¿Cómo resolver el problema de seguridad de la red de la oficina remota empresarial?
Preguntas frecuentes y sugerencias sobre seguridad de red para el trabajo remoto empresarial
Hora de publicación: 2020-03-06 11:46:28
Autor: Ning Xuanfeng , Wu Han et al
Fuente: King & Wood Mallesons
Compartir con: WeChat, Sina Weibo, QQ Space
Este es un período crítico para la prevención y control del nuevo coronavirus. Todo el país está unido para luchar contra la epidemia. Para fortalecer la prevención y el control, desde principios de febrero, los gobiernos de Beijing, Shanghai, Guangzhou, Hangzhou y otras ciudades importantes han manifestado públicamente su postura o emitido anuncios, y las empresas han utilizado las tecnologías de la información para llevar a cabo trabajo colaborativo remoto y trabajo desde casa [1]. El 19 de febrero, el Ministerio de Industria y Tecnología de la Información emitió el "Aviso sobre el uso de tecnologías de la información de nueva generación para apoyar la prevención y el control de epidemias y la reanudación del trabajo y la producción". Para las pequeñas y medianas empresas, el Ministerio de Industria y Tecnología de la Información apoya el uso de la computación en la nube para promover enérgicamente el paso de las empresas a la nube, centrándose en promover métodos de trabajo en línea como el trabajo remoto, el trabajo desde casa y las videoconferencias. formación en línea, investigación y desarrollo colaborativos y comercio electrónico [2].
Ante el llamado de los gobiernos nacional y local, empresas de todo el país respondieron activamente al llamado. Una encuesta en línea lanzada por Southern Metropolis Daily a mediados de febrero mostró que el 47,55% de los encuestados trabajaba desde casa o tomaba clases en línea [3]. Ante la enorme demanda de trabajo remoto en tiempos especiales, las plataformas de colaboración remota también han asumido activamente responsabilidades sociales. Ya a finales de enero, 21 productos de 17 empresas anunciaron que su software de plataforma de escritura remota estaría abierto a usuarios de toda la sociedad. o instituciones específicas de forma gratuita [4 ].
El trabajo remoto se realiza a través de la tecnología de la información, ya sea la capa de red, la capa del sistema o los datos comerciales, se enfrentará a un entorno de seguridad de red más complejo para lograr una reanudación segura y efectiva del trabajo. producción y reducir el impacto de la epidemia en las empresas En vista del impacto en las operaciones y el desarrollo, las empresas deben establecer o ajustar adecuadamente estrategias apropiadas de seguridad de la información y la red en función de las condiciones reales.
1. Tipos de sistemas de oficina remota
Con el profundo desarrollo de tecnologías como Internet, la computación en la nube y el Internet de las cosas, diversas empresas, especialmente las empresas de Internet, están legalizando. empresas y otros servicios profesionales La empresa ha estado promoviendo el trabajo colaborativo remoto dentro de la empresa, especialmente aplicaciones funcionales básicas como conferencias remotas y gestión de documentos. Desde la perspectiva de los tipos funcionales, los sistemas de oficina remota se pueden dividir en las siguientes categorías: [5]
Las herramientas de colaboración integrales brindan un conjunto integral de soluciones de oficina, con funciones que incluyen mensajería instantánea y conferencias de comunicación entre múltiples partes. y documentos Colaboración, gestión de tareas, gestión de diseño, etc. Las empresas de software representativas incluyen Enterprise WeChat, DingTalk, Feishu, etc.
La mensajería instantánea (es decir, mensajería instantánea o IM) y las conferencias de comunicación entre varias partes son herramientas que permiten a dos o más personas transferir texto y archivos en tiempo real a través de la red y realizar comunicaciones de voz y video. incluye Webex, Zoom y Slack, Skype, etc.
La colaboración de documentos puede proporcionar almacenamiento en la nube y funciones de intercambio, modificación o revisión en línea de documentos para varias personas. El software representativo incluye Tencent Docs, Kingsoft Docs, Evernote, etc.
La gestión de tareas puede realizar funciones de automatización de oficinas empresariales (es decir, automatización de oficinas u OA), como procesos de tareas, gestión de asistencia, gestión de personal, gestión de proyectos, gestión de contratos, etc. El software representativo incluye Trello, Tower, Panwei, etc.
La gestión de diseño puede llevar a cabo sistemáticamente actividades de gestión de investigación y desarrollo de diseño de acuerdo con los requisitos del usuario, como la gestión de materiales, herramientas y bibliotecas. El software representativo incluye Maker Post, Canvas, etc.
2. Los principales sujetos responsables de la seguridad de la red bajo diferentes modalidades de trabajo remoto
Los principales objetos regulatorios de la "Ley de Ciberseguridad" ("Ley de Ciberseguridad") son los operadores de red, concretamente Propietarios de redes, administradores y proveedores de servicios de redes. Los operadores de redes deben asumir la responsabilidad de la seguridad de la operación de la red y la seguridad de la información de la red según la Ley de Ciberseguridad y sus regulaciones de apoyo.
Para los sistemas de oficina remota, bajo diferentes métodos de operación del sistema, existen grandes diferencias en las entidades responsables de la seguridad de la red (es decir, operadores de red). Según el modo de funcionamiento de los sistemas de oficina remota, los sistemas de oficina remota empresariales se pueden dividir aproximadamente en tres categorías: sistemas propios, sistemas de oficina en la nube y sistemas integrales. Las empresas deben distinguir claramente las líneas de responsabilidad entre ellas y los operadores de plataformas para juzgar claramente las medidas de seguridad de la red que deben tomar.
(1) Sistema propio
Bajo este tipo de modelo, el sistema de oficina remota de la empresa se implementa en su propio servidor y la empresa desarrolla, subcontrata o utiliza el sistema de forma independiente. por una arquitectura de software de nivel empresarial de terceros. El costo de desarrollo de este tipo de sistema es relativamente alto, pero debido a que no hay flujo de datos a servidores de terceros, el riesgo de seguridad es bajo. Los tipos comunes de empresas incluyen empresas e instituciones en industrias importantes como empresas estatales y bancos. , así como aquellos con fuertes capacidades económicas y un fuerte enfoque en seguridad y Grandes empresas con altos requisitos de privacidad.
Ya sea que se trate de un sistema desarrollado por una empresa o no, dado que el sistema es de propiedad independiente y administrado de forma independiente por la empresa una vez completada la arquitectura del sistema, la empresa constituye el operador de red de la oficina correspondiente. sistema y asume las correspondientes responsabilidades de seguridad de la red.
(2) Sistema de oficina en la nube
Este tipo de sistema de oficina suele ser un sistema SaaS o una aplicación, y el operador de la plataforma proporciona directamente a la empresa un sistema listo para usar en un servidor controlado por ella Plataforma de software de colaboración remota o servicio de aplicación para usuarios empresariales y usuarios individuales (empleados). Estos sistemas son relativamente económicos de construir, pero a menudo sólo pueden resolver tipos específicos de necesidades de las empresas. Las empresas normalmente no tienen la autoridad para desarrollar o modificar el sistema, y los datos empresariales se almacenan en servidores de terceros. Los tipos comunes de empresas en este modelo son las pequeñas y medianas empresas relativamente flexibles.
Dado que la red, la base de datos y el servidor de aplicaciones del sistema de oficina en la nube (SaaS o APP) son operados y administrados por el operador de la plataforma, el operador del sistema de oficina en la nube constituye un operador de red y, por lo general, Brinda servicios a SaaS y APP Responsable de la seguridad de la operación de la red y la seguridad de la información.
En la práctica, los operadores de plataformas transferirán algunas obligaciones de supervisión de la seguridad de la red a los usuarios corporativos de manera contractual a través de acuerdos de usuario y otros textos legales, como exigir a los usuarios corporativos que respeten estrictamente las reglas de uso de la cuenta y exigir a los usuarios corporativos to It y sus empleados son responsables del contenido de la información cargada en la plataforma.
(3) Sistema integral
Este tipo de sistema se implementa en servidores propios y servidores de terceros. Integra sus propios sistemas y la oficina en la nube. No está totalmente controlado por Enterprise. El control lo utilizan principalmente empresas multinacionales que necesitan configurar servidores locales en varias ubicaciones.
Los proveedores de sistemas de oficina en la nube y las propias empresas pueden constituir operadores de red. Deben tomar los sistemas de red que operan y administran como límites y asumir las correspondientes responsabilidades de seguridad de la red que operan.
Para las empresas, para aclarar los límites de sus responsabilidades con los operadores de plataformas, primero deben confirmar qué "redes" son propiedad exclusiva de la empresa o están administradas por ella. En el escenario del trabajo remoto, las empresas deben considerar una variedad de factores para una identificación integral, y el análisis incluye, entre otros, lo siguiente:
Si los servidores, terminales y equipos de red del sistema de oficina son propiedad o administrado por la empresa y sus empleados;
Si la empresa tiene los derechos de administrador más altos para el sistema de oficina utilizado por la empresa;
Si los datos generados durante la operación de la El sistema de Office se almacena en servidores propiedad de la empresa o administrados por ella;
Si la empresa y el operador de la plataforma tienen un acuerdo claro sobre los derechos y derechos de gestión del sistema de Office o los datos relacionados, etc.
Por supuesto, considerando la complejidad y diversidad de la construcción del sistema, los operadores de plataformas y las empresas inevitablemente pueden administrar juntos el mismo sistema de red en un sistema de oficina colaborativo remoto integral. Acepte responsabilidades de seguridad como operador de red. Sin embargo, las empresas aún deben estipular mediante contratos que fijen en la medida de lo posible las respectivas responsabilidades de gestión de ambas partes en el sistema de red y la propiedad del sistema de red. Por lo tanto, en el caso de gestionar y operar conjuntamente una plataforma de servicios de oficina colaborativa remota, la empresa y el operador de la plataforma deben aclarar en el acuerdo de usuario los módulos del sistema que ambas partes gestionan y operan, y la red de los módulos del sistema que cada uno gestiona. Responsabilidades de seguridad y propiedad de la plataforma.
3. Problemas de seguridad de la red y sugerencias de respuesta relacionados con el trabajo remoto
A continuación, revisaremos algunos incidentes recientes de ciberseguridad relacionados con el trabajo remoto y discutiremos los problemas de seguridad de la red involucrados. Realizar una breve evaluación de riesgos y brindar sugerencias de respuesta preliminares para la empresa.
1. El aumento en el tráfico de usuarios provocó que la plataforma de la oficina remota "colapsara en un corto período de tiempo". ¿Debe el operador de la plataforma asumir la responsabilidad de la seguridad de la operación de la red?
Reseña del evento:
El 3 de febrero de 2020, como primer día hábil después del feriado del Festival de Primavera, la mayoría de las empresas exigieron que los empleados trabajaran desde casa.
Aunque los operadores de plataforma de cada sistema de oficina remota han preparado planes de respuesta con anticipación, la gran cantidad de demandas de respuesta simultáneas ha superado las expectativas de cada operador de plataforma y muchos tipos de software de oficina en línea han experimentado "retrasos en el envío de información" a corto plazo. ”, “congelación de video”, “caída y salida del sistema” y otras fallas [6]. Después de la falla, el operador de la plataforma rápidamente tomó medidas como limitar la corriente de la red y expandir el servidor para mejorar la capacidad de soporte de carga y la estabilidad de la plataforma. Al mismo tiempo, la falla también provocó un cierto grado de desvío. Al final, aunque todas las plataformas de oficinas remotas reanudaron sus operaciones normales en un corto período de tiempo, aún recibieron quejas de muchos usuarios.
Evaluación de riesgos:
De acuerdo con lo establecido en el artículo 22 de la "Ley de Ciberseguridad" (en adelante, la "Ley de Ciberseguridad"), los productos y servicios de red deben cumplir con los requisitos obligatorios de las normas nacionales pertinentes. Los proveedores de productos y servicios de red no pueden instalar programas maliciosos; cuando descubren que sus productos y servicios de red tienen fallas de seguridad, vulnerabilidades y otros riesgos, deben tomar medidas correctivas de inmediato, notificar rápidamente a los usuarios de acuerdo con las regulaciones e informar. a las autoridades competentes pertinentes. Los proveedores de productos y servicios de red continuarán brindando mantenimiento de seguridad para sus productos y servicios; no podrán terminar la prestación de mantenimiento de seguridad dentro del período especificado por la reglamentación o acordado por las partes.
El operador de la plataforma de oficina remota, como operador de la plataforma y las redes relacionadas, debe ser responsable de la seguridad operativa de la red. Para fallas del sistema a corto plazo, es necesario juzgar exhaustivamente si el operador de la plataforma debe asumir la responsabilidad legal correspondiente o la responsabilidad por incumplimiento de contrato en función de factores como la causa de la falla, las consecuencias dañinas de la falla y las estipulaciones de responsabilidad. en el acuerdo de usuario.
En cuanto al incidente anterior, según la información que obtuvimos de los canales públicos, aunque varias plataformas de oficina en la nube experimentaron fallas de respuesta, lo que causó inconvenientes a los usuarios cuando trabajaban de forma remota, la plataforma en sí no estuvo expuesta. riesgos obvios, como fallas de seguridad y lagunas, y no existen consecuencias dañinas sustanciales, como la fuga de datos de la red. Por lo tanto, cada plataforma probablemente no asumirá responsabilidad legal por la seguridad de la red.
Sugerencias de respuesta:
Durante el período especial de la epidemia, los productos principales de la plataforma de oficina remota son gratuitos y abiertos, por lo que cada plataforma tendrá una gran cantidad de nuevos clientes. Para los operadores de plataformas, unos buenos planes de emergencia y una mejor experiencia de usuario definitivamente ayudarán a que la plataforma retenga a estos nuevos grupos de usuarios una vez que termine la epidemia.
Para reducir aún más los riesgos de los operadores de plataformas y mejorar la experiencia del usuario, recomendamos que los operadores de plataformas puedan:
Tratar los aumentos repentinos en el tráfico de usuarios como emergencias de la plataforma y formular los planes de emergencia correspondientes. Por ejemplo, en el plan de emergencia, aclare las condiciones desencadenantes de eventos de aumento de tráfico, las condiciones para la expansión del servidor, la implementación de servidores de respaldo temporales, etc.;
Monitoreo en tiempo real del tráfico de usuarios y asignación oportuna de la plataforma recursos;
Establecer un mecanismo de notificación de usuario y una plantilla de voz para informar rápidamente a los usuarios de los motivos de los retrasos en la respuesta del sistema y el tiempo de recuperación esperado;
Intentar aclarar estos problemas en los acuerdos de usuario u otros Textos legales firmados con clientes. Acuerdos de responsabilidad por retrasos o caídas del sistema.
2. En un entorno de oficina remota, los ataques de phishing con temas epidémicos ocurren con frecuencia. ¿Cómo pueden las empresas reducir el riesgo de ataques a redes externas?
Revisión del incidente:
Durante la epidemia, una empresa de ciberseguridad descubrió que algunos grupos de piratas informáticos extranjeros estaban utilizando correos electrónicos con temas de coronavirus para enviar malware, phishing y actividades fraudulentas. Por ejemplo, las organizaciones de piratas informáticos disfrazan sus identidades (como la Comisión Nacional de Salud) y utilizan información relacionada con la "prevención y el control de epidemias" como cebo para lanzar ataques de phishing. Estos ataques de phishing por correo electrónico pretenden ser fuentes confiables y el contenido de los correos electrónicos está estrechamente relacionado con eventos candentes que preocupan al público en general, lo cual es extremadamente engañoso. Una vez que el usuario hace clic, el host puede ser controlado y la información y los sistemas importantes pueden ser robados y destruidos [7].
Evaluación de riesgos:
De acuerdo con lo dispuesto en los artículos 21 y 25 de la Ley de Ciberseguridad, los operadores de red deberán realizar las siguientes obligaciones de protección de la seguridad de acuerdo con los requisitos del nivel de seguridad de la red. sistema de protección, Para proteger la red de interferencias, destrucción o acceso no autorizado, y para evitar que los datos de la red sean filtrados, robados o manipulados: (1) Desarrollar sistemas internos de gestión de seguridad y procedimientos operativos, identificar a la persona a cargo de la seguridad de la red, e implementar responsabilidades de protección de la seguridad de la red; (2)) Tomar medidas técnicas para prevenir virus informáticos, ataques a la red, intrusiones en la red y otros comportamientos que pongan en peligro la seguridad de la red; (3) Tomar medidas técnicas para monitorear y registrar el estado operativo de la red y los eventos de seguridad de la red; y conservar los registros de red relevantes durante no menos de seis meses de acuerdo con las regulaciones (4) Tomar medidas tales como clasificación de datos, copia de seguridad y cifrado de datos importantes; (5) Otras obligaciones estipuladas por las leyes y regulaciones administrativas; Al mismo tiempo, los operadores de red también deben formular planes de contingencia para incidentes de seguridad de la red y abordar con prontitud los riesgos de seguridad como vulnerabilidades del sistema, virus informáticos, ataques a la red e intrusiones en la red, cuando ocurre un incidente que pone en peligro la seguridad de la red, activar inmediatamente la contingencia; planificar y tomar las medidas correctivas correspondientes, e informar a las autoridades competentes pertinentes de conformidad con la normativa.
La realización del trabajo remoto significa que la intranet empresarial debe responder a las solicitudes de acceso a la red externa desde los terminales móviles de los empleados. Los empleados se encuentran en diferentes entornos de seguridad de la red, ya sea que accedan a la red o al propio terminal móvil, es más probable que se conviertan en blanco de ataques a la red. Por un lado, las redes no confiables, como WiFi públicas y puntos de acceso a redes, pueden servir como puntos de acceso a la red para los empleados. Estas redes pueden no tener protección de seguridad y contener muchas vulnerabilidades de red comunes que son fácilmente atacadas, lo que facilita que las organizaciones cibercriminales invadan la red. Por otro lado, los dispositivos terminales móviles de algunos empleados pueden instalar aplicaciones o complementos de red con programas maliciosos. Los empleados también pueden hacer clic en correos electrónicos de ataques de phishing disfrazados o correos electrónicos de extorsión si son negligentes, lo que amenaza gravemente la seguridad interna de la empresa. .
En caso de incidentes de seguridad de la red, como virus informáticos o ataques a la red externa, aunque la empresa atacada también sea una víctima, si la empresa no toma las medidas técnicas necesarias con antelación de acuerdo con los requisitos de La Ley de Ciberseguridad y las leyes relacionadas, si las medidas preventivas y los planes de respuesta de emergencia conducen a la fuga, robo o manipulación de datos de la red, causando pérdidas a los usuarios empresariales, es posible que aún deban asumir la responsabilidad legal correspondiente.
Sugerencias de respuesta:
Para las empresas, para cumplir con las obligaciones de seguridad de la red estipuladas en la "Ley de Ciberseguridad" y las leyes relacionadas, recomendamos que las empresas puedan comenzar desde la seguridad de la red. mecanismo de gestión de incidentes, revisar y mejorar la seguridad de las redes de oficinas en los niveles de seguridad de los equipos terminales móviles y seguridad de la transmisión de datos:
(1) Las empresas deben formular políticas apropiadas basadas en la situación real de sus redes operativas o plataformas y la conciencia general de seguridad de la red de los empleados. Mecanismos de gestión de incidentes de seguridad cibernética, que incluyen, entre otros:
Desarrollar planes de emergencia para incidentes de seguridad cibernética, incluidas las fugas de datos;
Establecer. estructuras organizativas y tecnologías para responder a incidentes de seguridad cibernética Medidas;
Monitoreo en tiempo real de los últimos sitios web de phishing e incidentes de correo electrónico de extorsión;
Establecer un mecanismo de notificación eficaz con todos los empleados, incluidos pero no limitado a métodos de notificación como correo electrónico y WeChat corporativo;
Desarrollar un plan de capacitación en seguridad de la información que sea adecuado para los empleados;
Establecer medidas apropiadas de recompensa y castigo para exigir a los empleados que cumplan estrictamente Respetar la política de seguridad de la información de la empresa.
(2) Las empresas deben tomar las siguientes medidas basadas en los activos de información existentes para garantizar aún más la seguridad de los equipos terminales móviles:
Desarrollar diferentes equipos terminales móviles según el nivel de autoridad de los empleados Plan de gestión de seguridad, por ejemplo, los altos directivos o el personal con mayores permisos de base de datos solo pueden utilizar equipos terminales móviles configurados por la empresa para uso de oficina.
Desarrollar un sistema de gestión para equipos terminales móviles para uso de oficina y garantizar; que los empleados utilicen su propio equipo terminal móvil para uso en la oficina. Presentar requisitos de gestión claros para llevar el equipo al trabajo;
Actualizar y escanear periódicamente las vulnerabilidades del sistema de los equipos terminales móviles específicos de la oficina;
En el equipo terminal, verificar la identidad del terminal. Autenticación de acceso y protección de seguridad;
Céntrese en monitorear las entradas de acceso remoto y adopte una estrategia de análisis de seguridad más activa cuando se sospechen de ataques o virus a la seguridad de la red. descubierto, se deben tomar medidas preventivas de manera oportuna y se debe contactar a la información de la empresa de manera oportuna Equipo de seguridad;
Realizar capacitación especial para los empleados sobre los riesgos de seguridad de la información de la oficina móvil.
(3) Para garantizar la seguridad de la transmisión de datos, las medidas de seguridad que las empresas pueden tomar incluyen, entre otras:
Utilizar métodos de transmisión cifrados como HTTPS para garantizar la seguridad de transmisión de datos. Ya sea que se trate de interacción de datos entre terminales móviles y la intranet, o interacción de datos entre terminales móviles, es recomendable adoptar HTTPS y otros métodos de cifrado para los enlaces de comunicación de datos para evitar la fuga de datos durante la transmisión.
Implemente una red privada virtual (VPN) y los empleados podrán conectarse a la intranet a través de VPN. Vale la pena señalar que en China, los servicios VPN (especialmente los VPN transfronterizos) están sujetos a supervisión de telecomunicaciones, y solo las empresas con calificaciones de servicios VPN pueden proporcionar servicios VPN. Cuando las empresas de comercio exterior y las empresas multinacionales necesiten utilizar líneas dedicadas u otros medios de conexión en red transfronteriza para uso de sus propias oficinas, deben alquilarlas a un operador básico que posea la correspondiente licencia comercial de telecomunicaciones.
3. Los empleados internos ingresaron a la intranet de la empresa a través de VPN y destruyeron la base de datos. ¿Cómo deberían las empresas prevenir a los "iniciados" y garantizar la seguridad de los datos?
Reseña del evento:
En la tarde del 23 de febrero, el servicio empresarial SaaS de Weimeng Group, un proveedor líder de servicios WeChat, falló repentinamente, el sistema falló y el entorno de producción y Los datos resultaron gravemente dañados, lo que provocó que millones de comerciantes no pudieran operar sus negocios sin problemas y sufrieran grandes pérdidas. Según un comunicado emitido por Weimob al mediodía del día 25, el accidente fue causado por factores provocados por el hombre. He, un miembro del personal central de operación y mantenimiento del departamento de operación y mantenimiento del Centro de I+D de Weimob, inició sesión en el trampolín de la intranet de la empresa. una VPN personal a las 18:56 del 23 de febrero, destruyendo maliciosamente el entorno de producción en línea de Weimeng debido a razones personales espirituales, de vida y otras. Actualmente, se encuentra bajo detención penal por parte de la Oficina de Seguridad Pública del Distrito Baoshan de Shanghai y ha admitido el crimen [8]. Debido al grave daño a la base de datos, Weimob no pudo brindar servicios de soporte de comercio electrónico a sus comerciantes cooperativos durante mucho tiempo. El accidente aquí inevitablemente traerá pérdidas económicas directas a los comerciantes cooperativos. Como empresa que cotiza en la bolsa de valores de Hong Kong, el precio de las acciones de Weimeng también cayó drásticamente después del accidente.
Se puede ver en el anuncio de Weimeng que una de las condiciones que contribuyeron al incidente de eliminación de la base de datos de empleados de Weimob fue que "el empleado, como personal central de operación y mantenimiento del departamento de operación y mantenimiento, inició sesión en el trampolín de la intranet de la empresa a través de una VPN personal y tiene la autoridad para eliminar la base de datos". Este incidente es digno de reflexión e introspección tanto para los proveedores de servicios SaaS como para los usuarios empresariales comunes.
Evaluación de riesgos:
De acuerdo con lo dispuesto en los artículos 21 y 25 de la Ley de Ciberseguridad, los operadores de red deberán realizar las siguientes obligaciones de protección de la seguridad de acuerdo con los requisitos del nivel de seguridad de la red. sistema de protección, Para proteger la red de interferencias, destrucción o acceso no autorizado, y para evitar que los datos de la red sean filtrados, robados o manipulados: (1) Desarrollar sistemas internos de gestión de seguridad y procedimientos operativos, identificar a la persona a cargo de la seguridad de la red, e implementar responsabilidades de protección de la seguridad de la red; (2)) Tomar medidas técnicas para prevenir virus informáticos, ataques a la red, intrusiones en la red y otros comportamientos que pongan en peligro la seguridad de la red; (3) Tomar medidas técnicas para monitorear y registrar el estado operativo de la red y los eventos de seguridad de la red; y conservar los registros de red relevantes durante no menos de seis meses de acuerdo con las regulaciones (4) Tomar medidas tales como clasificación de datos, copia de seguridad y cifrado de datos importantes; (5) Otras obligaciones estipuladas por las leyes y regulaciones administrativas; Al mismo tiempo, los operadores de red también deben formular planes de contingencia para incidentes de seguridad de la red y abordar con prontitud los riesgos de seguridad como vulnerabilidades del sistema, virus informáticos, ataques a la red e intrusiones en la red, cuando ocurre un incidente que pone en peligro la seguridad de la red, activar inmediatamente la contingencia; planificar y tomar las medidas correctivas correspondientes, e informar a las autoridades competentes pertinentes de conformidad con la normativa.
La filtración interna de empleados siempre ha sido una de las principales causas de accidentes de filtración de datos corporativos, y también es un patrón de comportamiento típico de la actual "infracción criminal de la información personal de los ciudadanos". En un entorno de trabajo remoto, las empresas deben proporcionar a la mayoría de los empleados acceso a intranets y bases de datos relacionadas, lo que aumenta aún más el riesgo de fuga de datos o incluso destrucción.
A diferencia de la "caída a corto plazo" del sistema causada por el aumento en el tráfico de usuarios, la ocurrencia del incidente de "eliminación de la base de datos de Weimeng" puede estar directamente relacionada con la gestión interna de seguridad de la información de la empresa. Si los comerciantes cooperativos de la plataforma incurren en pérdidas económicas directas, no se descarta que el operador de la plataforma deba asumir responsabilidades legales relacionadas con la seguridad de la red.
Sugerencias de respuesta:
Para evitar eficazmente que los empleados dañen y filtren maliciosamente datos de la empresa y garantizar la seguridad de los datos de la empresa, recomendamos que las empresas tomen las siguientes medidas preventivas:
Desarrollar un sistema de gestión para oficinas remotas u oficinas móviles, distinguir entre dispositivos móviles específicos de la oficina y dispositivos móviles propiedad de los empleados, y llevar a cabo una gestión clasificada, incluida, entre otras, la gestión estricta de los permisos de lectura y escritura de la oficina. dispositivos móviles específicos y los permisos del sistema de los dispositivos móviles propiedad de los empleados, especialmente los permisos de gestión de bases de datos empresariales;
Establecer un sistema de gestión de datos jerárquico, por ejemplo, se deben formular permisos de acceso y reescritura adecuados en función de. sensibilidad de los datos en la base de datos central, se debe prohibir a los empleados iniciar sesión de forma remota Operar o procesar de cierta manera;
Evaluar, revisar y restringir el acceso a los datos y los derechos de procesamiento de los empleados. necesidades laborales de los empleados y el principio de necesidad. Por ejemplo, los empleados tienen prohibido descargar datos a cualquier terminal móvil propiedad del usuario;
Establecer un plan de gestión de emergencia para la fuga de datos, incluido un mecanismo de seguimiento y notificación. para incidentes de seguridad, y un plan de respuesta ante incidentes de seguridad;
Desarrollar especificaciones operativas para el trabajo remoto y especificaciones de gestión de documentos y materiales de uso, proceso de aprobación para la instalación de software de aplicaciones, etc.;
Establecer un equipo con capacidades de servicio de seguridad remota para que sea responsable del monitoreo en tiempo real de las operaciones de los empleados en bases de datos centrales o datos confidenciales, y la seguridad de la base de datos;
Fortalecer la educación de concientización sobre seguridad en el trabajo remoto de los empleados. .
4. Durante la epidemia, por el bien del interés público, las empresas recopilan en línea información de los empleados relacionada con la epidemia a través del sistema. ¿Necesitan obtener la autorización de los empleados? ¿Qué se debe hacer con la información de salud de los empleados recopilada una vez terminada la epidemia?
Ejemplo de escenario:
Durante el trabajo remoto, para fortalecer la gestión laboral, garantizar la salud y seguridad del espacio de oficinas de la empresa y formular medidas pertinentes de prevención y control de epidemias, la empresa Continuar recopilando información diversa de los empleados relacionada con epidemias similares, incluido el estado de salud de las personas y miembros de la familia, ubicación reciente, dirección actual, horario de vuelos o trenes, etc. Los métodos de recopilación incluyen correos electrónicos, informes del sistema OA, cuestionarios, etc. La empresa elaborará estadísticas y controlará la información recopilada y, cuando sea necesario, informará de la situación general de los empleados de la empresa a las autoridades reguladoras. Si se descubre un caso sospechoso, la empresa lo informará de inmediato a la agencia de prevención y control de enfermedades o institución médica correspondiente.
Evaluación de riesgos:
El 20 de enero de 2020, la neumonía causada por el nuevo coronavirus fue incluida en la “Ley de la República Popular China sobre Prevención y Control de Enfermedades Infecciosas” por la Comisión Nacional de Salud enfermedades infecciosas Clase B, y tomar medidas de prevención y control de enfermedades infecciosas Clase A. El artículo 31 de la "Ley de la República Popular China sobre Prevención y Control de Enfermedades Infecciosas" estipula que cuando cualquier unidad o individuo descubre a un paciente o paciente sospechoso con una enfermedad infecciosa, debe informar de inmediato al centro de prevención y control de enfermedades cercano. agencia o institución médica.
El 9 de febrero, la Administración del Ciberespacio de China emitió el "Aviso sobre la protección de la información personal y el uso de Big Data para apoyar el trabajo conjunto de prevención y control" (en adelante, el "Aviso que otorga importancia"). la protección de información personal, además del departamento de salud del Consejo de Estado de conformidad con la “Ley de Ciberseguridad de la República Popular China”, la “Ley de la República Popular China sobre Prevención y Control de Enfermedades Infecciosas”, y la "Reglamento sobre respuesta a emergencias de salud pública" 》 Excepto las instituciones autorizadas por, cualquier otra unidad o individuo no puede recopilar ni utilizar información personal sin el consentimiento de la persona que se recopila por motivos de prevención y control de epidemias o prevención y control de enfermedades. . Si las leyes y reglamentos administrativos dispusieran lo contrario, prevalecerán tales disposiciones.
Varias regiones también han emitido sucesivamente documentos normativos para la prevención de epidemias, tomando a Beijing como ejemplo, según el "Comité Permanente del Congreso Popular Municipal de Beijing para la prevención y el control de la epidemia de neumonía causada por la infección por el nuevo coronavirus". con la Ley, Ganar Resueltamente la Prevención y el Control de la Epidemia" "Decisión sobre la Guerra de Resistencia", las agencias, empresas, instituciones, grupos sociales y otras organizaciones dentro de la región administrativa de esta ciudad harán un buen trabajo en la prevención de epidemias y control de sus propias unidades de acuerdo con la ley, establecer y mejorar el sistema de responsabilidad y el sistema de gestión para el trabajo de prevención y control, y equiparse con los elementos e instalaciones de protección necesarios, fortalecer el control de la salud del personal de la unidad, instar a quienes regresan a Beijing de áreas gravemente afectadas a someterse a observación médica o a observación domiciliaria de acuerdo con las regulaciones gubernamentales pertinentes, e informar cualquier situación anormal de manera oportuna según sea necesario y tomar las medidas de prevención y control correspondientes. De acuerdo con los requisitos del gobierno popular local, organizamos activamente personal para participar en el trabajo de prevención y control de epidemias.
Con base en lo dispuesto en el "Aviso" y las leyes, reglamentos y documentos normativos antes mencionados, entendemos que durante el período epidémico, si una empresa de conformidad con la "Ley de la República Popular de China sobre la Prevención y el Control de Enfermedades Infecciosas" y la "Emergencia Pública" ***El Departamento de Salud del Consejo de Estado ha autorizado los Reglamentos de Emergencia para Incidentes de Salud. Dentro del alcance de la autorización, las empresas deberían poder recopilar información de salud relacionada a la epidemia de su propio personal sin obtener autorización de los empleados. Si no se pueden cumplir las excepciones anteriores, las empresas aún deben cumplir con las disposiciones de la Ley de Ciberseguridad y obtener la autorización y el consentimiento del usuario antes de la recopilación.
El "Aviso" estipula claramente que la información personal recopilada para la prevención y el control de epidemias y la prevención y el control de enfermedades no se utilizará para otros fines. Ninguna unidad o individuo podrá divulgar información personal como nombre, edad, número de identificación, número de teléfono, domicilio, etc. sin el consentimiento de la persona que se recopila, excepto cuando sea necesario para trabajos conjuntos de prevención y control y después de la desensibilización. Las instituciones que recopilan o conservan información personal deben ser responsables de la protección de la seguridad de la información personal y adoptar estrictas medidas de gestión y protección técnica para evitar que sea robada o filtrada. Para obtener más información, consulte nuestro artículo reciente "Interpretación del aviso de la Administración del Ciberespacio de China sobre la protección de la información personal y el uso de Big Data para apoyar el trabajo conjunto de prevención y control de epidemias"
Sugerencias de respuesta:
En situaciones remotas Durante este período, si las empresas desean recopilar información personal de los empleados relacionada con la epidemia a través de sistemas de trabajo remoto, recomendamos que las empresas:
Desarrollar una declaración de privacidad o un texto de notificación de autorización del usuario. y obtener información de los empleados antes de que envíen información relevante por primera vez. Autorización y consentimiento;
Seguir el principio de necesidad mínima y formular estrategias de recopilación de información, incluido el tipo, la frecuencia y la granularidad de la información recopilada;
Seguir el principio de limitación de propósito y llevar a cabo prevención y control de epidemias sobre la información recopilada. La información personal relevante debe administrarse por separado para evitar la fusión con la información de los empleados recopilada previamente por la empresa;
Al mostrar el estado de salud general de la empresa o revelar casos sospechosos, se debe desensibilizar la información relevante de los empleados;
Desarrollar un mecanismo de gestión de eliminación de información para eliminar rápidamente la información relevante de los empleados después de cumplir con los propósitos de prevención y control. ;
Desarrollar un mecanismo de protección y gestión de información específico para recopilar la información epidémica recopilada de los empleados. La información personal relevante está protegida como información personal confidencial y los derechos de acceso de los empleados están estrictamente controlados para evitar la fuga de datos.
5. Durante el trabajo remoto, para supervisar y gestionar eficazmente a los empleados, las empresas esperan monitorear adecuadamente a los empleados. ¿Cómo pueden lograr el cumplimiento legal?
Ejemplo de escenario:
Durante el trabajo remoto, para supervisar y gestionar eficazmente a los empleados, la empresa ha formulado medidas como informes periódicos, inicios de sesión y monitoreo por vídeo del estado del trabajo. de acuerdo con su propia situación, y requiere que los empleados tomen la iniciativa de cooperar para lograr el propósito de monitoreo de la oficina remota. Cuando los empleados completan informes y se registran a través del sistema, es probable que envíen repetidamente su nombre, número de teléfono, dirección de correo electrónico, ciudad y otra información personal básica para verificar la identidad del empleado.
Al mismo tiempo, cuando se utiliza la aplicación o el sistema OA remoto, el sistema de la oficina también registrará automáticamente el registro de inicio de sesión del empleado, registrando datos como la dirección IP, la ubicación geográfica de inicio de sesión, la información básica del usuario y la comunicación diaria. información y otros datos. Además, si los empleados utilizan equipos terminales de oficina o software de máquina virtual de terminal remota asignados por la empresa para realizar el trabajo, el equipo terminal y el software de la máquina virtual pueden tener complementos o software de monitoreo preinstalados. Cuando se cumplen ciertas condiciones, el Se registrarán las actividades de los empleados en el equipo terminal, registros de comportamiento de operación, registros de acceso a Internet, etc.
Evaluación de riesgos:
En el ejemplo de escenario anterior, la empresa recopilará la información personal de los empleados a través de dos métodos: 1) los empleados la proporcionan activamente y 2) el software de oficina automáticamente o activa la recopilación. , que constituye una conducta de recopilación de información personal conforme a la Ley de Ciberseguridad. Las empresas deben cumplir con los requisitos de la Ley de Ciberseguridad y las leyes y reglamentos pertinentes, seguir los principios de legalidad, legitimidad y necesidad, divulgar las reglas de recopilación y uso, establecer claramente el propósito, método y alcance de la recopilación y el uso de información, y obtener el consentimiento. de empleados.
Si el uso de software o complementos de videovigilancia y monitoreo de sistemas se realiza de manera incorrecta y sin la autorización previa de los empleados, es probable que infrinja la privacidad de los empleados, y las empresas deben prestar especial atención a esto.
Sugerencias de respuesta:
Durante el trabajo remoto, especialmente cuando los empleados aún se están adaptando a este modo de trabajo, es legítimo que las empresas tomen medidas de supervisión y gestión adecuadas en función de sus propias circunstancias. sexo.
Recomendamos que las empresas tomen las siguientes medidas para garantizar el cumplimiento legal de las conductas de gestión y monitoreo:
Evaluar si el contrato original del empleado de la empresa o la carta de autorización de recopilación de información personal del empleado pueden cumplir con los requisitos de monitoreo para el trabajo remoto, si existe Si hay fallas en la autorización, los métodos para obtener autorización complementaria deben diseñarse en función de la situación real de la empresa, incluidas ventanas emergentes de texto de notificación de autorización, notificaciones por correo electrónico, etc.;
Evaluar la recopilación de los datos de los empleados. información personal elemento por elemento según la necesidad del escenario de recopilación. Por ejemplo, si hay una recopilación repetida de información, si es necesario monitorear el estado de trabajo a través de video y si la frecuencia del monitoreo es apropiada;
Diseñar una estrategia de recopilación de información separada para el software de monitoreo del sistema y el enchufe. -ins y garantizar la privacidad de los empleados Equilibre la protección con la seguridad de los datos de la empresa;
Respete el principio de limitación de finalidad y no utilice los datos recopilados de los empleados para fines distintos del seguimiento del trabajo sin la autorización del empleado.
IV.Resumen
En esta epidemia, la tecnología digital representada por big data, inteligencia artificial, computación en la nube e Internet móvil ha jugado un papel importante en la prevención y el control de la epidemia, y lo ha hecho. También impulsó aún más el desarrollo de modelos de negocio como oficina remota y operaciones en línea. Esto no es solo el resultado de la epidemia que obliga a acelerar la transformación digital e inteligente, sino que también representa una nueva productividad y una nueva dirección de desarrollo en el futuro [9]. Después de este "repentino auge del teletrabajo a nivel nacional", el teletrabajo y las operaciones en línea se volverán cada vez más populares, y las oficinas en línea y fuera de línea estarán mejor unificadas para mejorar verdaderamente la eficiencia del trabajo.
Acelerar la actualización digital e inteligente también es una necesidad urgente para promover la modernización del sistema de gobernanza nacional y las capacidades de gobernanza. La Cuarta Sesión Plenaria del XIX Comité Central del Partido Comunista de China tomó importantes medidas para promover la modernización del sistema de gobernanza nacional y las capacidades de gobernanza, enfatizando la necesidad de promover la construcción de un gobierno digital, fortalecer el intercambio de datos y establecer y mejorar el uso de medios técnicos como Internet, big data e inteligencia artificial con fines administrativos. Reglas del sistema [10].
Para acelerar constantemente el desarrollo de la inteligencia digital y ajustarse al concepto de gobernanza gubernamental moderna, las empresas deben clasificar y mejorar de manera integral las estrategias existentes de seguridad de red y cumplimiento de datos para prepararse para la nueva era de gestión inteligente. Esté preparado.