Hantera GDPR och CCPA-efterlevnad för en fjärranställd arbetsstyrka

Efterlevnad av datasekretessbestämmelser, som Europeiska unionens allmänna dataskyddsförordning (GDPR) och California Consumer Privacy Act (CCPA), kräver en annan säkerhetsinställning för en distansarbetare. Läs vidare för Splashtops fem beprövade bästa praxis för efterlevnad samtidigt som du har en fjärranställd personal.

Fjärrarbete försvinner inte. Enligt en färsk uppskattning från Gartner kommer 51 procent av kunskapsarbetarna att utföra sitt arbete på distans i början av 2022 – och den siffran är realistiskt högre nu med den senaste ökningen av omicron-varianten över hela världen.

Efterlevnaden försvåras under avlägsna arbetsförhållanden. Betrakta resultaten från denna senaste artikel i Security Magazine som diskuterar resultaten av Apricorn 2021 Global IT Security Survey av mer än 400 IT-säkerhetsutövare i Nordamerika och Europa. Studien handlade om säkerhetspraxis och policyer för distansarbete under de senaste 12 månaderna. Flera resultat sammanfattar riskerna mycket väl:

  • 60% av de tillfrågade säger att covid-inducerade arbetsförhållanden på distans har skapat datasäkerhetsproblem inom deras organisationer
  • 38% uppgav att datakontroll har varit mycket svår att hantera
  • Trots oro för datakontroll 20% att deras arbetsenheter har använts av andra medlemmar i deras hushåll

Efterlevnad av datasekretessbestämmelser för distansarbetare har ännu inte varit i fokus för IT-team. En 2021 Healthcare IT News-artikel påpekade att bara 2 av 10 IT-team sa att de har tillhandahållit adekvata verktyg och resurser för att stödja anställda som arbetar på distans på lång sikt. Denna brist på beredskap sätter organisationer i riskzonen att bryta mot lagar om konsumentdataskydd, särskilt GDPR och CCPA.

Effekten av bristande efterlevnad

När en organisation visar sig ha orsakat potentiell skada för konsumenter genom att inte skydda deras personligt identifierbara information (PII), kan resultatet inkludera betydande böter, förlust av kunder och betydande varumärkesskador. Visst kan de flesta komma ihåg högprofilerade fall som att EU bötfäller Amazon och H&M för att inte efterleva GDPR till ett belopp av 746 miljoner euro respektive 35 miljoner euro. Ändå har EU på bara tre år utfärdat mer än 800 böter över hela Europeiska ekonomiska samarbetsområdet (EES) och Storbritannien (som upprätthåller GDPR-reglerna, även efter Brexit).

Ja, mindre organisationer får böter. Ta till exempel den svenska vårdgivaren Capio S:t Göran. Det fick varumärkesskador och en GDPR-böter på 2,9 miljoner euro efter en revision av ett av dess sjukhus. Revisionen visade att företaget inte använde lämpliga riskbedömningar och inte genomförde effektiva tillträdeskontroller. Som ett resultat av detta fick alltför många anställda tillgång till känsliga personuppgifter.

Samma typ av verkställighet gäller för alla storlekar av organisationer under Kaliforniens CCPA. En TechTarget-artikel från september 2021 påpekar att delstaten Kalifornien nyligen delade ut böter till en bilhandlare, en livsmedelsbutikskedja, en onlinedejtingplattform och en byrå för adoption av husdjur – knappast den moderna industrins titaner.

Summan av kardemumman: om du kommer på att du hanterar fjärrteam måste du ta flera steg för att justera din säkerhetspolicy och dina rutiner för att förbli i överensstämmelse med lagar om personuppgifter.

Lyckligtvis har Splashtop gjort det möjligt för tusentals organisationer att arbeta på distans. Här är Splashtops 5 beprövade bästa praxis för efterlevnad samtidigt som du har en avlägsen arbetsstyrka.

Vad dataefterlevnad betyder enligt GDPR och CCPA

Både GDPR och CCPA kräver att företag håller personlig information privat och säker. Affärsprocesser som hanterar personuppgifter måste utformas och byggas med skyddsåtgärder för att skydda data (t.ex. genom att använda pseudonymisering eller fullständig anonymisering där så är lämpligt). Organisationer som kontrollerar data måste utforma informationssystem med integritet i åtanke.

Liksom GDPR definierar kapitel 55 i California Consumer Privacy Act of 2018 (CCPA) personlig information som information som identifierar, relaterar till, beskriver, rimligen kan associeras med eller rimligen kan kopplas (direkt eller indirekt) med en viss konsument eller hushåll såsom ett riktigt namn, alias, postadress, unik personlig identifierare, onlineidentifierare, Internetprotokolladress, e-postadress, kontonamn, personnummer, körkortsnummer, registreringsnummer, passnummer eller annat liknande identifierare.

Reglerna gäller för alla organisationers anställda som arbetar på vilken plats som helst, vare sig det är på kontoret eller distans. Viktigt är att det inte spelar någon roll var i världen anställda arbetar. Reglerna gäller när konsumenterna som skyddas av reglerna bor i EU-zonen, Storbritannien och/eller Kalifornien. (Observera att många andra länder, som Brasilien, Sydafrika, Sydkorea, Japan och många andra också har infört liknande regler från 2019-2021).

Bästa praxis #1: Uppdatera din cybersäkerhetspolicy för att återspegla verkligheten för "fjärrarbete".

Som ovanstående data visar är många anställda obekanta med datasäkerhet och registrerades integritetsfrågor och inser helt enkelt inte hur deras handlingar kan leda till ett dataintrång som avslöjar de personuppgifter som din organisation måste skydda.

Det bästa sättet att informera anställda är att upprätta och dela en cybersäkerhetspolicy som instruerar anställda om hur de kan hålla ditt företags data säker. Den goda nyheten är att din IT-säkerhetspolicy kan vara ett enkelt dokument. Den bör förklara skälen till att den finns och tillhandahålla de specifika säkerhetsprotokoll (i icke-tekniska termer) som alla anställda bör följa. Det bör också tillhandahålla en kontaktkälla (e-post eller telefonnummer) för anställda som behöver ytterligare hjälp att förstå det.

Bästa praxis #2: Utbilda anställda och se till att IT kan stödja dem

Anställda är ofta den svagaste länken inom cybersäkerhet. Regelbunden säkerhetsutbildning hjälper till att hålla anställda uppdaterade om hur man skyddar organisationen från skadliga attacker.

  • Konto- och lösenordspolicyer: Tilldela alla användare sina egna inloggningar och ge åtkomst via starka lösenord och två-/multifaktorautentisering.
  • Datasäkerhetskontroll: Datasäkerhetskontroller inkluderar rollbaserad åtkomst baserad på minsta privilegieprincipen, åtkomstövervakning, kontogranskning/inventering och loggning. Detta innebär att alla användare har en minimal nivå av dataåtkomst.
  • Åtkomstkontroll: Åtkomstkontroller hanterar elektronisk åtkomst till data och system och baseras på behörighetsnivåer, parametrar som behöver vetas och en tydlig arbetsuppdelning för personer som använder systemet.
  • Respons på säkerhetsincidenter: "Security Incident Response"-procedurer gör det möjligt för en organisation att undersöka, svara på, mildra och meddela händelser relaterade till Splashtop-tjänster och informationstillgångar.

Bästa praxis #3: Håll data krypterad under överföring och vila

Skäl 83 i GDPR kräver att personuppgifter skyddas – både under transport och vila. Du bör anse att data är på väg varje gång någon kommer åt den, till exempel när den går från en webbplatsserver till en användarenhet. "Data i vila" hänvisar till data i lagring, till exempel data på en enhets hårddisk eller ett USB-minne.

De två nycklarna för att upprätthålla dataskyddet när dina anställda arbetar på distans är kryptering och åtkomstkontroll.

  • Kryptering: Splashtop krypterar all användardata under överföring och vila, och alla användarsessioner upprättas säkert med TLS. Innehållet som nås inom varje session är alltid krypterat via 256-bitars AES.
  • Åtkomstkontroll: Splashtop har implementerat åtkomstkontroller för att hantera elektronisk åtkomst till data och system. Våra åtkomstkontroller är baserade på behörighetsnivåer, behovsnivåer samt åtskillnad av arbetsuppgifter för dem som har tillgång till systemet.

Splashtop undviker medvetet överinsamling av data – något som alltför många företag gör utan ett legitimt skäl för företagstjänster. Vi anpassar oss lättare till regelverk genom att INTE samla in känslig data/information. Vi samlar bara in, lagrar och bearbetar begränsad PII, såsom användarnamn (e-post), lösenord och sessionsloggar (för kunder att granska, felsökning, etc.), och Splashtop säljer inte kundinformation enligt GDPR och CCPA-riktlinjer.

Bästa praxis #4: Behandla geografispecifika data i sin egen stack

Om ditt företag betjänar användare i en reglerad zon är ditt säkraste drag att skapa en data-/teknikstack som är specifik för varje reglerad zon. Splashtop utnyttjar en EU-stack baserad i Tyskland. Detta säkerställer att dataöverföringar relaterade till EU-invånare förblir inom EU:s suveränitet (en strikt regel i GDPR).

Bästa praxis #5: Använd säker fjärråtkomst

Människor som arbetar på distans använder vanligtvis VPN och RDP (Remote Desktop Protocol) för att komma åt de appar och data de behöver för att utföra sitt arbete. Detta har fått cyberbrottslingar att utnyttja svag lösenordssäkerhet och VPN-sårbarheter för att komma åt företagets nätverk och stjäla information och data.

Splashtops fjärråtkomstlösning förlitar sig inte på ett VPN. Dessutom följer den en Zero Trust-strategi. När anställda fjärransluter till sin kontorsdator eller arbetsstation kommer de in via en speciell Splashtop-anslutning. En anslutning som inte är en del av företagets nätverk. Detta innebär att de bara kan se och arbeta med data (dvs. Word-dokument) på sitt fjärrskrivbord, och data går aldrig utanför företagets nätverk. IT-säkerhetsledare har också valet med Splashtop att aktivera eller inaktivera både filöverföring och utskriftsfunktioner. Dessa val rekommenderas starkt för efterlevnad, men existerar inte med en RDP/VPN-strategi.

Splashtop fjärråtkomst introducerar ännu fler säkerhetsfunktioner, såsom enhetsautentisering, tvåfaktorsautentisering (2FA), enkel inloggning (SSO) och mer. Dessa moderna säkerhetsåtgärder finns inte i VPN-arkitektur.

Förebyggande är lättare än att bota

Som dessa bästa metoder visar kan du ta fem sunt förnuftiga steg för att anpassa dig till datasekretessbestämmelserna utan en stor ansträngning. Med distansarbete här för att stanna, uppväger fördelen med att skydda konsumentdata i din distansarbetarmiljö vida de negativa effekterna av att hittas "utan efterlevnad".

För att lära dig hur din organisation snabbt kan få säker och säker fjärråtkomst i linje med CCPA, GDPR och andra konsumentskyddsbestämmelser – besök vår sida för efterlevnad.


Relaterat innehåll

Gratis provbanner på bloggbotten