遵守資料隱私法規,例如歐盟的一般資料保護規範 (GDPR) 和《加州消費者隱私法案》(CCPA),對於遠端工作人員而言,必須採取不同的安全立場。 請繼續閱讀 Splashtop 在擁有遠端工作人員時經過驗證的五個合規最佳實踐。
Remote work isn't going away. According to a recent Gartner estimate, 51 percent of knowledge workers will be performing their work remotely at the start of 2022 - and that number is realistically higher now with the recent surge of the omicron variant across the globe.
在遠程工作條件下,合規性變得更加困難。考慮一下最近這篇安全雜誌文章中的發現,該文章討論了 Apricorn 2021 年全球 IT 安全調查的結果,該調查對北美和歐洲的 400 多名 IT 安全從業者進行了調查。該研究是關於過去 12 個月遠程工作的安全實踐和政策。幾個結果很好地總結了風險:
60%的受訪者表示,新冠病毒引發的遠程工作條件在其組織內造成了數據安全問題
38%表示數據控制非常難以管理
儘管存在數據控制問題,但幾乎20%承認他們的工作設備已被其他家庭成員使用
遵守遠程工作人員的數據隱私法規尚未成為 IT 團隊關注的重點。 2021 年醫療保健 IT 新聞文章指出,每 10 個 IT 團隊中只有 2 個表示他們提供了足夠的工具和資源來支持員工長期遠程工作。這種準備不足使組織面臨違反消費者數據隱私法的風險,尤其是 GDPR 和 CCPA。
不合規的影響
當發現一個組織因未適當保護其個人身份信息 (PII) 而對消費者造成潛在傷害時,結果可能包括巨額罰款、客戶流失和重大品牌損害。當然,大多數人都可以回想起歐盟對亞馬遜和 H&M 因違反 GDPR 分別罰款 7.46 億歐元和 3500 萬歐元等備受矚目的案例。然而,在短短 3 年內,歐盟已在歐洲經濟區 (EEA) 和英國(即使在英國退歐後仍保持 GDPR 規則)開出 800 多張罰款單。
是的,較小的組織會被罰款。以瑞典醫療保健提供商 Capio St. Göran 為例。在對其一家醫院進行審計後,它受到了品牌損害和290 萬歐元的 GDPR 罰款。審計表明,該公司沒有使用適當的風險評估,也沒有實施有效的訪問控制。結果,太多的員工可以訪問敏感的個人數據。
The same type of enforcement applies to all sizes of organizations under California's CCPA. A September 2021 TechTarget article points out that the State of California recently handed out fines to a car dealership, a grocery store chain, an online dating platform and a pet adoption agency - hardly the titans of modern industry.
底線:如果您發現自己在管理遠程團隊,則需要採取幾個步驟來調整您的安全策略和實踐,以遵守個人數據隱私法。
幸運的是,Splashtop 已使成千上萬的組織能夠遠端工作。 以下是 Splashtop 在擁有遠端工作人員時經過驗證的 5 種合規性最佳實踐。
GDPR 和 CCPA 下的數據合規性意味著什麼
GDPR 和 CCPA 都要求公司保持個人信息的私密性和安全性。必須設計和構建處理個人數據的業務流程以保護數據(例如,在適當的情況下使用假名或完全匿名)。控制數據的組織必須在設計信息系統時考慮到隱私。
Also similar to GDPR, Chapter 55 of the California Consumer Privacy Act of 2018 (CCPA) defines personal information as information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked (directly or indirectly) with a particular consumer or household such as a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, social security number, driver's license number, license plate number, passport number, or other similar identifiers.
這些法規適用於在任何地點工作的任何組織員工,無論是在辦公室還是遠程工作。 重要的是,員工在世界上在哪裡工作並不重要。 當受法規保護的消費者居住在歐盟地區、英國和/或加利福尼亞時,該規定適用。 (請注意,許多其他國家,例如巴西,南非,韓國,日本和許多其他國家也從 2019-2021 年起制定了類似的法規)。
最佳實踐 #1:更新您的網絡安全政策以反映“遠程工作”現實
如上述數據所示,許多員工不熟悉數據安全和數據主體隱私問題,根本不知道他們的行為如何導致數據洩露,從而暴露組織必須保護的個人數據。
通知員工的最佳方法是建立並共享網絡安全政策,該政策指導員工如何確保業務數據安全。 好消息是,您的 IT 安全政策可以是一個簡單的文件。 它應該解釋它存在的原因,並提供所有員工都應遵循的特定安全協議(以非技術術語言)。 它還應該為需要額外幫助了解它的員工提供聯繫人來源(電子郵件或電話號碼)。
最佳實踐 #2:培訓員工並確保 IT 能夠支持他們
員工通常是網絡安全中最薄弱的環節。定期的安全培訓有助於讓員工了解如何保護組織免受惡意攻擊。
帳戶和密碼策略:為所有用戶分配自己的登錄名,並通過強密碼和雙因素/多因素身份驗證授予訪問權限。
數據安全控制:數據安全控制包括基於最小權限原則的基於角色的訪問、訪問監控、帳戶審查/庫存和日誌記錄。這意味著所有用戶都擁有最低級別的數據訪問權限。
訪問控制:訪問控制管理對數據和系統的電子訪問,並基於權限級別、需要知道的參數和訪問系統的人員的明確職責分離。
安全事件響應: “安全事件響應”程序使組織能夠調查、響應、緩解和通知與 Splashtop 服務和信息資產相關的事件。
最佳實踐#3:在傳輸和靜止時保持數據加密
Recital 83 of GDPR requires personal data to be protected - both in transit and at rest. You should consider data to be in transit any time someone accesses it, such as when it travels from a website server to a user device. 'Data at rest' refers to data in storage, such as data on a device's hard drive or a USB flash drive.
當您的員工遠程工作時,維護數據保護的兩個關鍵是加密和訪問控制。
加密: Splashtop 對傳輸中和靜態的所有用戶數據進行加密,所有用戶會話均使用 TLS 安全建立。每個會話中訪問的內容始終通過 256 位 AES 加密。
訪問控制: Splashtop 實施了訪問控制來管理對數據和系統的電子訪問。我們的訪問控制基於權限級別、需要知道的級別以及訪問系統的人員的職責劃分。
Splashtop 故意避免了過度收集數據-這是太多企業在沒有合法業務服務原因的情況下所做的事情。 通過不收集敏感數據/信息,我們更容易與法規保持一致。 我們僅收集,存儲和處理有限的 PII,例如用戶名(電子郵件),密碼和會話日誌(供客戶查看,故障排除等),Splashtop 不根據 GDPR 和 CCPA 準則出售客戶信息。
最佳實踐 #4:在自己的堆棧中處理特定於地理的數據
如果您的企業為受監管區域內的用戶提供服務,那麼您最安全的做法是創建一個特定於每個受監管區域的數據/技術堆棧。 Splashtop 利用位於德國的歐盟堆棧。這確保了與歐盟居民相關的數據傳輸仍在歐盟主權範圍內(GDPR 的嚴格規則)。
最佳實踐 #5:使用安全遠程訪問
遠程工作的人通常使用VPN 和遠程桌面協議 (RDP)來訪問執行工作所需的應用程序和數據。這導致網絡犯罪分子利用弱密碼安全和 VPN 漏洞來訪問公司網絡,竊取信息和數據。
Splashtop 的遠端存取解決方案不依賴於 VPN。 此外,它遵循零信任方法。 當員工遠端存取辦公室電腦或工作站時,他們會通過特殊的 Splashtop 連接進入。 不屬於公司網路一部分的連線。 這意味著他們只能在其遠端桌面平台上查看和使用數據(即 Word 文檔),數據永遠不會在公司網絡之外傳輸。 IT 安全領導者還可以選擇 Splashtop 來啟用或禁用文件傳輸和打印功能。 強烈建議您選擇這些選項以達到合規性,但 RDP/VPN 策略並不存在。
Splashtop 遠程訪問引入了更多安全功能,例如設備身份驗證、雙因素身份驗證 (2FA)、單點登錄 (SSO) 等。這些現代安全措施在 VPN 架構中不存在。
預防比治療容易
正如這些最佳做法所示,您可以採取五個常識步驟,以符合資料隱私權法規,而無需付出大量努力。 在這裡保持遠端工作,在遠端工作環境中保護消費者資料的優勢遠遠超過了被發現「不合規」的負面影響。
