GDPR 和居家办公 | GDPR 远程访问策略

拥有远程员工的企业必须采取额外的举措来保护数据和管理员工访问。

学习目标

阅读本文后,您将能够:

  • 了解 GDPR 对远程员工的影响
  • 了解远程访问策略应包含的内容

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 GDPR?

《通用数据保护条例》(GDPR) 是一项全面的数据隐私法律,为个人数据的收集、处理、存储和传输建立了一个框架。它要求以安全的方式处理所有个人数据,并包括对不遵守这些要求的企业的罚款和处罚。

对于任何企业而言,遵从 GDPR 是一项挑战,而雇佣远程员工更会带来额外的复杂性。当企业的一部分或所有员工和承包商居家办公时,内部数据保护团队可能会失去对数据安全性的控制和可见性。严格的远程访问安全策略可以帮助保护纳入 GDPR 保护范围的个人和机密数据。

什么是远程访问策略?

远程访问策略是一系列面向远程员工和设备的安全标准。公司的 IT 或数据安全团队通常负责制定这些策略。使用虚拟专用网络(VPN)、在员工设备上安装反恶意软件以及多因素身份验证(MFA)都是可纳入远程访问安全策略的例子。

GDPR 有什么要求 ?

GDPR 是一套非常广泛的法规。除了其他规则外,它还要求数据控制者和处理者采取一些具体行动。其中包括:

  • 保存记录:数据处理者必须保存其处理活动的记录。
  • 安全措施:数据控制者和处理者必须定期使用和测试适当的安全措施,以保护他们收集和处理的数据。
  • 数据泄露通知:遭受个人数据泄露的数据控制者必须在 72 小时内通知有关当局,例外情况除外。通常情况下,他们还必须通知其个人数据受到泄露影响的个人。
  • 数据保护官 (DPO):处理数据的公司可能需要雇用一名数据保护官 (DPO)。DPO 领导并监督所有的 GDPR 合规工作。

对数据控制者和处理者的所有要求都在 GDPR 中进行了说明。

由于数据安全是 GDPR 的主要关注点,允许员工居家办公的公司需要确保采取了正确的步骤,以保护其员工远程访问的数据。

拥有远程员工的企业应如何确保数据安全?

因此,以下步骤是任何远程访问策略非常重要的组成部分(并非详尽列表):

保护传输中和静止的数据。

传输中的数据是指正在从 A 点传送到 B 点的数据。例如,在 SaaS 应用程序和用户设备之间传递的数据。静止的数据是指存储的数据,例如用户笔记本电脑硬盘驱动器中的数据。无论哪种情形,都必须保护数据安全。

访问控制加密是保护数据的关键技术。与所有员工一样,远程员工必须有充分的理由才能访问个人数据,并且他们对这些数据的访问必须受到跟踪和管理。身份和访问管理 (IAM) 技术有助于防止未经授权的人员查看和更改数据。

此外,通过网络(包括互联网)传递的数据应使用HTTPS、VPN 或其他方法进行加密。(基于的应用程序会使此规则在适用于远程员工时变得复杂。请阅读这篇有关商用 VPN 的文章来了解更多信息。)另外,数据在存储到服务器和硬盘驱动器时(静止时)也必须加密。为此,IT 团队需要在所有设备上实施与加密相关的安全策略,在某些情况下甚至也包括员工的个人设备。

保护员工端点。

必须保护远程员工端点设备(如笔记本电脑、台式计算机和智能手机)以防网络攻击,因为恶意软件感染可能会导致数据泄露。至少应在设备上安装反恶意软件。安全 Web 网关也有助于在员工浏览互联网时为其保驾护航。

不过,与恶意软件感染相比,设备遗失甚至更为常见:员工意外将本地存有敏感数据的笔记本电脑或智能手机遗忘在公共区域。这是设备加密异常重要的另一个原因。

防范网络钓鱼攻击和其他形式的帐户接管。

网络钓鱼攻击仍然是造成数据泄露的最常见原因之一。网络钓鱼攻击是指攻击者诱使用户交出其登录凭证,从而使他们能够接管用户的帐户。对于努力保持合规性的公司而言,帐户接管的后果可能是灾难性的,因为攻击者随后可以侵入组织并且查看、泄漏或窃取消费者数据。

暴力攻击和密码喷洒攻击也可导致帐户接管,因此公司必须执行严格的密码策略。应当无人能够猜出任何员工的密码,而且密码应能够承受大多数机器人攻击。若有可能,企业应对使用的每个公司应用程序实施双因素身份验证

进一步了解如何防止帐户接管攻击