洞见RSA 2023 | 混合式办公中的十大隐私挑战

2023年的RSA大会上,来自BH咨询的首席运营官Valerie Lyons博士分享了议题“混合式办公中的十大隐私挑战”。该议题对混合式办公中的主要安全挑战与相应的解决方案进行了阐述,本文将梳理议题中所提及的各类挑战与方案。

一、背景

在疫情等全球性事件的影响下,混合式办公日益普遍。所谓混合式办公(如图一所示),指的是除了传统的集体线下办公外,员工还采用多种工作模式,如线下优先、固定线上线下、灵活线上线下、完全线上等。据麦肯锡报告,只有4%的企业高管表示他们完全没有考虑推行混合式办公,然而也只有11%的高管承认他们已经开始实施混合办公模式;这表明,混合式办公的推广面临一系列挑战。RSAC 2023议题 Ten Key Privacy Challenges of the Hybrid Workforce 对混合式办公中与个人隐私、企业数据安全等相关的十大挑战及解决方案进行了梳理。

图1 何谓混合式办公

二、十大挑战与解决方案

挑战1:技能集

在混合办公模式中,工作者需要能兼顾其个人隐私、企业数据安全以及业务连续性。然而,根据对各企业的调查发现,实现这一目标的五大挑战包括:提高网络安全(35%)、良好的合作(29%)、拥有适当的技能(29%)、积极的工作氛围(28%)以及员工的数字化水平(26%)。这些挑战凸显了混合办公模式的复杂性,以及在实施过程中需要克服的困难。

解决方案

  • 与首席信息安全官(CISO)和业务连续性管理(BCM)早期合作:在项目的早期阶段就与信息安全和业务连续性管理的专家合作,可以确保隐私和安全的问题得到充分考虑。
  • 获取相关的专业认证,并参与专业协会:员工可以通过获取注册信息系统安全专业人员(CISSP)或注册信息安全管理师(CISM)等认证,以及参与信息系统安全协会(ISSA)、国际信息系统安全认证联盟(ISC2)、信息系统审计与控制协会(ISACA)等专业协会,来提高他们在信息安全和隐私保护方面的知识和技能。
  • 遵循国际认可的标准和框架:遵循NIST网络安全、NIST隐私框架、ISO27001/ISO27701等国际认可的标准和框架,可以帮助企业提高他们的信息安全和隐私保护能力。
  • 实施内部培训和技能提升计划:通过实施内部培训和技能提升计划,可以帮助员工提高他们在信息安全和隐私保护方面的知识和技能。
挑战2&3:非工作环境

在混合办公模式中,非工作环境是一个重要的安全挑战。由于在企业外部传输或处理个人数据,绕过了基于策略的安全处理规则;同时在企业外部讨论敏感或机密的工作内容,这些本身就可能构成对企业的安全威胁。

解决方案

  • 企业需要定期更新其安全和隐私政策,并确保所有员工都了解并遵守这些政策。此外,对于违反政策的行为,企业可以设定相应的处罚措施,以强化政策的执行力。
  • 通过实施数据防泄露(DLP)和电子邮件监控/数据过滤技术,企业可以更有效地保护在非工作环境中传输或处理的个人数据。
  • 在进行员工监控时,企业需要考虑进行数据保护影响评估(DPIA)和更新处理活动记录(ROPA)。这些措施可以帮助企业更好地理解和管理数据处理活动的风险。
  • 企业需要考虑如何有效地响应主体访问请求(SARs),以确保个人数据的透明度和可访问性。
挑战4:移动式设备

由于不在集体线下环境,那么所有用于办公的设备都可看作一种移动设备。这就需要企业的管理者清楚以下情况:

1)企业管理的设备数量?

2)这些设备上运行的应用程序?

3)终端设备的可访问性以及它们传输数据的能力?

4)是否能够远程擦除设备?

5)对于分类信息的处理规则,是否符合企业的合规要求?

解决方案

  • 修订移动设备策略:更新策略以反应混合工作的特点。这可能包括对设备使用、数据存储和传输、以及远程访问等方面的规定。
  • 实施或优化设备管理系统:如果还没有,那么应该实施以下的一种或多种设备管理系统:移动设备管理(MDM)、企业移动管理(EMM)、统一端点管理(UEM)。如果已经有了,那么应该进行检查和优化,确保它们能够有效地支持混合工作模式。
  • 在所有的SaaS和云应用上实施多因子认证(MFA):多因子认证是一种安全措施,要求用户提供两种或更多种证明身份的方式,可以大大提高账户的安全性。
挑战5:新员工

在混合办公模式中,新员工的隐私问题是一个重要的挑战。不同文化背景的员工对个人数据收集的接受程度可能会有所不同。此外,员工的隐私关注点可能会反映他们的政治观点。

解决方案

  • 考虑不同的隐私法案是否适用于这些新员工:例如,欧盟的通用数据保护条例(GDPR)、加利福尼亚的消费者隐私法案(CCPA)和加利福尼亚的消费者隐私权法案(CPRA)等。
  • 是否需要进行转移影响评估(TIAs)或数据保护影响评估(DPIAs):这些评估可以帮助企业更好地理解和管理数据处理活动的风险。
  • 通过长期培训来统一隐私文化:定期的隐私培训可以帮助新员工理解和接受企业的隐私政策和实践。
  • 需要高度私密/机密的企业,在候选人评估/员工调查的环节中将个人计算机(PC)规模列为考虑项。
挑战6:电话录音

混合办公模式下,电话录音成为一大难题。据统计,语音交流占据了客户对话的80%,但仅有不足10%被有效记录。对于金融机构,半数的客户对话发生在专门的呼叫中心之外。预计到2025年,将有75%的客户对话被录音。

解决方案

  • 理解并弥补员工和客户的电话录音需求差异:对需求进行深度分析,定位问题所在。
  • 根据需要进行数据保护影响评估(DPIAs)和更新处理活动记录(ROPAs):这些步骤有助于企业更好地管理电话录音活动的风险。
  • 优化录音机制:针对不同类型的通信,如内部、外部、来电和去电,制定合理的记录策略;规范处理主体访问请求(SARs)的流程;梳理与在线协作工具的配合方式;并且,考虑移动电话与应用(如WhatsApp,Snapchat等)的录音需求与处理方法。
挑战7:VPN

在混合办公模式中,虚拟专用网络(VPN)是一个重要的挑战。据HP 2021年的报告《2022年及以后的混合工作场所的安全》显示,41%的人依赖VPN技术,但他们关心的不仅仅是安全和隐私,75%的人抱怨VPN的性能慢或者连接断开,影响了他们的工作效率。

解决方案

考虑零信任和远程桌面技术:零信任是一种安全模型,它假设内部网络和外部网络一样不可信,所有的网络请求都需要验证和授权。远程桌面技术则允许用户远程访问和控制另一台计算机。(根据HP的报告,大多数受访者不打算以VPN作为主要身份验证方法,而是倾向于使用云和本地身份服务。大部分受访者计划实施零信任架构。)

挑战8:监管问题

混合办公模式下,如何进行有效地监控/监管是一大挑战。如果不通过VPN进行路由,那么如何进行监控?监控的合法依据是什么?合法的监控范围有多大?如何处理监控同意的复杂性?

解决方案

  • 采用基于云的电子邮件(并使用多因素认证):基于云的电子邮件既提供安全性也方便使用,多因素认证能进一步提高账户的安全性。
  • 遵守GDPR/CCPA/CPRA等法规:需要确保员工知晓哪些个人身份信息(PII)被收集、处理、披露以及为什么。
  • 根据需要进行数据保护影响评估(DPIA):DPIA能帮助企业更好地理解和管理数据处理活动的风险。
挑战9:挑战过多

在混合办公模式中,挑战的多样性和复杂性本身就是一个重要的挑战。不同的问题可能会叠加在一起,产生新的、意想不到的困难。

解决方案

  • 重组隐私和网络安全团队:例如,可以将这些团队重组为“数字风险保护部门”,以更好地应对混合办公模式中的各种挑战。
  • 使用虚拟/外包服务:这可以帮助企业更有效地利用资源,应对各种挑战。
  • 进行优先级排序:可以制作时间管理矩阵(按照是否紧急与是否重要划分,如图二),帮助企业更好地管理时间和资源,以应对最重要的挑战。

图2 时间管理矩阵

挑战10:隐私作为环境的一部分

在混合办公模式中,一个趋势是隐私正在被视为环境、社会、治理(ESG)议程的一部分。这是一个有趣的观察,因为我们通常会将隐私视为社会(S)和治理(G)议程的一部分(人权、数据保护法等),但如何更多地将隐私囊括在环境(E)议程中仍是一个待研究的问题。

解决方案

对于这个挑战,可以参考新的欧盟企业可持续性报告指令(Corporate Sustainability Reporting Directive,CSRD)。这个新的指令将于2024年1月开始实施,要求所有在欧盟内的大企业或在欧盟有重大活动的企业,以及营业额超过1.5亿欧元的企业,必须在其年度报告中包含关于其在ESG方面的表现和影响的信息;相应企业需要更加重视其数据处理和隐私保护的政策和实践,因为这些信息将被公开,并受到投资者、消费者和公众的关注。

三、总结

本篇RSAC议题详细探讨了混合办公模式下的关键安全风险和挑战,这些挑战不仅仅存在于国外,国内的混合办公环境同样面临着这些问题。在可预见的短期内,我们需要依赖各种现有的安全技术,例如数据防泄露(DLP)、虚拟专用网络(VPN)等,以减少无意中的信息泄露。然而,从长远来看,我们需要构建一个完整的隐私保护框架,从政策制定、技术应用到员工教育等多个方面提供全面的支持。我们坚信,在不久的将来,我们可以在享受混合办公模式带来的便利的同时,确保企业数据的安全以及个人隐私的保护。

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author