在冠狀病毒疫情蔓延期間,首席信息安全官將不得不應對新的安全挑戰。一些行業專家在日前召開的2021年RSA大會信息安全大會(RSA)上指出,正如許多安全工作者感到疲倦和壓力一樣,重新配置的工作場所和員工健康考慮以及增加的網絡威脅讓很多企業的安全團隊難以應對。
思科公司首席信息安全官、俄亥俄州立大學的前首席信息安全官Helen Patton說,“當冠狀病毒疫情來襲時,我們一直沒有安全感。我們在安全方面感受到很大的壓力,以至于感到過度勞累。”
更加注重工作和生活的平衡
Patton繼續說道,“18個月以來,我們的安全部門員工一直在超負荷工作,而且看不到盡頭。我認為我們必須更好地對意外事件進行規劃,這意味著需要為團隊做好計劃,并不會讓他們崩潰。”
他指出,增加的工作量確實有一些好處,因此也得到了更好的結果,但只是對工作與生活平衡的一種欣賞。
許多企業在疫情期間加強了工作,通過提供額外的福利和激勵來提高員工士氣,以減輕安全團隊增加的工作量。Markel公司首席信息安全官和首席流程官Patti Titus說。“我們實際上允許人們出于心理健康原因回到企業辦公室。我們在考慮如何在員工遠程工作的情況下與他們保持密切的聯系,我們更加相信團結就是力量。”
Northwestern Mutual公司首席信息安全官Laura Deaner認為安全人員如今被推到了邊緣,但發現在疫情危機期間培養的社區意識令人欣慰。她說,“很高興看到大家團結在一起。”
員工的工作地點具有更大靈活性
盡管許多員工正在返回企業辦公室,但這些工作環境與以前有所不同。微軟公司副總裁兼首席信息安全官Bret Arsenault表示:“在疫情發生之后,我們很快就實施了遠程工作模式。在72小時之內,我們公司遠程工作的員工從10%上升到97%。我們作為科技行業的企業非常幸運,能夠在疫情持續蔓延的大部分時間里繼續工作。”
然而現在,健康方面的考慮正在重塑員工記憶中的環境。當我們讓員工重返企業辦公場所時,必須面臨保持社交遠離、清潔環境衛生以及所有其他沒有規劃的事情。
例如需要更換或新增辦公室等工作場景,并使用技術來做到這一點,并確保每間辦公室少于四名員工。我們希望在這些辦公空間確保維護每個員工的安全和隱私。這是與以往截然不同的工作場所。”
現在很多員工已經適應了在家遠程工作的環境,并不是每個員工都會重返企業辦公室,這使得企業召開會議和其他聚會更具挑戰性。Arsenault說,“我們看到員工的工作時間更加多樣化。由于更加分散以及個人原因,很多員工的工作時間并不一致。”
收集和保護健康數據的新要求
除了改造辦公室環境以適應最佳健康實踐之外,企業現在將從員工那里收集大量的健康信息。收集這些數據需要首席信息安全官必須將其納入其工作中的新級別的安全保護和隱私實踐。Paul Hastings LLP公司合伙人Aaron Charfoos表示:“它對企業管理人員可能希望從員工那里獲得的信息提出了非常高的期望。試圖收集更多傳統上被認為是私人的信息將是我們長期需要做的事情。”
Charfoos指出,主要面臨的挑戰將圍繞確定真正需要的信息的范圍、如何最好地收集和存儲信息,以及如何應用國家和地區關于冠狀病毒陽性檢測結果報告和接觸者追蹤的規定。他說,“所有這些都是我們以前不必處理的事情。”
Charfoos表示,76%的企業要求員工在確診新型冠狀病毒肺炎時通知相關人員,53%的企業詢問員工去過哪里。此外,35%的企業詢問了員工家庭成員的健康狀態,而23%的企業在員工上班進入公司大門時對其進行體溫測量。
企業面臨的真正問題是他們需要在多大程度上收集或保留所有這些信息。Charfoos說,“企業需要從員工那里得到這些信息嗎?需要保留這些信息嗎?如果要保留,會保留多久?因為如果一直保留的話,那么本身可能會導致許多問題。除了遵守處理醫療保健數據的聯邦法律(例HIPAA、健康保險流通和責任法案)之外,確保關注承諾保護信息的方式也很重要。”
網絡攻擊者加大數據泄露力度
Squire PattonBoggs LLP公司高級助理Ericka Johnson表示,在疫情持續蔓延期間,在家遠程工作的持續盛行使得應對勒索軟件攻擊和其他竊取數據的努力變得更加困難。她說,“冠狀病毒疫情確實增加了我們所看到的網絡攻擊的發生率。我們看到網絡攻擊者現在進行雙重攻擊:在部署勒索軟件攻擊之前泄露數據并加密數據。”
很多企業現在也更容易受到網絡釣魚和社交工程攻擊。Johnson表示,她處理了一個網絡攻擊者冒充一家企業首席執行官進行復雜的房地產交易的案件。他說,“這個網絡攻擊者非常專業,以致于遠程工作的受害者無法分辨。在通常情況下,員工可以直接面見首席執行官,并確認其財務支出情況。因為現在都在開展遠程工作,這些網絡攻擊者使用社交工程進行攻擊要容易得多。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號