento dei dati degli utenti. Nel complesso, queste funzioni possono aiutare gli amministratori dell'area di lavoro a supportare e mantenere la conformità all'interno di Slack. Tuttavia, non forniscono tutti i controlli necessari per garantire la conformità nell'ambiente Slack.

La conformità all'interno di Slack dovrebbe essere rafforzata da strumenti di compliance di terze parti in grado di monitorare i messaggi di Slack in tempo reale, affiancati da una regolare formazione dei dipendenti per limitare la divulgazione accidentale di informazioni sensibili o riservate.

In che modo Slack si protegge dal phishing e da altri attacchi?

Proteggere Slack dall'accesso non autorizzato di utenti terzi è fondamentale per proteggere i dati aziendali che contiene. Esempi di perdite di dati e di violazioni della conformità che si sono verificate attraverso Slack sono:

• Il filmato di Grand Theft Auto VI è trapelato dopo che lo Slack di Rockstar Games è stato violato.
• Il codice sorgente di FIFA 21 e altri dati sono stati rubati da EA Games tramite una violazione di Slack.
• Un hacker ha ottenuto l'accesso ai dati finanziari riservati e ai login dei conti di Uber e l'ha annunciato sul suo Slack aziendale.

Slack adotta misure per impedire ai cattivi attori di accedere agli spazi di lavoro aziendali, ad esempio limitando i login agli account di proprietà dell'azienda e controllando ulteriormente l'accesso tramite la gestione delle chiavi di crittografia. Per una maggiore sicurezza, Slack consente anche l'autenticazione a due fattori, che può essere applicata dagli amministratori in tutto lo spazio di lavoro. Anche se il 2FA non è obbligatorio, gli amministratori e i proprietari devono utilizzare il 2FA quando accedono ai loro account. In alternativa, gli amministratori possono richiedere il single sign-on (SSO), aggiungendo un ulteriore livello di sicurezza con un identity provider (IDP) come Azure Active Directory (ora Microsoft Entra ID), Google Workspace (SAML), Okta o OneLogin.

Oltre alle misure di sicurezza native di Slack, le organizzazioni possono collegare la loro istanza di Slack ad applicazioni di terze parti progettate per ridurre il rischio di attacchi dannosi. Le soluzioni disponibili includono servizi DLP e CASB per proteggere i dati e limitare l'accesso, e un software di monitoraggio e di allerta in tempo reale, in grado di rilevare gli incidenti insider nel momento in cui si verificano.

Collettivamente, queste misure possono ridurre la minaccia rappresentata dagli hacker e da altri cattivi attori all'interno di Slack, ma i dipendenti dovrebbero anche essere formati regolarmente su come identificare gli attacchi di phishing (e-mail) e smishing (SMS) nel momento in cui si verificano. La violazione di Uber, ad esempio, è stata il risultato di un attacco MFA fatigue, in cui l'hacker invia ripetutamente richieste di accesso al dispositivo 2FA del dipendente, finché quest'ultimo non ne approva una.

4 passi per ridurre i rischi di sicurezza e conformità in Slack

Passo 1: stabilire chiare linee guida per Slack

Qualsiasi strumento sul posto di lavoro deve essere valutato per la sicurezza prima di essere utilizzato. Stabilire in modo proattivo le politiche di utilizzo accettabile può aiutare i dipendenti a capire come utilizzare uno strumento e quali comportamenti evitare. Questo può ridurre le attività non conformi e limitare l'esposizione dell'organizzazione.

Passo 2: formare i dipendenti sull'uso accettabile

Non ha senso creare delle politiche senza formare i dipendenti su come seguirle. Non seppellisca la guida all'uso accettabile, ma faccia della formazione e dei promemoria una parte regolare della sua strategia di infosecurity e distribuisca uno strumento di moderazione dei contenuti che possa supportare e allenare i dipendenti in tempo reale.

Passo 3: stabilire le politiche di conservazione dei dati

Una componente importante della conformità normativa è la conservazione. La durata di conservazione delle informazioni da parte delle aziende e la facilità di accesso alle stesse sono disposizioni fondamentali di normative come HIPAA, FINRA e GDPR. Le aziende devono avere un piano per istituire e applicare i requisiti di conservazione all'interno di Slack.

Passo 4: attivare il monitoraggio di Slack in tempo reale

Utilizzi uno strumento in grado di monitorare e analizzare i messaggi Slack in tempo reale per rilevare le attività non conformi e rischiose nel momento in cui si verificano e intraprendere azioni correttive per ridurre l'esposizione al rischio all'interno di Slack.

Come Mimecast Aware consente la conformità in tempo reale per Slack

Mimecast Aware consente agli amministratori di stabilire e applicare facilmente la conformità e l'uso accettabile all'interno di Slack. La piattaforma AI di Mimecast Aware è stata progettata per ridurre i rischi ed estrarre valore dai dati di collaborazione dei dipendenti in Slack e altri strumenti, utilizzando un'elaborazione del linguaggio naturale (NLP) proprietaria che fa emergere più eventi con meno falsi positivi.

In qualità di unico fornitore di Slack approvato sia per la prevenzione della perdita di dati che per l'eDiscovery, Mimecast Aware offre una supervisione e un controllo olistico dei dati di Slack, soddisfacendo i casi d'uso dei team di sicurezza, conformità e infosec. Mimecast Aware si collega a Slack tramite API per acquisire un record completo di tutti i messaggi, comprese le revisioni e le cancellazioni, e li memorizza in un archivio pronto per la ricerca e infuso di metadati AI/ML per una scoperta più rapida e una migliore analisi contestuale di chi, cosa, dove, quando, come e perché degli incidenti di sicurezza.

Le automazioni intelligenti intervengono immediatamente ogni volta che vengono rilevati rischi per la non conformità e per i dati, inviando i messaggi a tombstoning per la revisione o istruendo automaticamente i dipendenti sulle politiche di utilizzo accettabile per ridurre al minimo le violazioni future. Le politiche di conservazione bidirezionali si applicano in egual misura sia ai dati in loco che a quelli archiviati in Slack, il che significa che gli amministratori possono rispettare le esigenze normative e le politiche interne in modo controllato e difendibile, con il supporto di registri di audit completi.

Utilizzando Mimecast Aware, le aziende possono imporre in modo rapido e semplice la conformità e l'uso accettabile di Slack e di altri strumenti di collaborazione da una dashboard centralizzata progettata e costruita per affrontare le complessità uniche di questo set di dati.

FAQ sul monitoraggio della conformità di Slack

Slack è conforme alla normativa HIPAA?

Sebbene Slack non sia conforme all'HIPAA in partenza, può essere utilizzato in modi che supportano e applicano la conformità all'HIPAA. Per saperne di più sulla conformità HIPAA in Slack.

Slack è conforme al GDPR?

Il GDPR, e le legislazioni correlate come CCPA/CPRA, PIPEDA e LGPD, definiscono il modo in cui le aziende gestiscono i dati delle persone, compresi i dipendenti. Slack offre agli amministratori controlli e impostazioni che aiutano a supportare queste normative negli spazi di lavoro aziendali. Per saperne di più sulla conformità al GDPR in Slack.

Slack è conforme alla normativa NIST 800-171?

Il NIST SP 800-171 delinea le procedure che le organizzazioni non federali devono seguire quando gestiscono le Controlled Unclassified Information (CUI). Slack è certificato NIST 800-171.

Slack è conforme al CJIS?

La Politica di sicurezza dei servizi informativi della giustizia penale (CJIS) si applica a tutte le organizzazioni che accedono o gestiscono i dati della giustizia penale, come i dati biometrici, le storie dei casi e i dati degli incidenti. È largamente utilizzato dai primi soccorritori e dalle agenzie collegate. Slack è certificato per la conformità CJIS.

Slack è approvato per l'uso da parte del Dipartimento della Difesa?

Le agenzie governative e del Dipartimento della Difesa possono utilizzare GovSlack, una versione sicura e conforme di Slack progettata per l'uso governativo. GovSlack è conforme a FedRAMP High, DoD SRG IL4 e FIPS 140-2.

Slack ha una crittografia AES a 256 bit?

Slack offre una serie di funzioni di sicurezza e crittografia, a seconda del livello del piano Slack e delle impostazioni dell'amministratore. Questi includono i protocolli TLS 1.2, la crittografia AES256, l'algoritmo di scambio di chiavi ECDHE_RSA e le firme SHA2, ove supportate.

In che modo Slack è conforme al PCI Security Standards Council?

Sebbene Slack non sia un Service Provider certificato PCI, offre funzioni di sicurezza che gli amministratori possono implementare per proteggere i dati PCI all'interno di Slack come parte di una più ampia strategia di conformità. Slack ha anche completato il Questionario di autovalutazione A (SAQ-A) del Payment Card Industry Data Security Standard.

Qual è la differenza tra Slack e Slack Enterprise Grid?

Slack Enterprise Grid è un livello di appartenenza a Slack che consente di assumere un controllo più granulare di un'istanza Slack per applicare le politiche di sicurezza e conformità dei dati. Gli utenti di Enterprise Grid possono anche collegare la loro istanza di Slack a strumenti e applicazioni di compliance, DLP, eDiscovery e altri strumenti di sicurezza di terze parti tramite API.