自2020年初以来,全世界的普通民众和专业人士等群体都受到了前所未有的影响,这种影响之前总是只有在假设的情况下才会被提及,比如完全虚拟的运营一个企业。由于人类对技术的绝对主宰,也意味着类似这样的假设将可能永远不会被检验。然而,事实恰恰相反。
由于商业的任何一个领域都受到了COVID-19的影响。因此,我们也必须通过另一个视角来看待安全和隐私的问题。在企业层面,在家工作带来了全新和额外的风险。企业将不得不计划识别、管理和缓解这种新常态下带来的风险。只要团队在一个受访问控制的、被审计的、隔离的并且监控的环境中工作,物理性数据保护风险区域就被控制在企业场所内部,并且更易于管理。然而,在“在家工作”(WFH)的场景中,风险延伸到雇员的家中。因此,也就成为了另一个企业必须确保安全的风险点。
劳动力从企业环境向家庭环境的无形迁移是一种无限期的一股脑儿的模式。工作合同中几乎很少会提及雇主的在家办公的政策。因此,必然出现政策冲突,更不用说供应商和客户之间签订的管理数据、硬件、资产和知识产权转移的合同。不可抗力条款,即阻止某人履行合同的不可预见的情况,一直是企业合同中的一部分,类似于企业自身的“免死金牌”,帮助那些可能已经签订了一份无懈可击合同的客户。在由COVID-19触发的新兴工作环境中,工作仍必须继续。因此,只有存在对时间不可中断需求的情况下,实施不可抗力条款才能导致合同被终止。因此需要缓解风险以确保正在处理的数据的不受影响,从而减轻与这些风险领域相关的责任。企业现在必须考虑部署额外的措施来应对新兴风险,并遵从法规要求。这就是新常态。在过去的几个月内,人们一直在讨论这个问题。与大众观点相反,新常态不仅仅是加速数字化转型的新术语,也不仅是噱头,而是公平的摆在个人、企业和政府面前的一个明确的挑战。与自我保护(如戴口罩、保持社交距离、常洗手)不同,安全和隐私问题一直被视为企业数据保护的旗手,而个人往往认为这是一种障碍。COVID-19引发的分布式劳动力模式和物理办公环境的缺失,即使这是在过渡时期,但正如这些情况改变企业的指标类似,同时也改变了个人的一些指标。现实情况是,雇员和雇主必须共同应对这一挑战,而不是分开以不同的身份。
个人可识别信息(PII)的问题起源于雇员和雇主、客户和供应商,或在其他类似关系之间建立的工作合同。从对企业至关重要的角度来看,在家办公的形式在新常态中的影响是很重要的。工作合同是神圣不可侵犯的,当涉及到为执行工作合同中提到的要求而付出努力来获得公平价值时,合同是每次谈话或谈判的基础。雇员和雇主之间的大多数工作合同都是顺便提到在家办公的问题,并没有具体的规定进行管理。经理的自由决定权(是否可以在家办公)一直是人们经常吹捧的方法。从应急计划的角度来看,人们总是认为在短暂的情况下(如飓风、风暴、洪水)以及可能导致短期在家办公之后恢复工作的情况下,才需要考虑到应急方案。可以肯定地说,仅仅是应急方案是不够的,但事情总是在事后才能更加清晰。随着企业逐渐向新常态发展,工作合同中需要考虑并包含如下关键事项:• 同意安装软件并监控个人设备的使用
• 审查费用补助策略:
• 与关键人身保险和高管保险一样,雇员网络安全保险可能会成为现实
• 正如雇员背景调查和药物测试已成为现实,可能需要对雇员的家庭办公室和家庭网络进行实地审计。企业不得不权衡实地审计工作和保护雇员隐私和权利之间的关系。这并不那么容易,因为国内企业安排各不相同,而且可能会变得复杂(例如,如何处理雇员同为竞争对手工作的朋友共用房屋的情况,如何决定需要什么样的雇员声明来缓释风险和责任,如何判断是否第三方对房屋的审计是必需的)。
许多大型外包商的合同中,都包含对于建立办公和网络空间严格的安全条款。安全团队要求服务提供商为团队构建一个隐蔽且安全的工作环境。要求在一个隔离的、且无法从服务供应商的主网络上访问的虚拟网络上工作,并且处于一个严格访问控制和审计的离岸开发中心(ODC)。
随着COVID-19的流行,普遍存在的单个有机体ODC已经被分解成各种各样的亚有机体——每个团队成员都通过技术手段和沟通联系开展项工作。由COVID-19兴起的ODC不具备先前受保护的安全物理环境,但好消息是,虚拟网络仍然像之前一样安全。 • 重新谈判客户合同,以确保合同涉及的物理安全方面得到修订;• 重新审查为确保遵守客户合同条款而需要实施的风险和控制措施。在家办公的新常态也带来了一项众所周知的挑战:网络钓鱼和数据身份欺诈。在COVID-19期间,以慈善机构或人道主义为名的网络钓鱼诈骗事件数量一直呈上升趋势。骗子总是善于在需要的时候发出情感呼吁,来帮助那些不幸的人。而且,据媒体报道和受COVID-19影响的事件大爆发,这些网络钓鱼骗局还仍将持续出现,甚至是出现在企业范围内的配置防火墙的安全网络中。
数据在企业内部防火墙基础设施的虚拟场所中通常是安全的,但是当雇员开始通过他们的个人设备进行远程工作时,显然需要一个高效和可实施的自带设备(BYOD)策略。企业还必须预测在采购设备上的额外支出,以防雇员不想将个人设备用于正式工作中,或没有符合企业准则的可用个人设备。然而,在雇员与雇主签订的工作合同中,完全可能没有这样的规定。在虚拟的工作模式中,另一个风险是深度伪造。它是一种在现有的图像或视频中取代某人的肖像的技术,使用强大的技术包括机器学习和人工智能,用来操纵审计和可视化数据,使其具有误导性。 对企业的潜在风险是缺乏对深度伪造风险的认知,无法使用正确技术来检测深度伪造的发生并向企业发出警报,没有使用独立来源进行验证的方法,并且没有正确的事件管理和响应机制来减少并限制深度伪造的发生。
• 教育雇员识别并核实可疑内容,即使是从已知来源收到的内容; • 建立更强大的访问控制系统,以预防数字签名的使用。双重批准机制,如多因素认证(MFA); • 制定品牌安全和企业恢复战略解决错误信息大规模传播的问题; • 与媒体平台合作,快速识别深度伪造,删除虚假内容并传播澄清信息。在讨论雇员与雇主的关系时,首要的隐私问题是个人可识别信息(PII)的保护。在大型和中型的企业中,对 PII安全保护都有明确的流程,并作为一项需要遵守的规定。新常态下提出了一个新的挑战,即雇员和供应商必须告知雇主其健康状况,以确保在雇员感染COVID-19时得到适当的照顾。在远程工作的情况下,有可能按照流程上的规定提交PII,并可供其他人访问数据。因此,这些数据必然会出现在那些没有为其内部云基础设施,或甚至为个人设备上的防火墙定义明确的数据策略的企业中。
同时,PII不但会与雇主共享,还势必会与指定医院甚至政府官员进行共享,以帮助遏制病毒的传播。可以肯定的是,雇主、医院和政府机构不受同一PII政策约束,也不会出现在同一个数据和信息共享网络上。因此,我们面临的挑战是,每个人都要意识到这一点,并且迅速制定解决方案。国际隐私专业人士协会(IAPP)针对大多数国家,发布了不同国家数据保护监管机构(DPA)关于COVID-19的指南,供雇主参考。 许多人都希望目前COVID-19的情况能够尽快得到改善,随着人们逐渐回到工作场所,新常态将开始看似有点像回到过去的感觉。虽然不幸的是,虚拟世界仍充满了挑战,但物理世界还需要进行重新审视,特别是对安全和隐私政策。考虑下面这个假设的例子:一名雇员回到办公室,被要求站在摄像机前,摄像头连接到一个基于人脸识别的验证环节。在注册该项目后,雇员移动到信息亭对他们的面容进行扫描,以通过安全设置。只要轻轻刷一下本应允许进入办公室的门禁卡,就会出现一面红旗和一个响声。当在企业范围内的联系人跟踪应用程序上出现警示(flag)时,表明该雇员居住在一个有大量COVID-19病例的街区。在几秒钟内,政府数据库便返回一条信息,说明该雇员尚未检测COVID-19,并且由于此人处于高危区必须进行检测。雇员被带到测试台,几个小时后检测结果呈阴性。在办公室隔离区中的时间,雇员意识到了为确保安全而广泛使用的机制。雇员对COVID-19的阴性结果感到高兴,于是走向她/他在办公室的指定空间。雇员必须接受早上进入办公区受限的问题,以及随后会发生的问题。以上这段看上去像是我们喝着咖啡时可以听到的一段笑谈,但也提醒我们时刻保持社交距离。 • 雇主在为雇员注册人脸识别项目之前是否获得了雇员的同意?• 雇员是否了解他们使用的受保护的健康和财务信息,以及安全和隐私要求?• 当刷卡亭周围的每个人都知道雇员的身份时,雇主如何解决PII的数据泄漏问题?这些场景从在家办公到由于使用个人设备带来的合同重新调整,以及物理安全方面,都是企业和雇员在这一新常态中遇到的几个例子。复杂的场景涉及到托管云基础设施、代码所有权、版权资产和知识产权相关的项目,都将对企业的隐私和安全策略边界进行测试。在这个前所未有的时代,企业可能很难实施政策并且遵守流程,但也是一个机会,来推出几个月前还只是概念的措施的机会。向新常态的转型需要快速并且全面的风险评估方法,以及快速的风险缓解战略,以应对新时代的不确定性。编者注:本文出自ISACA Journal 2020年第6期。尾注略。根据译者对原文的理解略作增删后翻译。文章内容仅代表作者本人观点。作者:Deepa Seshadri是德勤Touche Tohmatsu India LLP的合伙人,在网络安全和治理风险与控制领域拥有超过22年的经验。翻译:唐雅琪(Andrea Tang), CIPP/E, ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,就职于安永企业咨询有限公司。 校稿:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、Cybersecurity Audit、CISSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA,ISACA中国技术委员会主任,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,数据保护和隐私合规从业者。