遵守数据隐私法规,例如欧盟《通用数据保护条例》(GDPR) 和《加州消费者隐私法》(CCPA),需要对远程员工采取不同的安全立场。 请继续阅读 Splashtop 在拥有远程办公的同时实现合规性的五种行之有效的最佳实践。
Remote work isn't going away. According to a recent Gartner estimate, 51 percent of knowledge workers will be performing their work remotely at the start of 2022 - and that number is realistically higher now with the recent surge of the omicron variant across the globe.
在远程办公情况下,确保合规性更加困难。《安全性》杂志的一篇文章讨论了“Apricorn 2021年全球 IT 安全性调查”的结果,该调查以北美和欧洲的400余名 IT 安全从业者为研究对象,调查内容是关于过去12个月远程办公的安全实践和政策。以下几个结果很好地总结了其中的风险:
60%的受访者表示,新冠病毒引发的远程工作条件在其组织内造成了数据安全问题
38%的受访者表示,数据控制非常难以管理
尽管存在数据控制问题,但几乎20%的受访者承认其他家庭成员会使用自己的工作设备
遵守远程工作人员的数据隐私法规尚未引起 IT 团队的重视。2021 Healthcare IT News 的一篇文章指出,每10个 IT 团队中只有2个表示已为员工提供充足的工具和资源以支持长期远程办公。远程工具或资源准备不足使组织面临违反消费者数据隐私法的风险,尤其是 GDPR 和 CCPA。
不合规的影响
据发现,如果某一组织因未妥善保护其个人身份信息(PII)而对消费者造成潜在伤害,则可能导致巨额罚款、客户流失、重大品牌损害等后果。大多人肯定记得那些备受瞩目的案例,比如亚马逊和 H&M 因违反 GDPR 而分别接受欧盟的罚款7.46亿欧元和3500万欧元。在短短三年内,欧盟已在欧洲经济区(EEA)以及英国(即使在英国脱欧后仍坚持遵守 GDPR 法规)开出800多张罚款单。
没错,小型组织也会受罚。以瑞典医疗保健提供商 Capio St. Göran 为例。该供应商的一家医院接受审计后,品牌受损并受到290万欧元的 GDPR 罚款。审计表明,该公司没有使用恰当的风险评估,也没有实施有效的访问控制。结果导致过多员工能够访问敏感的个人数据。
The same type of enforcement applies to all sizes of organizations under California's CCPA. A September 2021 TechTarget article points out that the State of California recently handed out fines to a car dealership, a grocery store chain, an online dating platform and a pet adoption agency - hardly the titans of modern industry.
关键:如果您正在管理远程团队,则需采取几个步骤以调整您的安全政策与常规,以符合个人数据隐私法。
幸运的是,Splashtop 已经使成千上万的组织能够远程工作。 以下是 Splashtop 在拥有远程员工时实现合规性的 5 种行之有效的最佳实践。
GDPR 和 CCPA 中数据合规性的含义
GDPR 和 CCPA 都要求企业保护个人信息的隐私性和安全性。必须设计并构建处理个人数据的业务流程以保护数据(例如,在适当的情况下使用化名或完全匿名)。控制数据的组织必须在设计信息系统时考虑到隐私问题。
Also similar to GDPR, Chapter 55 of the California Consumer Privacy Act of 2018 (CCPA) defines personal information as information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked (directly or indirectly) with a particular consumer or household such as a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, social security number, driver's license number, license plate number, passport number, or other similar identifiers.
这些规定适用于在任何地点工作的任何组织的员工,无论是在办公室还是在远程办公。 重要的是,员工在世界任何地方工作都无关紧要。 当受法规保护的消费者居住在欧盟区、英国和/或加利福尼亚时,该法规适用。 (请注意,许多其他国家,例如巴西、南非、韩国、日本和许多其他国家,也从2019-2021年起制定了类似的法规)。
使用场景 #1:更新网络安全策略以体现“远程办公”
如上述数据所示,许多员工不熟悉数据安全和数据主体隐私问题,而且根本没有意识到自己的行为如何导致数据泄露,从而让组织必须保护的个人数据处于危险之中。
告知员工的最佳方式是制定和共享网络安全政策,指导员工如何保护企业数据安全。 好消息是,您的IT安全策略可以是一份简单的文档。 它应解释其存在的原因,并提供所有员工都应遵循的具体安全协议(非技术术语)。 它还应为需要更多帮助的员工提供联系来源(电子邮件或电话号码)。
使用场景 #2:培训员工并确保 IT 能够支持员工
员工往往是网络安全中最薄弱的一环。定期的安全培训可以帮助员工了解如何保护组织免受恶意攻击。
帐户与密码策略:为所有用户指定登录名,并通过强密码和双因子/多因子身份认证授予访问权限。
数据安全控制:数据安全控制包括基于角色的最小权限访问原则、访问监控、帐户审查/库存以及日志记录。这意味着所有用户具有最低级别的数据访问权限。
访问控制:访问控制管理对数据和系统的电子访问,并基于权限级别、按需知悉参数和明确的系统访问人员职责分离原则。
安全事件响应:“安全事件响应”程序可以帮助组织调查、响应、缓解和通知与 Splashtop 服务和信息资产相关的事件。
使用场景 #3:传输中和静态数据加密
Recital 83 of GDPR requires personal data to be protected - both in transit and at rest. You should consider data to be in transit any time someone accesses it, such as when it travels from a website server to a user device. 'Data at rest' refers to data in storage, such as data on a device's hard drive or a USB flash drive.
员工在远程办公时,维护数据保护的两个关键是加密和访问控制。
加密:Splashtop 对所有传输中和静态用户数据进行加密,所有用户会话均使用 TLS 安全建立。每个会话的访问内容始终通过256位 AES 加密。
访问控制:Splashtop 已实施访问控制来管理对数据和系统的电子访问。我们的访问控制基于权限级别、按需知悉以及系统访问人员职责分离原则。
Splashtop 故意避免过度收集数据——这是太多的企业在没有合法商业服务理由的情况下这样做的。 通过不收集敏感数据/信息,我们可以更轻松地与法规保持一致。 我们仅收集、存储和处理有限的 PII,例如用户名(电子邮件)、密码和会话日志(供客户查看、故障排除等),Splashtop 不按照 GDPR 和 CCPA 指南出售客户信息。
使用场景 #4:在特定堆栈中处理特定地理位置的数据
如果您的企业为受监管区域的用户提供服务,那么更加安全的做法是创建特定于每个受监管区域的数据/技术堆栈。Splashtop 使用位于德国的欧盟堆栈,确保与欧盟居民相关的数据传输仍在欧盟主权范围内(GDPR 的严格规则)。
使用场景 #5:使用安全远程访问
远程办公人员通常使用 VPN 和远程桌面协议(RDP)来访问工作所需的应用程序和数据。这种做法导致网络犯罪分子利用弱密码安全性和 VPN 漏洞来访问公司网络,窃取信息和数据。
Splashtop 的远程访问解决方案不依赖于 VPN。 此外,它遵循零信任方法。 当员工远程访问其办公室计算机或工作站时,他们通过特殊的 Splashtop 连接进入。 一种不属于公司网络的连接。 这意味着他们只能在远程桌面上查看和处理数据(即 Word 文档),并且数据永远不会传输到公司网络之外。 IT 安全领导者还可以选择 Splashtop 启用或禁用文件传输和打印功能。 强烈建议选择这些选项以保证合规性,但在 RDP/VPN 策略中却不存在。
Splashtop 远程访问引入了更多安全功能,例如设备身份验证、双因素身份验证(2FA)、单点登录(SSO)等。而 VPN 架构不具备此类现代安全功能。
预防比治疗更简单
正如这些最佳实践所表明的那样,您可以毫不费力地采取五个常识性步骤来遵守数据隐私法规。 随着远程办公将继续存在,在远程办公环境中保护消费者数据的好处远远超过被发现 “不合规” 所带来的负面影响。
