¿Cómo resolver el problema de seguridad de la red de oficinas remotas empresariales?
Fecha de publicación: 6 de marzo de 2020 11:46:28.
Autores: Ning, Wu Han, etc.
Fuente: King Wood Research Institute
Compartir con: WeChat, Sina Weibo, QQ Space
Este es un período crítico para la prevención y el control del nuevo coronavirus, y todo el país está unido para luchar contra la epidemia. Para fortalecer la prevención y el control, desde principios de febrero, los gobiernos de las principales ciudades como Beijing, Shanghai, Guangzhou y Hangzhou han manifestado públicamente su postura o emitido avisos, y las empresas han llevado a cabo trabajo colaborativo remoto y trabajo desde casa a través de tecnología de la información [1]. El 19 de febrero de 2009, el Ministerio de Industria y Tecnología de la Información emitió el "Aviso sobre el uso de tecnología de la información de nueva generación para apoyar la prevención y el control de epidemias y la reanudación de la producción". Ante el grave impacto de la epidemia en la reanudación del trabajo y la producción de las pequeñas y medianas empresas, se apoya el uso de la computación en la nube para promover enérgicamente que las empresas migren a la nube, centrándose en apoyar métodos de trabajo en línea como la oficina remota. , oficina en casa, videoconferencias, formación en línea, investigación y desarrollo colaborativos y comercio electrónico [2].
Ante los llamados de los gobiernos nacionales y locales, empresas de todo el país han respondido activamente al llamado. Una encuesta en línea lanzada por Southern Metropolis Daily a mediados de febrero mostró que el 47,55% de los encuestados trabajaba desde casa o tomaba clases en línea [3]. Ante la enorme demanda de trabajo remoto en tiempos especiales, las plataformas de colaboración remota también asumen activamente responsabilidades sociales. A finales de 2019, 17 empresas y 21 productos anunciaron que su software de plataforma de escritura remota estaría abierto a usuarios de toda la sociedad o de instituciones específicas de forma gratuita [4].
A través del trabajo remoto a través de la tecnología de la información, ya sea la capa de red, la capa del sistema o los datos comerciales, se enfrentará a un entorno de seguridad de red más complejo. Para lograr una reanudación segura y eficaz del trabajo y reducir el impacto de la epidemia en las operaciones y el desarrollo empresarial, las empresas deben establecer o ajustar adecuadamente las estrategias correspondientes de seguridad de la red y la información en función de las condiciones reales.
1. Tipos de sistemas de desplazamiento electrónico
Con el profundo desarrollo de tecnologías como Internet, la computación en la nube y el Internet de las cosas, varias empresas, especialmente las de Internet, Los despachos de abogados y otras empresas de servicios profesionales vienen impulsando la implantación del trabajo colaborativo remoto dentro de las empresas, especialmente la aplicación de funciones básicas como conferencias telefónicas y gestión documental. Desde la perspectiva de los tipos funcionales, los sistemas de oficina remota se pueden dividir en las siguientes categorías: [5]
Herramientas de colaboración integrales, es decir, que proporcionan un conjunto completo de soluciones de oficina, que incluyen mensajería instantánea y multipartita. reuniones de comunicación, colaboración de documentos, gestión de tareas, gestión de diseño, etc. , que representa empresas de software, incluidas Enterprise WeChat, DingTalk, Flybook, etc.
La mensajería instantánea (es decir, mensajería instantánea o IM) y las conferencias de comunicación entre múltiples participantes son herramientas que permiten a dos o más personas transmitir texto y archivos en tiempo real a través de la red, y realizar comunicaciones de voz y vídeo. El software representativo incluye Webex, Zoom, Slack, Skype, etc.
La colaboración de documentos puede proporcionar almacenamiento en la nube y * * * visualización, modificación o revisión de documentos en línea para muchas personas. El software representativo incluye Tencent Docs, Kingsoft Docs, Evernote, etc.
La gestión de tareas puede realizar las funciones de la automatización de oficinas empresariales (es decir, automatización de oficinas u OA), como flujo de tareas, gestión de asistencia, gestión de personal, gestión de proyectos, gestión de contratos, etc. El software representativo incluye Trello, Tower, Panwei, etc.
La gestión del diseño puede llevar a cabo sistemáticamente actividades de gestión de I+D del diseño de acuerdo con los requisitos del usuario, como la gestión de materiales, herramientas y bibliotecas. El software representativo incluye Maker Post, Canvas, etc.
En segundo lugar, los sujetos responsables de la seguridad de la red en diferentes modos de trabajo remoto
La "Ley de Ciberseguridad" (denominada "Ley de Ciberseguridad") regula principalmente a los operadores de red, es decir, propietarios de redes, administradores y proveedores de servicios de redes. Los operadores de redes asumirán las responsabilidades de la seguridad de la operación de la red y la seguridad de la información de la red estipuladas en la Ley de Ciberseguridad y sus reglamentos de apoyo.
En lo que respecta a los sistemas de oficinas remotas, las entidades responsables de la seguridad de la red (es decir, los operadores de red) son muy diferentes en los diferentes modos de funcionamiento del sistema. Según el modo de funcionamiento del sistema de oficina remota, los sistemas de oficina remota empresarial se pueden dividir aproximadamente en tres categorías: sistemas propios, sistemas de oficina en la nube y sistemas integrados. Las empresas deben distinguir claramente los límites de responsabilidad entre ellas y los operadores de plataformas, para poder juzgar claramente las medidas de seguridad de la red que deben tomar.
(1) Sistema propio
En este modelo, el sistema de oficina remota de la empresa se implementa en su propio servidor y el sistema es desarrollado, subcontratado o utilizado de forma independiente por un tercero. arquitectura de software a nivel empresarial. El coste de desarrollo de este tipo de sistema es relativamente alto, pero como no fluyen datos a servidores de terceros, el riesgo de seguridad es bajo. Los tipos comunes de empresas incluyen empresas e instituciones en industrias importantes, como empresas y bancos estatales, así como grandes empresas con fuertes capacidades económicas y altos requisitos de seguridad y privacidad.
Ya sea que se trate de un sistema desarrollado por una empresa o no, dado que la arquitectura del sistema es propiedad de la empresa y se administra de forma independiente, la empresa constituye el operador de red del sistema de oficina correspondiente y asume la seguridad de red correspondiente. responsabilidades.
(2) Sistema de oficina en la nube
Este tipo de sistema de oficina suele ser un sistema SaaS o una aplicación. El operador de la plataforma proporciona directamente servicios registrados y listos para usar a las empresas en servidores. controlado por él. La plataforma de software de colaboración remota del sistema o el servicio de aplicación están disponibles para usuarios empresariales y usuarios individuales (empleados). El costo de construcción de este tipo de sistema es relativamente económico, pero sólo puede satisfacer las necesidades específicas de las empresas.
Por lo general, las empresas no tienen la autoridad para desarrollar o modificar el sistema y los datos empresariales se almacenan en servidores de terceros. Un tipo común de empresa en este modelo son las pequeñas y medianas empresas relativamente flexibles.
Dado que la red, la base de datos y el servidor de aplicaciones del sistema de oficina en la nube (SaaS o APP) son operados y administrados por el operador de la plataforma, el operador del sistema de oficina en la nube constituye un operador de red y generalmente es responsable de la seguridad del funcionamiento de la red de SaaS y APP y la seguridad de la información.
En la práctica, los operadores de plataformas transferirán algunas obligaciones de supervisión de la seguridad de la red a los usuarios corporativos de forma contractual a través de textos legales como los acuerdos de usuario. Por ejemplo, los usuarios corporativos deben cumplir estrictamente las reglas de uso de la cuenta, y los usuarios corporativos deben ser responsables de la información cargada en la plataforma por ellos mismos y sus empleados.
(3) Sistema integrado
Este sistema se implementa en servidores propios y de terceros, integrando los sistemas propios de la empresa y la oficina en la nube. El funcionamiento del sistema no está completamente controlado por la empresa y lo utilizan principalmente empresas multinacionales con muchos requisitos de servidores locales.
Los proveedores de sistemas de oficina en la nube y las propias empresas pueden constituir operadores de red, por lo que deben tomar los sistemas de red que operan y administran como límite y asumir las correspondientes responsabilidades de seguridad de red para sus respectivas redes.
En el caso de las empresas, para aclarar los límites de responsabilidad entre ellas y los operadores de la plataforma, primero deben confirmar qué "redes" son propiedad o están administradas únicamente por la empresa. En el escenario del trabajo remoto, las empresas deben considerar la identificación integral de varios factores, y el análisis incluye, entre otros, los siguientes:
Si todos los servidores, terminales y equipos de red del sistema de oficina son de propiedad o están administrados por la empresa y sus empleados
Si el sistema de oficina utilizado por la empresa tiene los derechos de administrador más altos;
Si los datos generados durante el funcionamiento del sistema de oficina se almacenan en un servidor propiedad o administrado por la empresa;
Si la empresa y el operador de la plataforma tienen un acuerdo claro sobre la autoridad y la gestión de los sistemas de oficina o datos relacionados.
Por supuesto, considerando la complejidad y diversidad de la construcción del sistema, los operadores de plataformas y las empresas inevitablemente tendrán que administrar el mismo sistema de red en un sistema integrado para el trabajo colaborativo remoto. Como operadores de red, ambas partes asumen la responsabilidad. la seguridad de esta red. Sin embargo, las empresas aún deben fijar las respectivas responsabilidades de gestión de ambas partes en el sistema de red y la propiedad del sistema de red a través de contratos tanto como sea posible. Por lo tanto, en el caso de * * * administrar y operar una plataforma de servicios de oficina colaborativa remota, la empresa y el operador de la plataforma deben aclarar en el acuerdo de usuario los módulos del sistema que ambas partes administran y operan, sus respectivas responsabilidades de seguridad de red para los módulos del sistema. administran y la propiedad de la plataforma.
3. Problemas de seguridad de la red y contramedidas involucradas en el teletrabajo
Revisemos algunos incidentes recientes de ciberseguridad relacionados con el teletrabajo y analicemos los problemas de seguridad de la red involucrados. Una breve evaluación de riesgos y recomendaciones preliminares. el negocio.
1. El aumento del tráfico de usuarios provocó el "colapso a corto plazo" de la plataforma de oficina remota. ¿Los operadores de plataformas deben asumir la responsabilidad de la seguridad del funcionamiento de la red?
Reseña del evento:
El 3 de febrero de 2020, como primer día hábil después del feriado del Festival de Primavera, la mayoría de las empresas exigieron que los empleados trabajaran desde casa. Aunque el operador de la plataforma del sistema de oficina remota ha preparado un plan de respuesta con anticipación, la enorme demanda de respuestas simultáneas aún supera las expectativas del operador de la plataforma. Varios software de oficina en línea han experimentado "retrasos en la transmisión de información", "congestión de video" y "cortos". fallos a largo plazo, como caídas del sistema [6]. Después de que ocurrió la falla, el operador de la plataforma rápidamente tomó medidas como limitar la corriente de la red y expandir la capacidad del servidor para mejorar la capacidad de soporte de carga y la estabilidad de la plataforma. Al mismo tiempo, la falla también causó un cierto grado de desvío. Al final, aunque todas las plataformas de oficinas remotas restauraron el funcionamiento normal de la plataforma en un corto período de tiempo, muchos usuarios aún se quejaron.
Evaluación de riesgos:
De acuerdo con el artículo 22 de la "Ley de Ciberseguridad" (en adelante, la "Ley de Ciberseguridad"), los productos y servicios de red deben cumplir con los requisitos obligatorios de normas nacionales pertinentes. Los proveedores de productos y servicios de red no pueden instalar programas maliciosos; cuando descubren que sus productos y servicios de red tienen fallas de seguridad, vulnerabilidades y otros riesgos, deben tomar medidas correctivas inmediatas, notificar rápidamente a los usuarios de acuerdo con las regulaciones e informar. a las autoridades competentes pertinentes. Los proveedores de productos y servicios de red deben proporcionar mantenimiento de seguridad continuo para sus productos y servicios; la prestación de mantenimiento de seguridad no deberá terminarse dentro del período especificado o acordado por ambas partes.
Como operador de la plataforma y redes relacionadas, el operador de la plataforma de oficina remota debe ser responsable de la seguridad operativa de la red. Para fallas del sistema a corto plazo, si el operador de la plataforma debe asumir la responsabilidad legal correspondiente o la responsabilidad por incumplimiento del contrato debe juzgarse integralmente en función de factores como la causa de la falla, las consecuencias dañinas de la falla y las estipulaciones de responsabilidad en el acuerdo de usuario.
En cuanto al incidente anterior, según la información que obtuvimos de los canales públicos, aunque múltiples plataformas de oficina en la nube no respondieron, lo que causó inconvenientes a los usuarios que trabajaban de forma remota, la plataforma en sí no expuso ningún riesgo obvio como fallos de seguridad y vulnerabilidades, y no se han producido daños sustanciales, como fugas de datos de la red. Por tanto, es muy probable que cada plataforma no asuma la responsabilidad legal por la seguridad de la red.
Respuesta a sugerencias:
Durante el período especial de la epidemia, los productos principales de la plataforma de oficina remota son gratuitos y abiertos, por lo que cada plataforma tendrá una gran cantidad de nuevos clientes.
Para los operadores de plataformas, un buen plan de emergencia y una mejor experiencia de usuario definitivamente ayudarán a que la plataforma retenga a estos nuevos grupos de usuarios después del brote.
Para reducir aún más los riesgos de los operadores de plataformas y mejorar la experiencia del usuario, recomendamos que los operadores de plataformas puedan:
Considerar el aumento en el tráfico de usuarios como un evento de emergencia para la plataforma y formular planes de emergencia correspondientes, por ejemplo, en el plan de emergencia, aclarar las condiciones desencadenantes de aumentos repentinos de tráfico, condiciones para la expansión del servidor, implementación de servidores de respaldo temporales, etc.;
Monitorear el tráfico de usuarios en tiempo real y asignar recursos de la plataforma de manera oportuna;
Establecer un mecanismo de notificación al usuario y una plantilla de voz, informar rápidamente a los usuarios de los motivos de los retrasos en la respuesta del sistema y el tiempo estimado de recuperación;
En los acuerdos de usuario u otras disposiciones legales Los textos firmados con los clientes, intentan aclarar las responsabilidades por dichos retrasos o fallas del sistema.
2. En un entorno de oficina remota, los ataques de phishing con temas epidémicos ocurren con frecuencia. ¿Cómo pueden las empresas reducir el riesgo de ciberataques externos?
Revisión del incidente:
Durante la epidemia, una empresa de seguridad de redes descubrió que algunos grupos de piratas informáticos extranjeros estaban utilizando correos electrónicos con temas de coronavirus para enviar malware, phishing y estafas. Por ejemplo, las organizaciones de piratas informáticos disfrazan sus identidades (como la Comisión Nacional de Salud y Planificación Familiar) y utilizan información relacionada con la "prevención y el control de epidemias" como cebo para lanzar ataques de phishing. Estos ataques de phishing por correo electrónico se disfrazan de fuentes creíbles. El contenido de los correos electrónicos está estrechamente relacionado con acontecimientos candentes que preocupan al público en general y son extremadamente engañosos. Una vez que el usuario hace clic en él, puede provocar que se controle el host y que se roben y destruyan información y sistemas importantes [7].
Evaluación de riesgos:
De acuerdo con lo dispuesto en los artículos 21 y 25 de la "Ley de Ciberseguridad", los operadores de red deberán realizar las siguientes protecciones de seguridad de acuerdo con los requisitos de seguridad de la red. sistema de protección de nivel Obligaciones de proteger la red de interferencias, destrucción o acceso no autorizado, y evitar que los datos de la red sean filtrados, robados o manipulados: (1) Desarrollar sistemas internos de gestión de seguridad y procedimientos operativos, identificar a la persona a cargo de la seguridad de la red e implementar responsabilidades de protección de la seguridad de la red; (2) Tomar medidas técnicas para prevenir virus informáticos, ataques a la red, intrusiones en la red y otros comportamientos que pongan en peligro la seguridad de la red; (3) Tomar medidas técnicas para monitorear y registrar el estado operativo de la red y los eventos de seguridad de la red; y guardar una gran cantidad de registros de red relevantes de acuerdo con las regulaciones En un plazo de seis meses (4) Tomar medidas como clasificación de datos, copia de seguridad y cifrado de datos importantes (5) Otras obligaciones estipuladas por las leyes y regulaciones administrativas; Al mismo tiempo, los operadores de red también deben formular planes de contingencia para incidentes de seguridad de la red para abordar con prontitud los riesgos de seguridad como vulnerabilidades del sistema, virus informáticos, ataques a la red e intrusiones en la red, una vez que ocurre un incidente que pone en peligro la seguridad de la red, activar inmediatamente el plan de contingencia; y tomar las medidas correctivas correspondientes e informar a las autoridades competentes pertinentes según sea necesario.
La realización del trabajo remoto significa que la red interna debe responder a las solicitudes de acceso a la red externa desde los terminales móviles de los empleados. Los empleados viven en diferentes entornos de seguridad de red, ya sean redes de acceso o terminales móviles, es más probable que se conviertan en blanco de ataques a la red. Por un lado, las redes que no son de confianza, como WiFi públicas y puntos de acceso a la red, pueden utilizarse como puntos de acceso a la red para los empleados. Es posible que estas redes no tengan protección de seguridad y contengan muchas vulnerabilidades de red comunes que son fácilmente atacadas y pueden convertirse fácilmente en un punto de tránsito para que las organizaciones cibercriminales invadan las intranets corporativas. Por otro lado, los dispositivos terminales móviles de algunos empleados pueden tener aplicaciones o complementos de red con programas maliciosos instalados, y los empleados pueden hacer clic sin darse cuenta en ataques de phishing disfrazados o correos electrónicos de extorsión, amenazando gravemente la seguridad de la red interna de la empresa.
En incidentes de seguridad de la red, como virus informáticos o ataques a la red externa, aunque la empresa atacada también sea una víctima, si la empresa no toma las medidas técnicas necesarias con antelación de acuerdo con los requisitos de la "Ciberseguridad "Ley" y leyes relacionadas. Si las medidas preventivas y los planes de emergencia conducen a la fuga, robo o manipulación de datos de la red, causando pérdidas a los usuarios corporativos, es posible que aún deban asumir la responsabilidad legal correspondiente.
Respuesta a sugerencias:
Para las empresas, para cumplir con las obligaciones de seguridad de la red estipuladas en la "Ley de Ciberseguridad" y leyes relacionadas, recomendamos que las empresas puedan comenzar desde la red. mecanismo de gestión de incidentes de seguridad, dispositivos móviles Revisar y mejorar la seguridad de las redes de oficinas en términos de seguridad de equipos terminales, seguridad de transmisión de datos, etc.:
(1) Las empresas deben formular políticas adecuadas basadas en la situación real de sus redes o plataformas operativas y la conciencia general sobre la seguridad de la red de los empleados. Mecanismos de gestión de incidentes de seguridad cibernética, que incluyen, entre otros:
Desarrollar planes de contingencia para incidentes de seguridad cibernética, incluidas las fugas de datos;
Establecer estructuras organizativas y medidas técnicas para responder a incidentes de seguridad cibernética;
p>
Monitoreo en tiempo real de los últimos sitios web de phishing e incidentes de extorsión por correo electrónico;
Establecer un mecanismo de notificación eficaz con todos los empleados, incluidos, entre otros, correo electrónico, WeChat corporativo y otros métodos de notificación;
Desarrollar un plan de capacitación en seguridad de la información adecuado para los empleados;
Establecer recompensas y medidas de castigo y exigir a los empleados que respeten estrictamente la política de seguridad de la información de la empresa.
(2) Las empresas deben tomar las siguientes medidas basadas en los activos de información existentes para garantizar aún más la seguridad de los dispositivos terminales móviles:
Desarrollar diferentes políticas para los dispositivos terminales móviles según la autoridad del empleado nivel Plan de gestión de seguridad, por ejemplo, los altos directivos o el personal con mayores permisos de base de datos solo pueden utilizar equipos terminales móviles especialmente configurados para uso de oficina por parte de la empresa
Desarrollar un sistema de gestión de oficina para equipos terminales móviles y proporcionar; sugerencias para los empleados que utilizan su propio equipo para trabajar. Requisitos de gestión claros;
Actualice y escanee periódicamente el sistema en busca de equipos terminales móviles específicos de la oficina;
En el equipo terminal, realice acceso de identidad. autenticación y protección de seguridad para el terminal;
Céntrese en monitorear los portales de acceso remoto, adopte una estrategia de análisis de seguridad más proactiva, tome medidas preventivas oportunas cuando se descubran sospechas de ataques o virus a la seguridad de la red y comuníquese de inmediato con la información de la empresa. equipo de seguridad;
Para empleados Realice una capacitación especial sobre los riesgos de seguridad de la información de las oficinas móviles.
(3) Para garantizar la seguridad de la transmisión de datos, las medidas de seguridad que las empresas pueden tomar incluyen, entre otras:
Utilizar métodos de transmisión cifrados como HTTPS para garantizar la seguridad de transmisión de datos. Ya sea que se trate de interacción de datos entre terminales móviles y la intranet, o interacción de datos entre terminales móviles, es apropiado utilizar HTTPS y otros métodos de cifrado para enlaces de comunicación de datos para evitar la fuga de datos durante la transmisión.
Implementar una red privada virtual (VPN) a través de la cual los empleados puedan conectarse a la intranet. Vale la pena señalar que en China, los servicios VPN (especialmente los VPN transfronterizos) están regulados por las telecomunicaciones, y solo las empresas con calificaciones de servicios VPN pueden proporcionar servicios VPN. Cuando las empresas de comercio exterior y las empresas multinacionales necesitan utilizar líneas dedicadas para redes transfronterizas para oficinas y otros motivos, deben alquilarlas a operadores básicos con las correspondientes licencias comerciales de telecomunicaciones.
3. Los empleados internos ingresan a la intranet de la empresa a través de VPN y destruyen la base de datos. ¿Cómo deberían las empresas prevenir a los "iniciados" y garantizar la seguridad de los datos?
Reseña del evento:
En la tarde del 23 de febrero, el servicio empresarial SaaS de Weimeng Group, un proveedor líder de servicios WeChat, se paralizó repentinamente, el sistema falló y el entorno de producción y Como resultado, los datos resultaron gravemente dañados, millones de comerciantes no pudieron operar sus negocios sin problemas y sufrieron grandes pérdidas. Según un comunicado emitido por Wei Meng al mediodía del día 25, el accidente fue causado por factores humanos. Él, un miembro central del personal de operación y mantenimiento del Departamento de Operaciones del Centro de Investigación y Desarrollo de Weimeng, se conectó al trampolín de la intranet de la compañía a las 18:56 de la tarde del 23 de febrero y destruyó maliciosamente el entorno de producción en línea de Weimeng debido a razones personales, mentales, vitales y de otro tipo. Actualmente se encuentra bajo detención penal por parte de la Oficina de Seguridad Pública del Distrito Baoshan de Shanghai y ha admitido los hechos del crimen[8]. Debido al grave daño a la base de datos, Wei Meng no pudo brindar servicios de soporte de comercio electrónico a los comerciantes cooperativos durante mucho tiempo. Un accidente aquí inevitablemente traería pérdidas económicas directas a los comerciantes cooperativos. Como empresa que cotiza en Hong Kong, el precio de las acciones de Wei Meng también cayó bruscamente después del accidente.
Se puede ver en el anuncio de Wei Meng que una de las condiciones que contribuyeron al incidente de eliminación de la base de datos del empleado de Wei Meng fue que "el empleado, como personal central de operación y mantenimiento del departamento de operación y mantenimiento, ha iniciado sesión en la intranet de la empresa a través de un trampolín VPN personal y tiene derecho a eliminar la base de datos". Este incidente es digno de reflexión e introspección tanto para los proveedores de servicios SaaS como para los usuarios empresariales comunes.
Evaluación de riesgos:
De acuerdo con lo dispuesto en los artículos 21 y 25 de la "Ley de Ciberseguridad", los operadores de red deberán realizar las siguientes protecciones de seguridad de acuerdo con los requisitos de seguridad de la red. sistema de protección de nivel Obligaciones de proteger la red de interferencias, destrucción o acceso no autorizado, y evitar que los datos de la red sean filtrados, robados o manipulados: (1) Desarrollar sistemas internos de gestión de seguridad y procedimientos operativos, identificar a la persona a cargo de la seguridad de la red, e implementar responsabilidades de protección de la seguridad de la red; (2) Tomar medidas técnicas para prevenir virus informáticos, ataques a la red, intrusiones en la red y otros comportamientos que pongan en peligro la seguridad de la red; (3) Tomar medidas técnicas para monitorear y registrar el estado operativo de la red y los eventos de seguridad de la red; guardar una gran cantidad de registros de red relevantes de acuerdo con las regulaciones Dentro de los seis meses (4) Tomar medidas como clasificación de datos, copia de seguridad y cifrado de datos importantes (5) Otras obligaciones estipuladas por las leyes y regulaciones administrativas; Al mismo tiempo, los operadores de red también deben formular planes de emergencia para incidentes de seguridad de la red para abordar con prontitud riesgos de seguridad como vulnerabilidades del sistema, virus informáticos, ataques a la red e intrusiones en la red, una vez que ocurre un incidente que pone en peligro la seguridad de la red, deben activar inmediatamente el sistema; plan de emergencia y tomar las medidas correctivas correspondientes e informar a las autoridades competentes pertinentes según sea necesario.
La filtración de información de los empleados internos siempre ha sido una de las principales causas de accidentes de filtración de datos corporativos, y también es un patrón de comportamiento típico del "delito de violación de la información personal de los ciudadanos". En un entorno de trabajo remoto, las empresas deben proporcionar a la mayoría de los empleados acceso a intranets y bases de datos relacionadas, lo que aumenta aún más el riesgo de fuga de datos o incluso destrucción.
A diferencia de la "caída a corto plazo" del sistema causada por el aumento en el tráfico de usuarios, la ocurrencia del incidente de "eliminación de la base de datos de Micro Alliance" puede estar directamente relacionado con la gestión interna de seguridad de la información de la empresa. . Si los comerciantes cooperativos de la plataforma tienen pérdidas económicas directas, no se descarta que el operador de la plataforma pueda asumir responsabilidad legal relacionada con la seguridad de la red.
Respuesta a sugerencias:
Para evitar eficazmente que los empleados dañen y filtren maliciosamente datos de la empresa y garantizar la seguridad de los datos corporativos, recomendamos que las empresas tomen las siguientes medidas preventivas:
Desarrollar un sistema de gestión para oficinas remotas u oficinas móviles, distinguir entre dispositivos móviles específicos de la oficina y dispositivos móviles propiedad de los empleados y llevar a cabo una gestión clasificada, incluida, entre otras, una gestión estricta de los permisos de lectura y escritura. de dispositivos móviles específicos de la oficina y los permisos del sistema de los dispositivos móviles propiedad de los empleados, especialmente los permisos de gestión de bases de datos empresariales;
Establecer un sistema de gestión de clasificación de datos, como la formulación de permisos de acceso y reescritura adecuados basados en el. sensibilidad de los datos y prohibir a los empleados operar datos en la base de datos central mediante inicio de sesión o proceso remoto;
Evaluar, revisar y limitar el acceso a los datos y los derechos de procesamiento de los empleados según las necesidades laborales y los principios de necesidad, por ejemplo. por ejemplo, prohibir a los empleados descargar datos a cualquier dispositivo terminal móvil propiedad del usuario;
p>Establecer un plan de gestión de emergencia para la fuga de datos, incluido un mecanismo de seguimiento y notificación de incidentes de seguridad y un plan de respuesta para incidentes de seguridad. ;
Desarrollar especificaciones operativas para el trabajo remoto, especificaciones de gestión para el uso de documentos y aplicaciones. Proceso de aprobación para la instalación de software;
Configurar un equipo con capacidades de servicio de seguridad remota para que sea responsable. para monitorear en tiempo real las operaciones de los empleados en bases de datos centrales o datos confidenciales y la seguridad de la base de datos;
Fortalecer la educación de concientización sobre seguridad de los empleados para el trabajo remoto.
4. Durante la epidemia, por el interés público, ¿las empresas necesitan obtener la autorización de los empleados para recopilar información relacionada con la epidemia en línea a través del sistema? Una vez terminada la epidemia, ¿qué se debe hacer con la información de salud recopilada de los empleados?
Ejemplo de escenario:
Durante el trabajo remoto, para fortalecer la gestión laboral, garantizar la salud y seguridad del lugar de trabajo de la empresa y formular medidas pertinentes de prevención y control de epidemias, la empresa Continuar recopilando diversos tipos de información de los empleados relacionada con la epidemia, incluido el estado de salud de las personas y miembros de la familia, ubicación reciente, dirección actual, horario de vuelos o trenes, etc. Los métodos de recopilación incluyen correos electrónicos, informes del sistema OA, cuestionarios, etc. La empresa elaborará estadísticas y controlará la información recopilada, e informará de la situación general de los empleados a las autoridades reguladoras cuando sea necesario. Si se descubre un caso sospechoso, la empresa lo informará de inmediato a la agencia de prevención y control de enfermedades o institución médica correspondiente.
Evaluación de riesgos:
El 20 de junio de 2020, la Comisión Nacional de Salud incluyó el nuevo coronavirus 65438 como enfermedad infecciosa de Clase B en la "Ley de la República Popular China". sobre Prevención y Control de Enfermedades Infecciosas". Tomar medidas para prevenir y controlar las enfermedades infecciosas de Clase A. El artículo 31 de la "Ley de la República Popular China sobre Prevención y Control de Enfermedades Infecciosas" estipula que cuando cualquier unidad o individuo descubre a un paciente o paciente sospechoso con una enfermedad infecciosa, debe informar de inmediato al centro de prevención y control de enfermedades cercano. agencia o institución médica.
El 9 de febrero, la Administración del Ciberespacio de China emitió el "Aviso sobre la protección de la información personal y el uso de Big Data para apoyar la prevención y el control conjuntos" (en adelante, el "Aviso"). Todas las localidades y departamentos deben conceder gran importancia a la protección de la información personal, excepto el departamento de salud del Consejo de Estado de conformidad con la "Ley de Ciberseguridad de la República Popular China", la "Ley de la República Popular China sobre la Prevención y Control de Enfermedades Infecciosas” y el “Reglamento de Atención de Emergencias ante Emergencias de Salud Pública”. Si las leyes y reglamentos administrativos dispusieran lo contrario, prevalecerán tales disposiciones.
Todas las regiones han emitido sucesivamente documentos normativos sobre prevención de epidemias. Tomando a Beijing como ejemplo, según la "Decisión del Comité Permanente de la Asamblea Popular Municipal de Beijing sobre la prevención y el control de la neumonía por el nuevo coronavirus de conformidad con la ley y la victoria resuelta en la batalla de la prevención y el control de epidemias", agencias, empresas e instituciones , grupos sociales y otras organizaciones dentro de la región administrativa de esta ciudad. El trabajo de prevención y control de epidemias de la unidad debe llevarse a cabo de acuerdo con la ley, y se debe establecer y mejorar un sistema sólido de responsabilidad y gestión de prevención y control. Equipar el equipo y las instalaciones de protección necesarios, fortalecer el control de la salud del personal de la unidad, instar a quienes regresan a Beijing desde zonas gravemente afectadas a someterse a observación médica o a domicilio de conformidad con las regulaciones gubernamentales pertinentes, e informar cualquier situación anormal de manera oportuna según sea necesario. y tomar las medidas de prevención y control correspondientes. De acuerdo con los requisitos del gobierno popular local, organizar activamente al personal para participar en el trabajo de prevención y control de epidemias.
De acuerdo con las disposiciones del "Aviso" y las leyes, reglamentos y documentos normativos antes mencionados, entendemos que durante el período epidémico, las empresas deben cumplir con la "Ley de la República Popular China sobre Prevención y Control de Enfermedades Infecciosas" y el "Reglamento de Respuesta a Emergencias de Salud Pública" Según el reglamento, con la autorización del departamento de salud del Consejo de Estado, la información de salud del personal de la empresa relacionada con la epidemia debe ser recopilados dentro del alcance de la autorización, sin obtener la autorización y el consentimiento del empleado. Si no se pueden cumplir las excepciones anteriores, las empresas aún deben obtener la autorización y el consentimiento del usuario antes de la recopilación de conformidad con las disposiciones de la Ley de Ciberseguridad.
El aviso estipula claramente que la información personal recopilada para la prevención y el control de epidemias y la prevención de enfermedades no se utilizará para otros fines. Ninguna unidad o individuo podrá revelar información personal como nombre, edad, número de identificación, número de teléfono, dirección particular, etc. Sin el consentimiento de la persona recogida, salvo que sea necesario para prevención conjunta, control conjunto y desensibilización. Las instituciones que recopilan o conservan información personal serán responsables de la protección de seguridad de la información personal y adoptarán estrictas medidas de gestión y protección técnica para evitar que sea robada o filtrada. Para obtener más información, consulte nuestro artículo reciente "Interpretación del aviso sobre la protección de la información personal y el uso de macrodatos para apoyar el control conjunto de la epidemia".
Respuesta a sugerencias:
Durante el período remoto, si una empresa desea recopilar información personal relacionada con la epidemia de empleados a través del sistema de oficina remota, le recomendamos que:
Desarrollar una declaración de política de privacidad o un texto de aviso de autorización del usuario y obtener la autorización y el consentimiento de los empleados antes de que los empleados envíen información relevante por primera vez;
De acuerdo con el principio de mínima necesidad, formular una estrategia de recopilación de información, incluido el tipo, la frecuencia y la granularidad de la información recopilada;
Seguir el principio de limitación de propósito y gestionar la información personal relacionada con la prevención y el control de epidemias por separado para evitar fusionarla con la información de los empleados recopilada previamente por la empresa;
Al mostrar el estado de salud general de la empresa o revelar Cuando ocurre un caso sospechoso, desensibilizar la información relacionada con los empleados;
Establecer un mecanismo de gestión de eliminación de información para eliminar rápidamente información relevante información de los empleados después de lograr los objetivos de prevención y control;
Desarrollar información específica El mecanismo de gestión y protección protegerá la información personal recopilada relacionada con la epidemia de los empleados como información personal sensible, controlará estrictamente los derechos de acceso de los empleados y evitará los datos. fuga.
5. Para supervisar y gestionar eficazmente a los empleados durante el trabajo remoto, las empresas esperan monitorear adecuadamente a los empleados. ¿Cómo es posible que sean legales y conformes?
Ejemplo de escenario:
Para supervisar y gestionar eficazmente a los empleados durante el trabajo remoto, la empresa ha formulado medidas como informes periódicos, registros y videovigilancia basados en sus propias medidas. Situación y requiere que los empleados cooperen activamente para lograr el propósito de monitoreo de la oficina remota. Cuando los empleados completan informes y se registran a través del sistema, es probable que envíen repetidamente su nombre, número de teléfono, correo electrónico, ciudad y otra información personal básica para verificar la identidad del empleado.
Al mismo tiempo, cuando se utiliza la aplicación o el sistema OA remoto, el sistema de la oficina registrará automáticamente el registro de inicio de sesión del empleado, como la dirección IP, la ubicación geográfica de inicio de sesión, la información básica del usuario, la información de comunicación diaria y otros datos. Además, si los empleados utilizan equipos terminales de oficina o software de máquinas virtuales de terminales remotas distribuidos por la empresa para trabajar, es posible que se preinstalen complementos o software de monitoreo en los equipos terminales y en el software de las máquinas virtuales y, bajo ciertas condiciones, las operaciones de Se registrarán los registros de comportamiento de los empleados en el equipo terminal y los registros de acceso a Internet.
Evaluación de riesgos:
En los ejemplos de escenarios anteriores, la empresa recopilará información personal de los empleados a través de 1) suministro voluntario por parte de los empleados, 2) recopilación automática o activada por software de oficina, etc. ., que constituye la “Recolección de información personal bajo la Ley de Ciberseguridad”. Las empresas deben cumplir con los requisitos de la Ley de Ciberseguridad y las leyes y reglamentos pertinentes, seguir los principios de legalidad, equidad y necesidad, divulgar las reglas de recopilación y uso, establecer claramente el propósito, método y alcance de la recopilación y el uso de la información, y obtener el consentimiento de los empleados. .
Si el uso de software o complementos de videovigilancia y monitoreo de sistemas se realiza de manera incorrecta sin la autorización previa de los empleados, es probable que infrinja la privacidad de los empleados, y las empresas deben prestar especial atención a esto.
Respuesta a sugerencias:
Durante el trabajo remoto, especialmente cuando los empleados aún se están adaptando a estos modos de trabajo, es razonable que las empresas tomen medidas de supervisión y gestión adecuadas en función de sus propias circunstancias. . Recomendamos que las empresas tomen las siguientes medidas para garantizar el cumplimiento legal de las conductas de gestión y monitoreo:
Evaluar si el contrato original de los empleados de la empresa o la autorización de recopilación de información personal de los empleados pueden cumplir con los requisitos de monitoreo para el trabajo remoto. Si hay fallas en la autorización, se deben diseñar métodos para obtener autorización complementaria en función de la situación real de la empresa, incluidas ventanas emergentes de texto de notificación de autorización, notificaciones por correo electrónico, etc.
Evaluar la necesidad de recopilar información personal de los empleados elemento por elemento en función de los escenarios de recopilación. Por ejemplo, si hay una recopilación repetida de información, si es necesario monitorear el estado de funcionamiento a través de video y si la frecuencia de monitoreo es adecuada;
Para el software y los complementos de monitoreo del sistema, diseñe una recopilación de información separada estrategia para equilibrar la protección de la privacidad de los empleados y la seguridad de los datos de la empresa;
Cumplir con el principio de limitación de finalidad. Los datos de los empleados recopilados no se utilizarán para fines distintos del seguimiento del trabajo sin la autorización del empleado.
Cuarto, resumen
En esta epidemia, las tecnologías digitales representadas por big data, inteligencia artificial, computación en la nube e Internet móvil han jugado un papel importante en la prevención y el control de la epidemia. promovió aún más el desarrollo de modelos de negocio como la oficina remota y las operaciones en línea. Esto no es solo el resultado de la epidemia que obliga a una transformación digital e inteligente acelerada, sino que también representa una nueva productividad y nuevas direcciones de desarrollo en el futuro [9]. Después del "repentino auge del teletrabajo a nivel nacional", el teletrabajo y las operaciones en línea se volverán cada vez más populares, y las oficinas en línea y fuera de línea estarán mejor unificadas para mejorar verdaderamente la eficiencia del trabajo.
Acelerar las actualizaciones digitales e inteligentes también es una necesidad urgente para promover la modernización del sistema de gobernanza nacional y las capacidades de gobernanza. La Cuarta Sesión Plenaria del XIX Comité Central del Partido Comunista de China tomó importantes medidas para promover la modernización del sistema de gobernanza nacional y las capacidades de gobernanza, enfatizando la necesidad de promover la construcción de un gobierno digital, fortalecer el disfrute de los datos y utilizar medios tecnológicos. como Internet, big data e inteligencia artificial para establecer y mejorar sistemas y normas de gestión administrativa[10].
Para acelerar constantemente el desarrollo de la inteligencia digital y cumplir con el concepto de gobernanza gubernamental moderna, las empresas deben clasificar y mejorar de manera integral las estrategias existentes de seguridad de red y cumplimiento de datos para prepararse para la nueva era de gestión inteligente. .