擁有遠端員工的企業必須採取額外措施來保護其資料並管理員工存取。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
一般資料保護規定 (GDPR) 是一部全面的資料隱私法,為個人資料的收集、處理、儲存和傳輸建立了框架。它要求以安全的方式處理所有個人資料,並包括對不遵循要求之企業的罰款和處罰。
遵守 GDPR 對任何企業來說都是一個挑戰,而使用遠端員工會帶來額外的複雜性。當企業的部分或全部員工和承包商在家工作時,內部資料保護團隊對資料安全的控制和可見度可能較低。強大的遠端存取安全性原則有助於保護受 GDPR 保護的個人和機密資料。
遠端存取原則是針對遠端員工和裝置的一組安全性標準。公司的 IT 或資料安全團隊通常會設定原則。使用虛擬私人網路 (VPN)、在員工裝置上安裝反惡意軟體以及採用多重要素驗證 (MFA) 都是可以包含在遠端存取安全性原則中的範例。
GDPR 是一套非常廣泛的法規。除其他事項外,它還要求資料控制者和處理者採取幾項具體動作。其中一些包括:
GDPR 中描述了對資料控制者和處理者的完整要求。
由於資料安全是 GDPR 的主要關注點,允許員工居家辦公的公司需要確保採取正確的措施,來保護員工遠端存取的資料。
因此,以下步驟是任何遠端存取原則的重要組成部分(並非詳盡清單):
傳輸中的資料是指正在從 A 點傳輸到 B 點的資料,例如,在 SaaS 應用程式和使用者裝置之間傳遞的資料。靜態資料是指儲存的資料,例如使用者筆記型電腦硬碟上的資料。這兩種情況下的資料都必須安全無虞。
存取控制和加密是用於保護資料的關鍵技術。與所有員工一樣,遠端員工必須有充分的理由才能存取個人資料,並且必須追蹤和管理他們對這些資料的存取。身分識別與存取管理 (IAM) 技術有助於防止未經授權的人員檢視和更改資料。
此外,透過網路(包括網際網路)傳遞的資料應使用 HTTPS、VPN 或其他方法進行加密。(基於雲端的應用程式可能會使針對遠端員工的這一規則更加複雜。請閱讀這篇關於企業 VPN 的文章以瞭解更多資訊。)此外,當資料在伺服器和硬碟中儲存或「靜態」放置時,也必須對其進行加密。為此,IT 團隊需要在所有裝置上實施加密安全性原則,在某些情況下,甚至還需在員工的個人裝置實施原則。
必須保護遠端員工端點裝置(如筆記型電腦、桌上型電腦和智慧型手機)免受網路攻擊,因為惡意軟體感染可能導致資料外洩。裝置至少應安裝反惡意軟體。安全 Web 閘道還可以在員工瀏覽網際網路時協助保護他們。
不過,與惡意軟體感染相比,裝置遺失甚至更為常見:員工意外將本機儲存了敏感性資料的筆記型電腦或智慧型手機遺忘在公共區域。這是裝置加密異常重要的另一個原因。
網路釣魚攻擊仍然是資料外洩的最常見原因之一。網路釣魚攻擊是指攻擊者誘騙使用者提供其登入認證,從而盜用使用者的帳戶。對於試圖保持合規的公司來說,帳戶盜用的影響可能是災難性的,因為攻擊者可以滲透到組織中並檢視、洩露或竊取消費者資料。
暴力攻擊和密碼噴灑攻擊也可能導致帳戶盜用,因此公司必須實施強密碼原則。應當無人能夠猜出任何員工的密碼,而且密碼應能夠承受大多數機器人攻擊。若有可能,企業應對使用的每個公司應用程式實作雙重驗證。
進一步瞭解如何防止帳戶盜用攻擊。