Die Einhaltung von Datenschutzbestimmungen wie der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und des kalifornischen Verbraucherschutzgesetzes (CCPA) erfordert eine andere Sicherheitsstrategie für Remote-Mitarbeiter. Lesen Sie weiter, um mehr über die fünf Best Practices zur Einhaltung von Richtlinien für Ihre Remote-Mitarbeiter zu erfahren.
Remote work isn't going away. According to a recent Gartner estimate, 51 percent of knowledge workers will be performing their work remotely at the start of 2022 - and that number is realistically higher now with the recent surge of the omicron variant across the globe.
Die Einhaltung der Vorschriften wird unter Bedingungen der Fernarbeit erschwert. Dies geht aus einem kürzlich erschienenen Artikel des Security Magazine hervor, in dem die Ergebnisse der Apricorn 2021 Global IT Security Survey unter mehr als 400 IT-Sicherheitsexperten in Nordamerika und Europa erörtert werden. Die Studie befasste sich mit den Sicherheitspraktiken und -richtlinien für Remote-Arbeit in den letzten 12 Monaten. Mehrere Ergebnisse fassen die Risiken sehr gut zusammen:
60% der Befragten geben an, dass COVID-bedingte Remote-Arbeitsbedingungen zu Datensicherheitsproblemen in ihrem Unternehmen geführt haben
38% gab an, dass die Datenkontrolle sehr schwer zu handhaben war
Trotz Bedenken hinsichtlich der Datenkontrolle gaben fast 20% zu, dass ihre Arbeitsgeräte von anderen Haushaltsmitgliedern benutzt wurden
Die Einhaltung der Datenschutzbestimmungen für Remote-Mitarbeiter steht für IT-Teams noch nicht im Mittelpunkt. In einem Artikel der Healthcare IT News aus dem Jahr 2021 wurde darauf hingewiesen, dass nur zwei von zehn IT-Teams angaben, angemessene Tools und Ressourcen zur Verfügung zu stellen, um Mitarbeiter, die remote arbeiten, langfristig zu unterstützen. Diese mangelnde Vorbereitung bringt Organisationen in die Gefahr, gegen die Datenschutzgesetze für Verbraucher zu verstoßen, insbesondere gegen die GDPR und das CCPA.
Die Auswirkungen der Nichteinhaltung von Vorschriften
Wenn sich herausstellt, dass ein Unternehmen Verbrauchern potenziellen Schaden zufügt, indem es deren personenbezogene Daten (PII) nicht ordnungsgemäß schützt, kann dies zu erheblichen Geldstrafen, dem Verlust von Kunden und erheblichem Markenschaden führen. Sicherlich können sich die meisten Menschen an öffentlichkeitswirksame Fälle wie die EU erinnern, die Amazon und H&M wegen der Nichteinhaltung der DSGVO mit Geldbußen in Höhe von 746 Millionen Euro bzw. 35 Millionen Euro belegt hat. Dennoch hat die EU in nur drei Jahren mehr als 800 Bußgelder im gesamten Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich (das die GDPR-Vorschriften auch nach dem Brexit beibehält) verhängt.
Ja, auch kleinere Organisationen werden mit Geldbußen belegt. Nehmen Sie zum Beispiel den schwedischen Gesundheitsdienstleister Capio St. Göran. Nach einem Audit in einem seiner Krankenhäuser wurde das Unternehmen mit einem Markenschaden und einer GDPR-Strafe von 2,9 Millionen Euro belegt. Die Prüfung ergab, dass das Unternehmen keine angemessenen Risikobewertungen vorgenommen und keine wirksamen Zugangskontrollen eingeführt hatte. Infolgedessen hatten zu viele Mitarbeiter Zugang zu sensiblen personenbezogenen Daten.
The same type of enforcement applies to all sizes of organizations under California's CCPA. A September 2021 TechTarget article points out that the State of California recently handed out fines to a car dealership, a grocery store chain, an online dating platform and a pet adoption agency - hardly the titans of modern industry.
Fazit: Wenn Sie Remote-Teams leiten, müssen Sie mehrere Schritte unternehmen, um Ihre Sicherheitsrichtlinien und -praktiken anzupassen, damit Sie die Gesetze zum Schutz personenbezogener Daten einhalten können.
Zum Glück hat Splashtop Tausenden von Organisationen ermöglicht, remote zu arbeiten. Hier sind die 5 bewährten Best Practices von Splashtop in Bezug auf Compliance bei der Telearbeit.
Was Daten-Compliance unter GDPR und CCPA bedeutet
Sowohl GDPR als auch CCPA verlangen, dass Unternehmen personenbezogene Daten privat und sicher halten. Geschäftsprozesse, bei denen personenbezogene Daten verarbeitet werden, müssen mit Sicherheitsvorkehrungen zum Schutz der Daten konzipiert und aufgebaut werden (z. B. unter Verwendung von Pseudonymisierung oder vollständiger Anonymisierung , wo dies angemessen ist). Organisationen, die Daten kontrollieren, müssen Informationssysteme unter Berücksichtigung des Datenschutzes entwickeln.
Also similar to GDPR, Chapter 55 of the California Consumer Privacy Act of 2018 (CCPA) defines personal information as information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked (directly or indirectly) with a particular consumer or household such as a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, social security number, driver's license number, license plate number, passport number, or other similar identifiers.
Die Vorschriften gelten für Mitarbeiter jeder Organisation, unabhängig davon, ob sie im Büro oder remote arbeiten. Das ist besonders wichtig – es spielt keine Rolle, wo auf der Welt die Mitarbeiter arbeiten. Die Vorschriften gelten, wenn die durch die Vorschriften geschützten Verbraucher in der EU-Zone, dem Vereinigten Königreich und/oder Kalifornien leben. (Beachten Sie, dass zahlreiche andere Länder, wie Brasilien, Südafrika, Südkorea, Japan und viele andere, von 2019 bis 2021 ebenfalls ähnliche Vorschriften eingeführt haben.)
Bewährte Praxis Nr. 1: Aktualisieren Sie Ihre Cybersicherheitsrichtlinien, um der Realität der "Fernarbeit" Rechnung zu tragen.
Wie die obigen Daten zeigen, sind viele Mitarbeiter mit Fragen der Datensicherheit und des Datenschutzes nicht vertraut und erkennen einfach nicht, wie ihre Handlungen zu einer Datenschutzverletzung führen könnten, die die persönlichen Daten, die Ihr Unternehmen schützen muss, preisgibt.
Der beste Weg, Mitarbeiter zu informieren, ist die Erstellung und Verbreitung einer Cybersicherheitsrichtlinie, die die Mitarbeiter darüber informiert, wie sie die Daten Ihres Unternehmens schützen können. Die gute Nachricht ist, dass es sich bei Ihrer IT-Sicherheitsrichtlinie um ein einfaches Dokument handeln kann. Darin sollten die Gründe für ihre Existenz erläutert werden und die spezifischen Sicherheitsprotokolle (in nicht technischer Sprache) dargelegt werden, die alle Mitarbeiter befolgen sollten. Es sollte auch eine Kontaktquelle (E-Mail-Adresse oder Telefonnummer) für Mitarbeiter bereitstellen, die zusätzliche Hilfe beim Verständnis benötigen.
Best Practice #2: Mitarbeiter schulen und sicherstellen, dass die IT sie unterstützen kann
Die Mitarbeiter sind oft das schwächste Glied in der Cybersicherheit. Regelmäßige Sicherheitsschulungen helfen, die Mitarbeiter auf dem Laufenden zu halten, wie sie das Unternehmen vor bösartigen Angriffen schützen können.
Konto- und Passwortrichtlinien: Weisen Sie allen Benutzern eigene Logins zu und gewähren Sie den Zugang über sichere Passwörter und Zwei-/Mehrfaktor-Authentifizierung.
Datensicherheitskontrolle: Die Datensicherheitskontrollen umfassen rollenbasierten Zugang nach dem Prinzip der geringsten Rechte, Zugriffsüberwachung, Kontenüberprüfung/-inventarisierung und Protokollierung. Dies bedeutet, dass alle Nutzer nur ein Mindestmaß an Datenzugriff haben.
Zugangskontrolle: Zugangskontrollen verwalten den elektronischen Zugang zu Daten und Systemen und basieren auf Berechtigungsstufen, Need-to-know-Parametern und einer klaren Aufgabentrennung für Personen, die auf das System zugreifen.
Security Incident Response: "Security Incident Response"-Verfahren ermöglichen es einer Organisation, Ereignisse im Zusammenhang mit Splashtop-Diensten und -Informationsbeständen zu untersuchen, darauf zu reagieren, zu entschärfen und zu melden.
Bewährte Praxis Nr. 3: Daten während der Übertragung und im Ruhezustand verschlüsseln
Recital 83 of GDPR requires personal data to be protected - both in transit and at rest. You should consider data to be in transit any time someone accesses it, such as when it travels from a website server to a user device. 'Data at rest' refers to data in storage, such as data on a device's hard drive or a USB flash drive.
Die beiden Schlüssel zum Datenschutz bei der Fernarbeit Ihrer Mitarbeiter sind Verschlüsselung und Zugangskontrolle.
Verschlüsselung: Splashtop verschlüsselt alle Benutzerdaten bei der Übertragung und im Ruhezustand, und alle Benutzersitzungen werden sicher mit TLS aufgebaut. Der Inhalt, auf den innerhalb jeder Sitzung zugegriffen wird, wird immer mit 256-Bit-AES verschlüsselt.
Zugangskontrolle: Splashtop hat Zugangskontrollen eingeführt, um den elektronischen Zugang zu Daten und Systemen zu verwalten. Unsere Zugangskontrollen basieren auf Autoritätsebenen, Need-to-know-Ebenen sowie der Aufgabentrennung für diejenigen, die auf das System zugreifen.
Splashtop vermeidet bewusst die übermäßige Erfassung von Daten – etwas, das zu viele Unternehmen ohne einen legitimen Geschäftsdienstleistungsgrund tun. Wir passen uns leichter an die Vorschriften an, indem wir KEINE sensiblen Daten/Informationen sammeln. Wir sammeln, speichern und verarbeiten nur begrenzte personenbezogene Daten wie Benutzername (E-Mail), Passwort und Sitzungsprotokolle (für Kunden zur Überprüfung, Fehlerbehebung usw.), und Splashtop verkauft keine Kundeninformationen gemäß den Richtlinien der DSGVO und des CCPA.
Bewährte Praxis Nr. 4: Geografische Daten in einem eigenen Stapel behandeln
Wenn Ihr Unternehmen Nutzer in einer regulierten Zone bedient, ist es am sichersten, einen Daten-/Technologie-Stack zu erstellen, der für jede regulierte Zone spezifisch ist. Splashtop nutzt einen EU-Stack mit Sitz in Deutschland. Dadurch wird sichergestellt, dass Datenübertragungen im Zusammenhang mit in der EU ansässigen Personen innerhalb der EU-Souveränität bleiben (eine strenge Regel der DSGVO).
Bewährte Praxis Nr. 5: Verwenden Sie einen sicheren Fernzugriff
Mitarbeiter, die aus der Ferne arbeiten, verwenden in der Regel VPNs und das Remote-Desktop-Protokoll (RDP) , um auf die Anwendungen und Daten zuzugreifen, die sie für ihre Arbeit benötigen. Dies hat Cyberkriminelle dazu veranlasst, schwache Passwortsicherheit und VPN-Schwachstellen auszunutzen, um auf das Unternehmensnetzwerk zuzugreifen und Informationen und Daten zu stehlen.
Die Fernzugriffslösung von Splashtop basiert nicht auf einem VPN. Darüber hinaus folgt sie einem Zero-Trust-Ansatz. Wenn Mitarbeiter aus der Ferne auf ihren Bürocomputer oder ihre Arbeitsplatzcomputer zugreifen, tun sie dies über eine spezielle Splashtop-Verbindung. Eine Verbindung, die nicht Teil des Unternehmensnetzwerks ist. Das bedeutet, dass sie die Daten (z. B. Word-Dokumente) nur auf ihrem Remote-Desktop anzeigen und bearbeiten können. Daten verlassen niemals das Unternehmensnetzwerk. IT-Sicherheitsverantwortliche haben bei Splashtop auch die Wahl, sowohl die Dateiübertragungs- als auch die Druckfunktionen zu aktivieren oder zu deaktivieren. Diese Optionen werden aus Compliance-Gründen dringend empfohlen, existieren aber bei einer RDP/VPN-Strategie nicht.
Der Splashtop-Fernzugriff bietet noch mehr Sicherheitsfunktionen, wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr. Diese modernen Sicherheitsmaßnahmen gibt es in der VPN-Architektur nicht.
Vorbeugen ist einfacher als heilen
Wie diese Best Practices zeigen, können Sie fünf gängige Schritte unternehmen, um sich ohne großen Aufwand an Datenschutzvorschriften anzupassen. Da Telearbeit auch weiterhin bestehen bleiben wird, überwiegen die Vorteile des Schutzes von Verbraucherdaten in Ihrer Umgebung der verteilten Belegschaft bei Weitem die negativen Auswirkungen, wenn festgestellt wird, dass sie „nicht konform“ sind.