每个行业在数据安全风险方面都有自己的特点,这取决于存储和处理的信息类型,以及有多少人可以访问这些信息和使用这些信息的技术。对于医疗保健行业来说,当一家机构遭到入侵时,患者的医疗记录就会成为头条新闻;对于金融机构来说,银行账户详细信息是攻击者追逐的对象。对于律师事务所来说,商业机密、专利、版权详细信息和律师与客户之间的特权通信是最容易受到攻击的。这些行业都无法免受外部攻击或内部威胁。此外,数据泄露通常发生在 泰国手机号码 最意想不到的地方,因为攻击者拥有更复杂的方法,通常通过从其他公司获取一组数据来达到主要目标。
隐私和保密是律师事务所的基本价值观。2015 年,美国律师协会发现,四分之一拥有 100 多名律师的律师事务所遭遇过某种数据泄露,原因各不相同:电脑或移动设备丢失或被盗、网站被利用等。最终用户的电脑是律师事务所最薄弱的环节,因为疏忽或粗心的员工会点击电子邮件中的有害链接,将机密数据发送给未经授权的个人或网站。
在此背景下律师事务所应该做什么? 1. 让律师参与数据安全相关决策
高级合伙人和管理合伙人应参与 IT 相关决策,并应有权决定将哪些技术移交给员工以及应保护哪些数据。他们经验最丰富,最了解工作流程以及哪些数据属于机密数据。如果没有专门研究数据保护法的律师,那么要做的第一件事就是聘请专家。
2. 用坚固的围栏围起来
检查周边防御措施,确保防病毒软件、防火墙和垃圾邮件过滤器已打上补丁并保持最新状态。此外,还要确保对员工进行社会工程和其他有害技术的教育。
3. 控制便携式存储设备
如果律师事务所尚未控制复制到便携式存储设备的数据,他们应该实施设备控制解决方案。在 2016 年 InfoSec Europe 期间我们进行的最新研究中,我们发现 65% 的员工仍在使用便携式存储设备传输敏感的公司数据。与此同时,74% 的组织允许员工在其网络中使用 USB 设备,但只有 35% 的组织强制员工使用加密设备。通过仅授权使用加密设备,可以防止数据泄露。设备控制解决方案可以查看哪些设备连接到公司网络,并通过拒绝访问可移动设备来阻止恶意软件感染。这可以扩展到远程员工,并且控制仍然有效。
4. 仔细监控云端共享的数据
下一层保护应侧重于用于协作和法律工具(如电子取证)的云应用程序和在线服务。公司应评估与这些应用程序共享的内容以及传输内容的人员。数据丢失预防解决方案可实现这一级别的控制。这些解决方案专门用于保护数据免受内部威胁,例如用户错误地将包含敏感数据的电子邮件发送给错误的人、在未经授权的平台上上传机密信息或将商业机密发送给冒充公司权威经理的人(如 Snapchat 案中发生的情况)。对于法律行业的任何组织而言,DLP 都是加强数据保护和维护良好声誉的重要一层。
5. 不要忽视移动出行浪潮
由于连接不受管理,移动设备成为最新的威胁载体。大多数员工将个人平板电脑或智能手机连接到公司网络并同步工作电子邮件,而不通知 IT 部门。这创造了一个有缺陷的环境,为恶意应用程序提供了额外的输入点,为敏感数据提供了输出点。这就是企业移动管理 (EMM) 和移动设备管理 (MDM) 解决方案发挥作用的地方,它们提供确保用户拥有强密码、在设备丢失或被盗时远程擦除数据或根据设备位置实施策略的功能。MDM 提供的控制类型完善了数据保护实施,涵盖了提高生产力的现代工作工具。
6. 将可穿戴设备纳入公司政策
普华永道的一份报告显示,越来越多的可穿戴设备(如健身手环或智能手表)正在进入工作场所,估计美国每五人中就有一人拥有此类设备。可穿戴设备和智能手机之间传输的个人和商业数据使律师事务所容易受到数据泄露的威胁。例如,智能手表可以录制音频,然后传输和流式传输录音,因此可以被操纵成为监听设备。由于这项技术相当新,供应商并没有投入大量资源来确保产品安全,而是专注于增强功能以方便用户使用。为了应对这些风险,法律组织应该对可穿戴设备的使用进行限制或划定界限,例如允许在工作场所使用,但必须受到 IT 部门的严格监督。还应监控与可穿戴设备相关的应用程序,以跟踪收集的数据,并确保它们不会将恶意软件带入网络。
数据安全威胁如今已让组织难以招架。IT 部门针对一种威胁实施解决方案,而其他威胁层出不穷。最脆弱的环境是那些低估数据价值并在应用一些基本安全解决方案后放松警惕的环境。许多律师事务所,尤其是中小型律师事务所,更注重发展客户群,而忽视了声誉是他们未能维护的最重要的独特卖点之一。认识到他们面临的风险并应用前面提到的解决方案,他们就领先竞争对手一步,业务发展也得以可持续地进行。
- Board index
- All times are UTC
- Delete cookies
- Contact us