GDPR 和居家办公| GDPR 远程访问策略

Businesses with remote workforces must take extra steps to secure their data and manage employee access.

学习目标

阅读本文后,您将能够:

  • 了解 GDPR 对远程员工的影响
  • 了解远程访问策略应包含的内容

复制文章链接

什么是 GDPR?

The General Data Protection Regulation (GDPR) is a comprehensive data privacy law that establishes a framework for the collection, processing, storage, and transfer of personal data. It requires that all personal data be processed in a secure fashion, and it includes fines and penalties for businesses that do not comply with these requirements.

对于任何企业而言,遵从 GDPR 是一项挑战,而雇佣远程员工更会带来额外的复杂性。当企业的一部分或所有员工和承包商居家办公时,内部数据保护团队可能会失去对数据安全性的控制和可见性。严格的远程访问安全策略可以帮助保护纳入 GDPR 保护范围的个人和机密数据。

什么是远程访问策略?

远程访问策略是一系列面向远程员工和设备的安全标准。公司的 IT 或数据安全团队通常负责制定这些策略。使用虚拟专用网络(VPN)、在员工设备上安装反恶意软件以及多因素身份验证(MFA)都是可纳入远程访问安全策略的例子。

GDPR 有什么要求 ?

The GDPR is a very broad set of regulations. Among other things, it requires several specific actions that data controllers and processors need to take. Some of these include:

  • Record keeping: Data processors must keep records of their processing activities.
  • Security measures: Data controllers and processors must regularly use and test appropriate security measures to protect the data they collect and process.
  • Data breach notification: Data controllers that suffer a personal data breach have to notify appropriate authorities within 72 hours, with some exceptions. Usually, they also have to notify the individuals whose personal data was affected by the breach.
  • Data Protection Officer (DPO): Companies that process data may need to hire a Data Protection Officer (DPO). The DPO leads and oversees all GDPR compliance efforts.

The full requirements for data controllers and processors are described in the GDPR.

Because data security is a primary concern under the GDPR, companies that allow their workers to work from home need to make sure they are taking the right steps to protect the data that their workers access remotely.

What should businesses with remote workforces do to ensure data security?

因此,以下步骤是任何远程访问策略非常重要的组成部分(并非详尽列表):

保护传输中和静止的数据。

传输中的数据是指正在从 A 点传送到 B 点的数据。例如,在 SaaS 应用程序和用户设备之间传递的数据。静止的数据是指存储的数据,例如用户笔记本电脑硬盘驱动器中的数据。无论哪种情形,都必须保护数据安全。

访问控制和加密是保护数据的关键技术。与所有员工一样,远程员工必须有充分的理由才能访问个人数据,并且他们对这些数据的访问必须受到跟踪和管理。身份和访问管理(IAM)技术有助于防止未经授权的人员查看和更改数据。

此外,通过网络(包括 Internet)传递的数据应使用HTTPS、VPN 或其他方法进行加密。(基于云的应用程序会使此规则在适用于远程员工时变得复杂。请阅读这篇有关商用 VPN 的文章来了解更多信息。)另外,数据在存储到服务器和硬盘驱动器时(静止时)也必须加密。为此,IT 团队需要在所有设备上实施与加密相关的安全策略,在某些情况下甚至也包括员工的个人设备。

保护员工端点。

必须保护远程员工端点设备(如笔记本电脑、台式计算机和智能手机)以防网络攻击,因为恶意软件感染可能会导致数据泄露。至少应在设备上安装反恶意软件。安全 Web 网关也有助于在员工浏览 Internet 时为其保驾护航。

不过,与恶意软件感染相比,设备遗失甚至更为常见:员工意外将本地存有敏感数据的笔记本电脑或智能手机遗忘在公共区域。这是设备加密异常重要的另一个原因。

防范网络钓鱼攻击和其他形式的帐户接管。

网络钓鱼攻击仍然是造成数据泄露的最常见原因之一。网络钓鱼攻击是指攻击者诱使用户交出其登录凭证,从而使他们能够接管用户的帐户。对于努力保持合规性的公司而言,帐户接管的后果可能是灾难性的,因为攻击者随后可以侵入组织并且查看、泄漏或窃取消费者数据。

暴力攻击和密码喷洒攻击也可导致帐户接管,因此公司必须执行严格的密码策略。应当无人能够猜出任何员工的密码,而且密码应能够承受大多数机器人攻击。若有可能,企业应对使用的每个公司应用程序实施双因素身份验证