員工居家辦公數據泄露防范指南

COVID-19 大流行促使公司運營方式發生重大變化，使得許多組織及其員工現在處于全職在家工作 （WFH） 的陌生領域。遠程工作可能在一段時間內是強制性的。即使限制放寬，您可能會發現您的員工希望繼續在家工作。遠程工作有很多優勢，但也會對公司數據的安全性和機密性構成風險。

我們編制了一份適用于雇主和雇員的在家工作時的數據安全要點清單。在適應新的業務環境時考慮所有這些要點。

數據安全政策

對于雇主

現在是時候重新審視貴公司的數據隱私和安全政策，以確保它們與新的遠程工作環境相關。如果您沒有任何數據隱私或安全政策，現在是創建這些文件的時候了。

您可以使用網絡上的一些免費的隱私政策生成工具，利用這些工具您可以生成：

隱私政策

條款和條件

Cookie 政策

退貨政策

免責聲明

最終用戶許可協議

這些文件可能包括：

IT 安全政策：您的內部 IT 安全政策應規定遠程工作的最佳實踐，包括：

設備硬件標準

密碼管理

最低密碼標準

數據泄露政策：無論是集成到您的 IT 安全政策中還是作為單獨的文件提供，您的數據泄露政策都應幫助您的員工應對公司數據的丟失或被盜，包括：

什么構成數據泄露（即丟失或未經授權訪問個人或敏感數據）

如何識別數據泄露

發生數據泄露時應采取什么措施

隱私政策：如果您的員工以新方式訪問或處理個人信息，您公司的隱私政策可能需要更新，例如：

在新的視頻會議平臺上召開會議

與新的服務提供商（例如 Zoom 或 Microsoft）共享個人信息

您應該要求您的員工定期查看這些文件。

對于員工

您的雇主應該有一套數據安全政策，例如 IT 安全政策、數據泄露政策和面向公眾的隱私政策。您有責任查看這些文檔，以確保您了解訪問公司數據時適用的數據安全標準。如果您不知道您的雇主是否有此類文件，或者他們沒有回答您關于遠程工作的所有問題，請向您的雇主詢問更多信息。知道在發生數據泄露時該怎么做尤為重要。

網絡釣魚安全意識

對于雇主

COVID-19 見證了網絡釣魚詐騙前所未有的激增。網絡釣魚意識應該已經成為貴公司網絡安全培訓計劃的一部分。當您的員工開始在家工作時，他們將比以往任何時候都更容易受到網絡釣魚的攻擊。確保您對最新的網絡釣魚詐騙保持警惕，并迅速向您的員工傳達警告和指導。

對于員工

網絡釣魚詐騙涉及誘騙個人放棄個人或敏感信息。這種常見的網絡犯罪類型可能會危及您公司的安全。網絡釣魚詐騙可能包括旨在竊取您的登錄憑據的惡意電子郵件或“欺騙”網站。以下是避免網絡釣魚詐騙的一些提示：

不要回復電子郵件、短信或社交媒體消息，除非您確定可以驗證發件人。

收到來自未知發件人的電子郵件時，請勿點擊鏈接或下載附件。

訪問網站時，請檢查瀏覽器地址欄中的“掛鎖”符號。

公司批準的設備

對于雇主

您員工的遠程工作設置應該是重中之重。理想情況下，您的員工應該只在您公司控制的設備上訪問公司數據。

您的員工可能一直在使用可以輕松帶回家的筆記本電腦或電腦工作。如果沒有，您可能需要為您的員工購買新設備。

您應該要求您的員工向您發送他們用于訪問公司數據的任何設備的規格。較舊的操作系統，例如 Windows 7 或 macOS 10.12 Sierra，不再受其開發人員支持，應該升級。

對于員工

公司數據只能在具有高安全標準的設備上訪問。您可能有特定的硬件要求。如果您習慣于在辦公室的特定計算機或設備上工作，您可能需要問一下您的雇主是否可以暫時在家中使用此設備工作。

如果不是，您應該在使用個人設備工作之前咨詢您的雇主。最好不要在過時的設備上訪問公司數據，這些設備可能容易受到惡意軟件或未經授權的訪問。

共享公司設備

對于雇主

如果您的預算不足以購買員工專用的設備，您應該敦促他們不要共享用于訪問公司數據的設備。當然，拒絕共享個人設備可能并不適合所有員工。在這種情況下，您可能需要提供有關設置多個用戶配置文件的指導。

對于員工

不要與其他家庭成員共用公司設備，這一點很重要。這可能會導致個人或公司信息泄露。如果您被困在家里只有一臺筆記本電腦，而您的其他家庭成員絕對需要使用它，那么您應該設置多個用戶配置文件以確保公司信息對您以外的任何人都是禁止訪問的。在 Windows 10 中，您可以使用 PC 設置的“家庭和其他用戶”部分向您的設備添加新用戶：

您還可以在macOS中設置多個用戶配置文件，甚至在Android和iOS移動設備上也有必要。

保護公司設備

對于雇主

您的 IT 安全政策應要求員工在不使用時鎖定任何公司批準的設備。你應該有設備鎖定的最低標準，指定：

密碼的最小長度和復雜度

移動設備可接受哪些解鎖方法（例如圖案、PIN、指紋）

強制超時期限，超過該期限設備將自動鎖定考慮多因素驗證 (MFA)是否代表公司設備的合適選項。可以分發 MFA 硬件設備，例如YubiKey。

對于員工

不要讓公司設備處于解鎖狀態。讓設備處于解鎖狀態會帶來安全風險，即使您只與親密的家人住在一起。

確保設置一個較短的超時時間，以便您的設備在不使用時自動鎖定。您的雇主可以在您的 IT 安全政策中指定此超時期限。對于移動設備，使用 PIN、密碼或圖案比使用指紋、語音或面部解鎖等生物識別信息更安全。

安全軟件

對于雇主

公司批準的設備應由公司批準的安全軟件保護。這應該包括能夠檢測惡意軟件等高級威脅的反惡意軟件。它還可能包括密碼管理軟件，以確保您的員工使用足夠長和復雜的密碼。

如果您的辦公室計算機上已經安裝了安全軟件，現在可能是投資一些額外許可證的時候了。這將允許您的員工在他們用來遠程訪問公司數據的任何個人設備上安裝安全軟件。

對于員工

反惡意軟件（防病毒）應用程序和密碼管理軟件等安全軟件是確保公司數據安全的重要手段。但是，請注意某些安全軟件弊大于利。在安裝了安全軟件的個人設備上訪問公司數據之前，請先咨詢您的雇主。

每天都有新的漏洞和漏洞發布到 CVE 中，它們通常會影響開發人員不再支持的舊版本的操作系統。通常，操作系統開發人員僅支持最后幾個主要版本，因為支持所有版本的成本很高，并且大多數用戶會做正確的事情并進行升級。不受支持的版本不再收到安全補丁，因為漏洞會使您的設備和敏感數據面臨風險。

簡而言之，請始終使用受支持的操作系統，如果您的設備允許，請使用最新版本。

即使您使用的是受支持的操作系統，在漏洞披露與其緩解之間也可能存在明顯的延遲。即使窗口只打開幾天，可蠕蟲的零日漏洞也會帶來重大風險。看看WannaCry的EternalBlue漏洞是如何導致數十萬次感染的。

為了最大限度地降低這種風險，請確保所有設備盡快應用安全補丁，最好是通過自動更新。默認情況下，大多數現代設備會自動應用更新，但您可能需要允許計算機重新啟動才能完成修補過程。

使用工作電子郵件帳戶

對于雇主

習慣于在辦公室使用特定電子郵件客戶端的員工可能難以遠程訪問電子郵件。這可能會導致員工將與工作相關的信件轉發到他們的個人電子郵件帳戶。

您員工的個人電子郵件帳戶提供的數據安全級別可能低于您公司的電子郵件提供商。某些電子郵件提供商使用弱加密，執行低標準的密碼安全，并且可能受到網絡攻擊。

您的 IT 安全政策應明確規定，只有公司電子郵件帳戶才能用于與工作相關的通信。

對于員工

將與工作相關的電子郵件通信轉發到您的個人 Gmail、Yahoo 或 Hotmail 帳戶可能很誘人。但是，將與工作相關的電子郵件轉發到此類服務可能會危及貴公司數據的機密性。

如果您習慣了特定的工作電子郵件設置，可能很難適應。例如，如果您習慣了基于桌面的軟件客戶端，那么使用基于瀏覽器的 Web 應用程序可能會感到尷尬。如果您發現向遠程電子郵件訪問的過渡很困難，請聯系您的 IT 部門尋求指導。

網絡保護

對于雇主

您員工的家庭網絡可能不夠安全。

為了防止中間人攻擊，請考慮設置一個虛擬專用網絡 (VPN)，員工可以通過該網絡訪問公司網絡上的資源。VPN 在您的員工的設備和您公司的服務器之間提供安全、加密的隧道。您的 IT 部門不必手動設置 VPN。有許多商業 VPN 提供商為企業客戶提供套餐。

對于員工

您應該對家庭網絡進行安全檢查以確定是否存在任何安全問題。您還應該考慮使用 VPN 訪問敏感的公司數據。

確保您的路由器受密碼保護并且是最新的。如果您計劃使用 VPN，或者您已經出于個人原因使用了 VPN，則您應該在訪問公司數據之前咨詢您的雇主。雖然 VPN 通常非常安全，但一些信譽較差的 VPN 品牌存在安全問題。

在家工作清單摘要

確保數據安全策略是最新的

注意防范網絡釣魚詐騙

僅使用公司批準使用的設備

避免共享公司批準的設備

確保公司批準的設備已鎖定且安全

在公司批準的設備上要安裝安全軟件

不要使用個人電子郵件帳戶發送或接收公司數據

確保家庭網絡足夠安全