COVID-19 大流行促使公司运营方式发生重大变化,使得许多组织及其员工现在处于全职在家工作 (WFH) 的陌生领域。远程工作可能在一段时间内是强制性的。即使限制放宽,您可能会发现您的员工希望继续在家工作。远程工作有很多优势,但也会对公司数据的安全性和机密性构成风险。
我们编制了一份适用于雇主和雇员的在家工作时的数据安全要点清单。在适应新的业务环境时考虑所有这些要点。
数据安全政策
对于雇主
现在是时候重新审视贵公司的数据隐私和安全政策,以确保它们与新的远程工作环境相关。如果您没有任何数据隐私或安全政策,现在是创建这些文件的时候了。
您可以使用网络上的一些免费的隐私政策生成工具,利用这些工具您可以生成:
隐私政策
条款和条件
Cookie 政策
退货政策
免责声明
最终用户许可协议
这些文件可能包括:
IT 安全政策:您的内部 IT 安全政策应规定远程工作的最佳实践,包括:
设备硬件标准
密码管理
最低密码标准
数据泄露政策:无论是集成到您的 IT 安全政策中还是作为单独的文件提供,您的数据泄露政策都应帮助您的员工应对公司数据的丢失或被盗,包括:
什么构成数据泄露(即丢失或未经授权访问个人或敏感数据)
如何识别数据泄露
发生数据泄露时应采取什么措施
隐私政策:如果您的员工以新方式访问或处理个人信息,您公司的隐私政策可能需要更新,例如:
在新的视频会议平台上召开会议
与新的服务提供商(例如 Zoom 或 Microsoft)共享个人信息
您应该要求您的员工定期查看这些文件。
对于员工
您的雇主应该有一套数据安全政策,例如 IT 安全政策、数据泄露政策和面向公众的隐私政策。您有责任查看这些文档,以确保您了解访问公司数据时适用的数据安全标准。如果您不知道您的雇主是否有此类文件,或者他们没有回答您关于远程工作的所有问题,请向您的雇主询问更多信息。知道在发生数据泄露时该怎么做尤为重要。
网络钓鱼安全意识
对于雇主
COVID-19 见证了网络钓鱼诈骗前所未有的激增。网络钓鱼意识应该已经成为贵公司网络安全培训计划的一部分。当您的员工开始在家工作时,他们将比以往任何时候都更容易受到网络钓鱼的攻击。确保您对最新的网络钓鱼诈骗保持警惕,并迅速向您的员工传达警告和指导。
对于员工
网络钓鱼诈骗涉及诱骗个人放弃个人或敏感信息。这种常见的网络犯罪类型可能会危及您公司的安全。网络钓鱼诈骗可能包括旨在窃取您的登录凭据的恶意电子邮件或“欺骗”网站。以下是避免网络钓鱼诈骗的一些提示:
不要回复电子邮件、短信或社交媒体消息,除非您确定可以验证发件人。
收到来自未知发件人的电子邮件时,请勿点击链接或下载附件。
访问网站时,请检查浏览器地址栏中的“挂锁”符号。
公司批准的设备
对于雇主
您员工的远程工作设置应该是重中之重。理想情况下,您的员工应该只在您公司控制的设备上访问公司数据。
您的员工可能一直在使用可以轻松带回家的笔记本电脑或电脑工作。如果没有,您可能需要为您的员工购买新设备。
您应该要求您的员工向您发送他们用于访问公司数据的任何设备的规格。较旧的操作系统,例如 Windows 7 或 macOS 10.12 Sierra,不再受其开发人员支持,应该升级。
对于员工
公司数据只能在具有高安全标准的设备上访问。您可能有特定的硬件要求。如果您习惯于在办公室的特定计算机或设备上工作,您可能需要问一下您的雇主是否可以暂时在家中使用此设备工作。
如果不是,您应该在使用个人设备工作之前咨询您的雇主。最好不要在过时的设备上访问公司数据,这些设备可能容易受到恶意软件或未经授权的访问。
共享公司设备
对于雇主
如果您的预算不足以购买员工专用的设备,您应该敦促他们不要共享用于访问公司数据的设备。当然,拒绝共享个人设备可能并不适合所有员工。在这种情况下,您可能需要提供有关设置多个用户配置文件的指导。
对于员工
不要与其他家庭成员共用公司设备,这一点很重要。这可能会导致个人或公司信息泄露。如果您被困在家里只有一台笔记本电脑,而您的其他家庭成员绝对需要使用它,那么您应该设置多个用户配置文件以确保公司信息对您以外的任何人都是禁止访问的。在 Windows 10 中,您可以使用 PC 设置的“家庭和其他用户”部分向您的设备添加新用户:
您还可以在macOS中设置多个用户配置文件,甚至在Android和iOS移动设备上也有必要。
保护公司设备
对于雇主
您的 IT 安全政策应要求员工在不使用时锁定任何公司批准的设备。你应该有设备锁定的最低标准,指定:
密码的最小长度和复杂度
移动设备可接受哪些解锁方法(例如图案、PIN、指纹)
强制超时期限,超过该期限设备将自动锁定考虑多因素验证 (MFA)是否代表公司设备的合适选项。可以分发 MFA 硬件设备,例如YubiKey。
对于员工
不要让公司设备处于解锁状态。让设备处于解锁状态会带来安全风险,即使您只与亲密的家人住在一起。
确保设置一个较短的超时时间,以便您的设备在不使用时自动锁定。您的雇主可以在您的 IT 安全政策中指定此超时期限。对于移动设备,使用 PIN、密码或图案比使用指纹、语音或面部解锁等生物识别信息更安全。
安全软件
对于雇主
公司批准的设备应由公司批准的安全软件保护。这应该包括能够检测恶意软件等高级威胁的反恶意软件。它还可能包括密码管理软件,以确保您的员工使用足够长和复杂的密码。
如果您的办公室计算机上已经安装了安全软件,现在可能是投资一些额外许可证的时候了。这将允许您的员工在他们用来远程访问公司数据的任何个人设备上安装安全软件。
对于员工
反恶意软件(防病毒)应用程序和密码管理软件等安全软件是确保公司数据安全的重要手段。但是,请注意某些安全软件弊大于利。在安装了安全软件的个人设备上访问公司数据之前,请先咨询您的雇主。
每天都有新的漏洞和漏洞发布到 CVE 中,它们通常会影响开发人员不再支持的旧版本的操作系统。通常,操作系统开发人员仅支持最后几个主要版本,因为支持所有版本的成本很高,并且大多数用户会做正确的事情并进行升级。不受支持的版本不再收到安全补丁,因为漏洞会使您的设备和敏感数据面临风险。
简而言之,请始终使用受支持的操作系统,如果您的设备允许,请使用最新版本。
即使您使用的是受支持的操作系统,在漏洞披露与其缓解之间也可能存在明显的延迟。即使窗口只打开几天,可蠕虫的零日漏洞也会带来重大风险。看看WannaCry的EternalBlue漏洞是如何导致数十万次感染的。
为了最大限度地降低这种风险,请确保所有设备尽快应用安全补丁,最好是通过自动更新。默认情况下,大多数现代设备会自动应用更新,但您可能需要允许计算机重新启动才能完成修补过程。
使用工作电子邮件帐户
对于雇主
习惯于在办公室使用特定电子邮件客户端的员工可能难以远程访问电子邮件。这可能会导致员工将与工作相关的信件转发到他们的个人电子邮件帐户。
您员工的个人电子邮件帐户提供的数据安全级别可能低于您公司的电子邮件提供商。某些电子邮件提供商使用弱加密,执行低标准的密码安全,并且可能受到网络攻击。
您的 IT 安全政策应明确规定,只有公司电子邮件帐户才能用于与工作相关的通信。
对于员工
将与工作相关的电子邮件通信转发到您的个人 Gmail、Yahoo 或 Hotmail 帐户可能很诱人。但是,将与工作相关的电子邮件转发到此类服务可能会危及贵公司数据的机密性。
如果您习惯了特定的工作电子邮件设置,可能很难适应。例如,如果您习惯了基于桌面的软件客户端,那么使用基于浏览器的 Web 应用程序可能会感到尴尬。如果您发现向远程电子邮件访问的过渡很困难,请联系您的 IT 部门寻求指导。
网络保护
对于雇主
您员工的家庭网络可能不够安全。
为了防止中间人攻击,请考虑设置一个虚拟专用网络 (VPN),员工可以通过该网络访问公司网络上的资源。VPN 在您的员工的设备和您公司的服务器之间提供安全、加密的隧道。您的 IT 部门不必手动设置 VPN。有许多商业 VPN 提供商为企业客户提供套餐。
对于员工
您应该对家庭网络进行安全检查以确定是否存在任何安全问题。您还应该考虑使用 VPN 访问敏感的公司数据。
确保您的路由器受密码保护并且是最新的。如果您计划使用 VPN,或者您已经出于个人原因使用了 VPN,则您应该在访问公司数据之前咨询您的雇主。虽然 VPN 通常非常安全,但一些信誉较差的 VPN 品牌存在安全问题。
在家工作清单摘要
确保数据安全策略是最新的
注意防范网络钓鱼诈骗
仅使用公司批准使用的设备
避免共享公司批准的设备
确保公司批准的设备已锁定且安全
在公司批准的设备上要安装安全软件
不要使用个人电子邮件帐户发送或接收公司数据
确保家庭网络足够安全
本文翻译自:https://www.termsfeed.com/blog/work-from-home-employees-data-security-checklist/如若转载,请注明原文地址