在冠狀病毒疫情蔓延期間,首席信息安全官將不得不應(yīng)對(duì)新的安全挑戰(zhàn)。一些行業(yè)專家在日前召開的2021年RSA大會(huì)信息安全大會(huì)(RSA)上指出,正如許多安全工作者感到疲倦和壓力一樣,重新配置的工作場(chǎng)所和員工健康考慮以及增加的網(wǎng)絡(luò)威脅讓很多企業(yè)的安全團(tuán)隊(duì)難以應(yīng)對(duì)。
思科公司首席信息安全官、俄亥俄州立大學(xué)的前首席信息安全官Helen Patton說,“當(dāng)冠狀病毒疫情來襲時(shí),我們一直沒有安全感。我們?cè)诎踩矫娓惺艿胶艽蟮膲毫?,以至于感到過度勞累。”
更加注重工作和生活的平衡
Patton繼續(xù)說道,“18個(gè)月以來,我們的安全部門員工一直在超負(fù)荷工作,而且看不到盡頭。我認(rèn)為我們必須更好地對(duì)意外事件進(jìn)行規(guī)劃,這意味著需要為團(tuán)隊(duì)做好計(jì)劃,并不會(huì)讓他們崩潰。”
他指出,增加的工作量確實(shí)有一些好處,因此也得到了更好的結(jié)果,但只是對(duì)工作與生活平衡的一種欣賞。
許多企業(yè)在疫情期間加強(qiáng)了工作,通過提供額外的福利和激勵(lì)來提高員工士氣,以減輕安全團(tuán)隊(duì)增加的工作量。Markel公司首席信息安全官和首席流程官Patti Titus說。“我們實(shí)際上允許人們出于心理健康原因回到企業(yè)辦公室。我們?cè)诳紤]如何在員工遠(yuǎn)程工作的情況下與他們保持密切的聯(lián)系,我們更加相信團(tuán)結(jié)就是力量。”
Northwestern Mutual公司首席信息安全官Laura Deaner認(rèn)為安全人員如今被推到了邊緣,但發(fā)現(xiàn)在疫情危機(jī)期間培養(yǎng)的社區(qū)意識(shí)令人欣慰。她說,“很高興看到大家團(tuán)結(jié)在一起。”
員工的工作地點(diǎn)具有更大靈活性
盡管許多員工正在返回企業(yè)辦公室,但這些工作環(huán)境與以前有所不同。微軟公司副總裁兼首席信息安全官Bret Arsenault表示:“在疫情發(fā)生之后,我們很快就實(shí)施了遠(yuǎn)程工作模式。在72小時(shí)之內(nèi),我們公司遠(yuǎn)程工作的員工從10%上升到97%。我們作為科技行業(yè)的企業(yè)非常幸運(yùn),能夠在疫情持續(xù)蔓延的大部分時(shí)間里繼續(xù)工作。”
然而現(xiàn)在,健康方面的考慮正在重塑員工記憶中的環(huán)境。當(dāng)我們讓員工重返企業(yè)辦公場(chǎng)所時(shí),必須面臨保持社交遠(yuǎn)離、清潔環(huán)境衛(wèi)生以及所有其他沒有規(guī)劃的事情。
例如需要更換或新增辦公室等工作場(chǎng)景,并使用技術(shù)來做到這一點(diǎn),并確保每間辦公室少于四名員工。我們希望在這些辦公空間確保維護(hù)每個(gè)員工的安全和隱私。這是與以往截然不同的工作場(chǎng)所。”
現(xiàn)在很多員工已經(jīng)適應(yīng)了在家遠(yuǎn)程工作的環(huán)境,并不是每個(gè)員工都會(huì)重返企業(yè)辦公室,這使得企業(yè)召開會(huì)議和其他聚會(huì)更具挑戰(zhàn)性。Arsenault說,“我們看到員工的工作時(shí)間更加多樣化。由于更加分散以及個(gè)人原因,很多員工的工作時(shí)間并不一致。”
收集和保護(hù)健康數(shù)據(jù)的新要求
除了改造辦公室環(huán)境以適應(yīng)最佳健康實(shí)踐之外,企業(yè)現(xiàn)在將從員工那里收集大量的健康信息。收集這些數(shù)據(jù)需要首席信息安全官必須將其納入其工作中的新級(jí)別的安全保護(hù)和隱私實(shí)踐。Paul Hastings LLP公司合伙人Aaron Charfoos表示:“它對(duì)企業(yè)管理人員可能希望從員工那里獲得的信息提出了非常高的期望。試圖收集更多傳統(tǒng)上被認(rèn)為是私人的信息將是我們長(zhǎng)期需要做的事情。”
Charfoos指出,主要面臨的挑戰(zhàn)將圍繞確定真正需要的信息的范圍、如何最好地收集和存儲(chǔ)信息,以及如何應(yīng)用國(guó)家和地區(qū)關(guān)于冠狀病毒陽性檢測(cè)結(jié)果報(bào)告和接觸者追蹤的規(guī)定。他說,“所有這些都是我們以前不必處理的事情。”
Charfoos表示,76%的企業(yè)要求員工在確診新型冠狀病毒肺炎時(shí)通知相關(guān)人員,53%的企業(yè)詢問員工去過哪里。此外,35%的企業(yè)詢問了員工家庭成員的健康狀態(tài),而23%的企業(yè)在員工上班進(jìn)入公司大門時(shí)對(duì)其進(jìn)行體溫測(cè)量。
企業(yè)面臨的真正問題是他們需要在多大程度上收集或保留所有這些信息。Charfoos說,“企業(yè)需要從員工那里得到這些信息嗎?需要保留這些信息嗎?如果要保留,會(huì)保留多久?因?yàn)槿绻恢北A舻脑?,那么本身可能?huì)導(dǎo)致許多問題。除了遵守處理醫(yī)療保健數(shù)據(jù)的聯(lián)邦法律(例HIPAA、健康保險(xiǎn)流通和責(zé)任法案)之外,確保關(guān)注承諾保護(hù)信息的方式也很重要。”
網(wǎng)絡(luò)攻擊者加大數(shù)據(jù)泄露力度
Squire PattonBoggs LLP公司高級(jí)助理Ericka Johnson表示,在疫情持續(xù)蔓延期間,在家遠(yuǎn)程工作的持續(xù)盛行使得應(yīng)對(duì)勒索軟件攻擊和其他竊取數(shù)據(jù)的努力變得更加困難。她說,“冠狀病毒疫情確實(shí)增加了我們所看到的網(wǎng)絡(luò)攻擊的發(fā)生率。我們看到網(wǎng)絡(luò)攻擊者現(xiàn)在進(jìn)行雙重攻擊:在部署勒索軟件攻擊之前泄露數(shù)據(jù)并加密數(shù)據(jù)。”
很多企業(yè)現(xiàn)在也更容易受到網(wǎng)絡(luò)釣魚和社交工程攻擊。Johnson表示,她處理了一個(gè)網(wǎng)絡(luò)攻擊者冒充一家企業(yè)首席執(zhí)行官進(jìn)行復(fù)雜的房地產(chǎn)交易的案件。他說,“這個(gè)網(wǎng)絡(luò)攻擊者非常專業(yè),以致于遠(yuǎn)程工作的受害者無法分辨。在通常情況下,員工可以直接面見首席執(zhí)行官,并確認(rèn)其財(cái)務(wù)支出情況。因?yàn)楝F(xiàn)在都在開展遠(yuǎn)程工作,這些網(wǎng)絡(luò)攻擊者使用社交工程進(jìn)行攻擊要容易得多。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)