对于携带敏感的数据的远程办公人员来说,最好的办法似乎是保护他们的笔记本电脑或者远程台式电脑。但是,最佳做法实际上是正好相反……
1.任何存储数据的电子媒介都必须要有记账政策和程序。数据拥有者应该把数据的管理权限交给监管人,由监管人负责控制访问、保留记录并且使用雇员访问这些数据时的时间戳记录使用这个数据的全部雇员的记录。这个监管人要保证拿到设施外的全部数据都必须经过检查、签字批准拿走并且记账。对于不遵守规定的处理政策应该非常明确和严格,要采取严格的纪律措施,包括对情节严重的采取停职的处罚。
2.对于拿到外边去的存储在任何类型设备或者介质中的任何敏感的数据,如客户数据,都要进行加密。
3.永远不要在笔记本电脑中存储敏感的数据。如果因为不可避免的商务理由必须要用笔记本电脑携带敏感的数据的话,必须要有加强的安全措施,并且要有SafeBoot那样的加密工具。
保证远程办公的安全
对于携带敏感的数据的远程办公人员来说,最好的办法似乎是保护他们的笔记本电脑或者远程台式电脑。但是,最佳做法实际上是正好相反。不要在笔记本电脑中存储任何重要数据,要把数据存储在数据中心,密封在你的公司的防火墙后面。允许远程访问这些数据,但是,仅允许通过虚拟专用网访问,并且永远不要把数据存储在客户端设备上。下面是这样做的几个步骤:
·把全部客户数据和敏感的数据保存在公司防火墙后面坚固的数据库中。在隔离区或者暴露给互联网的任何其它区域不要保留任何数据。禁止把数据下载到便携式设备上或者把这些数据作为电子邮件附件发送到公司外部。除了书面的政策之外,还要建立封锁USB端口等技术控制措施。除了物理上把数据携带到公司外部之外,还有通过电子邮件附件穿过防火墙的“大门”把数据发到公司外部以及在恶意网站上贴出数据等方法。
·把客户数据拆分为一个雇员在一段时间(如一天或者一个星期)内一项具体工作所需要的块。例如,不要提供数百万记录,一个雇员每次工作也许只需要五千或者六千个记录,也许远远低于这个数字。把这些分成块的数据放在专门的服务器上,仅允许有限的访问权限并且仅为任务的需求临时存储这些数据。对这些数据的全部访问都需要作记录和使用时间戳。
·对于访问那些数据要创建临时的特殊组,并且仅根据需要增加雇员的数量。当雇员完成任务时,或者调到不同的地区时,要把他们从组中删除,并且撤销他们的用户ID和口令或者其它访问权限。严格控制这些访问组中人员。只有拥有特殊业务需求的当前的雇员可以拥有成员的身份。对这些组要经常进行审计和评估。
·仅允许虚拟专用网访问托管这些数据的服务器。虚拟专用网根据定义加密任何远程客户机与企业网络之间的通讯。如果不使用虚拟专用网,敏感数据的传输应该总是加密的,如果可能的话,使用专线进行点对点的传输。
·使用网络接入控制系统检查客户机和笔记本电脑,保证这些设备是坚固的、安全的和符合你的信息安全政策的。网络接入控制设备能够通过检查保证客户使用了补丁、进行了最新的更新并且有安装的杀毒软件等保护措施。
·当远程办公的雇员使用这些数据完成工作之后,要保证删除存储在任何远程客户机上的全部数据。
这些简单的步骤都是常识。通过使用你现有的网络资源,你能够在保护你的数据的同时保持你的业务工作更灵活和远程办公更有效。
网友评论