当新冠肺炎(COVID-19)从局部逐渐转为全球性危机,境外移入与社区感染成为组织运营持续管理真实与迫切的危机时,身为首席信息官、首席安全官、运营持续管理负责人,如何带领组织超前部署,然后期定疫情风险等级,依照疫情风险等级轻重,启动办公区域入口体温与消毒管制、上下班时间分流、作业分流(Split Operation)、异地作业(BCP Site)与在家工作(Work from Home)等方式,降低病毒对人员可能的感染与对组织持续运营的影响成为当务之急。
由于包含台湾等亚洲国家,由于国情与文化的不同,对于“在家工作”模式较为陌生,本文指在介绍“在家工作”可能的信息与网络风险,并针对这些风险提供相对应的管理措施。
“在家工作”的偏见
面对疫情急剧升高的心理压力,当许多公司在做出“在家工作”的决定时,并不是出于“选择”,而是出于“被迫”。
多数组织针对运营所设计的流程,经常是针对组织办公位置,设置员工在组织所安排的地点办公。多数的运营持续计划设计,也多选择以组织规划的办公地点(含异地作业地点)为优先考量。
而当面对社区或群聚感染压力时,组织不得不减少人与人之间社交距离,以抑止疫情在公司内部扩散、降低组织内部员工被传染的风险,而优先考量将非关键作业员工(non-critical employees)、业务无需面对客户员工(non-customer facing employees)、以及已怀孕或怀孕及喂哺母乳员工在家工作。
然而在亚洲文化下,多数组织对于开放“在家工作”持保守态度,这是因为高端主管或者人力资源单位所关注的风险,往往放在员工在家工作时的“工作绩效”与“出勤状况”风险,因为高端主管或者人力资源单位担心在缺乏适当管理机制下,员工在家工作容易怠惰,而忽略在家工作时的“信息与网络安全”风险也是一样重要。
适合在家工作群体
“在家工作”应该纳入于组织运营持续计划(Business Continuity Plan,BCP)之中,作为紧急应变的选项之一,首席运营官、安全官、或运营持续管理负责人在研拟组织运营持续计划时,应召集并要求各单位业务代表,根据其业务属性与工作内容,决定那些员工适用于在家工作的选项。
考量适用员工适用范围时,应考量下列(但不限于)几点。首先,考量“非关键作业”且“业务无需面对客户”的员工,非关键作业因产业或业务性质而不同,因此需要由首席运营官、运营持续管理负责人、与业务单位主管讨论与定义。
以人力资源单位为例,人力资源单位内通常有招募任用、教育训练发展、薪酬管理、绩效管理及员工关系管理,主管可依照业务属性进行安排,像是疫情蔓延时,需要扩大社交距离减少人与人接触,会减少面对面的教育训练,因此可考量让负责教育训练发展的同仁在家工作。其次,“已怀孕或怀孕及喂哺母乳”员工,为预防母体接触病毒,而将病毒传染给胎儿或婴儿,基于组织员工关怀立场,怀孕或怀孕及喂哺母乳员工在不影响业务正常运营下,应优先列于“在家工作”清单。
在家工作风险为何?
在家工作应该考量的的风险有下列八类,首先,“员工窃取组织信息”,若缺乏适当管控机制,员工可利用“在家工作”的机会窃取组织信息,例如将敏感的公司资料下载或保存到其个人计算机、携带式存储设备、云计算硬盘等,或将资料发送到个人电子邮件账户。
再者,“未妥善保管组织信息”,员工未妥善保管从办公室携出的打印文件、文件存储设备(如USBU盘、外置式硬盘)、或信息设备(如笔记本、手机);又或于电话讨论公事,未留意周边环境,无意间泄露与业务不相关人士,甚至于资料遗失或外泄。
第三点,“不安全网络连接”,若员工通过不安全的网络连接访问组织系统∕资料,资料传输过程中资料可能被截取,且资料遭到篡改的风险也会提升。
第四点,“不安全交换消息渠道”,员工通过非公司提供或核准批准的通信工具(短信、LINE、WhatsApp等)沟通业务机密敏感资料或非公开信息,资料传输过程中资料可能被截取,而致资料外泄。
第五点,“钓鱼邮件∕钓鱼电话攻击”,疫情蔓延期间,网络钓鱼邮件∕钓鱼电话风险将会升高,因为网络犯罪者伪装成同事、合作伙伴、朋友、家人等用户信任的来源,例如:信息单位、人力资源单位、高端主管、新闻媒体、卫生组织等进行攻击。
钓鱼邮件的寄件主旨则用:冠状病毒疫情、冠状病毒防范方式、拯救疫情慈善活动、信息技术支持等,利用人性的弱点(如信任感,恐惧感,服从权威等),诱使收信者打开邮件,并点击邮件中含恶意程序的附件文件或网络连接,借以窃取用户账号、密码、甚至于组织或个人拥有的敏感信息。而钓鱼电话则是会设法通过社交工程,取得组织内员工联系方式、伪装的工作指示、或要求员工提供组织内部资料等。
第六点,“信息基础建设不足”,既有信息基础架构,没有办法支撑疫情期间,“在家工作”者大幅增加而伴随的远程访问的流量超过负荷,影响系统效率。而为尽快解决基础架构的问题,所提出的解决方案,若没有进行适当的风险与弱点评估,将可能会产生漏洞,引发网络威胁。
第七点,“未妥善评估例外情形”,部分员工因业务性质特殊(如理专、交易室、研发人员等),可接触客户个人资料或组织敏感资料,不应开放在家工作。惟疫情影响,开放此类员工在家工作前,未经妥善评估必要性与相关管控措施有效性,将增加资料外泄风险。
第八点,“员工生产力下降”,员工在家工作因马虎行事、玩忽职守,或擅离工作岗位而影响到工作生产力与工作品质。
如何管理“在家工作”风险?
组织要降低的“在家工作”风险,必须事先规划相对应的减灾方式或管理手段,目前大致可分成下列十点来看。
首先,“以周期为单位”,若组织无法掌握员工动态,将影响运营持续计划有效性,因此在家工作安排至少持续1到2周,而不是当日安排。
另为协助单位主管与运营持续管理单位有效掌握员工动向,建议所有员工应每周定期向单位主管或单位负责人通知次周工作模式(如办公室工作─若分散办公者,请说明地点,在家工作,特休假,病假等),再由各单位汇集整理与运营持续管理单位。另,员工禁止在公共场合(例如咖啡店或大众运输工具)工作,以防止资料遭他人窥视或窃取。
再者,“设置工作目标与完成期限”,亚洲文化对在家工作最大的阻力在于担心员工马虎行事、要玩忽职守、或擅离职守而影响工作生产力与工作品质,要解决这方面的运营风险,于启动在家工作之始,主管应该与员工充分沟通待办事项清单及完成期限,确认员工了解主管期待与要求。而主管应定期(至少一周一次)与团队成员进行电话会议,以了解同事的身体状况与工作进度。
第三点,“使用安全的网络连接”,员工在家应通过信任且安全的网络连接(如家用网络或通过个人手机热点分享)来访问组织内部网络系统或信息,员工禁止使用未受信任的网络(如公开或免费)网络连接访问组织内部网络系统或信息。另,若组织有构建VPN,应限制员工必去通过VPN认证后,使得与组织内部网络连接。
第四点,“文件∕资料传输保护”,员工发送敏感资料文件(例如、人事记录、医疗记录、财务记录等)时,应于传输文件前,依照组织信息与网络安全管理规范要求,对文件进行适当加密保护。
第五点,“资料外泄防护机制”,确保资料外泄防护机制(Data Leakage Protection)已安装于在家作业员工信息设备,防止组织资料或文件于员工在家工作期间,遭员工下载或存储于员工个人存储设备或云计算硬盘。
第六点,“安全性修补与杀毒软件病毒码更新”,确认所有应用程序和操作系统已安装至最新版本安全性修补程序等级,防止黑客利用未修补的弱点进行攻击;另,信息系统杀毒和防恶意软件已更新至最新版本病毒码,已防范病毒或恶意软件攻击。
第七点,“安全消息交换渠道”,要求在家工作员工仅能使用公司提供或核准的通信工具(电话,企业版通信软件,企业电子邮件等)进行沟通;另,公司应提醒员工,勿在通信软件上,谈论或交换组织敏感信息,以避免资料外泄。
第八点,“保持警觉”,防疫期间,电话钓鱼与电子邮件钓鱼邮件攻击会增多,要求员工保持警觉,勿点击来路不明邮件所附连接或文件。对于疑似钓鱼邮件或钓鱼电话,员工应立即通报相关业务单位进行阻挡与调查。另,在家工作,仍应谨守组织桌面净空原则,妥善保存组织提供的信息设备与资料,也避免与家人或朋友讨论工作内容,以避免资料外泄。
第九点,“重申信息与网络安全管理相关要求”,启动在家工作时,组织需要重申在家工作信息与网络安全管理相关要求(范例一),并定期(每1~2周)通过官网、电子报、或电子邮件,向员工沟通防疫期间员工应注意的相关信息(范例二)。
第十点,“在家工作环境符合职场安全与工作需求”,在家工作地点,应符合职场安全要求,例如办公位置需要有充足照明,且桌椅与屏幕高度应该以舒适安全,避免不舒服或不安全的工作环境影响员工效率与健康。若因业务需求,需要进行电话会议时,应确保足够的隔音以避免噪音影响电话会议进行。
疫情带来的运营模式改变
科技的进步,像是互联网,电子邮件,网上会议及视频会议(如Webex、Zoom)、团队协作平台(如Microsoft Teams)等,让工作再也不需要面对面才能完成,身处各地的团队成员,仍然可以通过不同的科技产品一同合作,完成目标。
当新冠肺炎从区域逐渐向全球蔓延,可以看到跨国企业(如Google、Amazon)陆续启动在家工作机制,以将病毒传播的风险降到最低,同时也避免造成运营中断的风险;更甚者,在亚洲部分国家的跨国企业,也已执行在家工作超过一个半月。在家工作已经从运营持续计划上的名词,变成组织运营的一部分。
从这样经验来观察,若组织可以有效的规划在家工作的模式,以及妥善评估在家工作的风险并管理这些风险,事实上,在家工作与员工生产力及工作品质并不会相互冲突。另,过去的历史也告诉我们,每当历史上有重大的事件(如美国911事件或SARS),将会对组织运营模式带来重大的改变与影响,或许,此次全球疫情不只会对全球供应链造成影响,当在家工作可以同时兼顾工作需求、个人居家照顾需求、与运营持续管理需求下,或许未来在家工作会越来越普遍。