标记边缘脑环英国国家经理Mark Edge& VP Sales, Brainloop Ltd.

 

员工行为是当今法律部门IT安全面临的最大风险之一。物联网(IOT),可穿戴技术,自带设备(BYOD)和基于办公室的云应用程序的大量使用已在律师事务所的IT安全中造成许多潜在的漏洞。因此,在实施和审查其安全程序时,确保员工安全使用该技术必须是律师事务所的头等大事。

机密商业信息和设备的丢失可能是灾难性的,最常见的是员工的不当行为,无论是粗心,无知还是恶意导致的。其实,为了回应 最近的ITIC安全部署趋势调查,有80%的受调查者声称,对组织IT安全构成的最大威胁是允许的最终用户的行为。

虽然安全教育是塑造员工行为的关键部分,但网络安全的最佳实践需要采取更加有力的方法。作为一项持续不断的工作,应不断审核,更新和改进安全教育。但是,员工培训只能起到保护法律事务所的IT安全不受新技术威胁的作用。完全不可能培养出经过全面的网络安全训练和专注的员工队伍,因此,IT经理必须遵循以下四个步骤来确保组织内有效的计算机数据安全:

1.正确,可靠和安全的技术

BYOD和IOT基础设施的时代存在太多漏洞。法律部门的安全专业人员需要将注意力从基础架构保护转移到信息保护。至关重要的是,安全性不仅存在于网络的边界,而且必须在网络或应用程序中集成且无处不在。

IT经理应确保实施适当的,经过验证的安全技术,以确保敏感的关键业务信息得到完全保护。这些技术应集成到员工的工作流程及其使用的应用程序中,这样,例如,如果粗心或恶意的内部人员通过电子邮件将敏感的法律文件发送给未经授权的接收者,该技术将阻止该行为,从而立即防止代价高昂的工作。破坏信誉的数据泄露。

2.将员工转变为安全资产

无论是在办公室,在家中还是在旅途中,您的员工都随身携带机密数据。为防止它们成为安全风险,需要使员工成为知道自己作为企业安全代理角色的安全资产。被授予适当权限和访问权限的可信任员工应负责处理高价值信息。重要的是,他们必须了解他们之间的信任程度,并且必须接受培训,使他们在披露公司信息(口头或书面信息)之前始终三思而行。

但是,在一个日益协作的世界中,大多数法律组织都有业务合作伙伴,供应商和承包商,他们也必须受到信任才能接收敏感信息。为了获得这些伙伴关系的好处,将需要共享高价值文件。这带来了一个问题,因为与内部员工相比,与第三方组织进行培训和合规性监控的机会更少。因此,使用实现粒度安全性的技术(控制数据的复制方式和共享时间以及控制时间)特别重要。尽管您可能并不总是在那里确保遵守安全策略,但该技术可以确保您始终在采取措施保护敏感的业务信息。

3.采取针对性的方法来解决安全风险

当面临可能危害您的业务IT的许多潜在风险时,采取针对性的解决方案很重要。 IT经理不应将自己分散在所有风险中,而应将精力集中在最大的风险领域,并采取措施首先保护业务免受风险影响。在继续解决较小的主要IT风险之前,请确保确定可能造成最大危害的原因以及如何防止这种情况的发生。

内部法律安全漏洞是法律界所有IT经理都需要意识到的一大风险。尽管外部利益相关者确实会对企业的IT安全构成风险,但内部员工的风险通常更大。好消息是,内部安全漏洞和数据泄露更容易控制。首先要解决内部访问,安全策略和合规性等风险领域,以获得最大的收益和最具成本效益的收益。

4.保持安全性简单

安全性必须具有选择性,但也必须简单。易于使用的技术可以保护新信息,并有助于对现有未受保护的信息进行分类。建立三个简单的信息类别通常是律师事务所通过阐明应如何处理每种类型的信息来推进其数据安全性的最有效方法。这些类别及其相对行为是:

•我知道它很敏感–将其存储在我们解决方案中最安全的类别中。

•我认为这很敏感–将其存储在中等安全区域。

•我知道它不敏感–将其存储在最实用的地方,以进行有效的协作。

最后,别忘了提供可理解且友好的员工安全培训的重要性。保持您的安全策略简单明了,以便员工能够阅读它并提取核心安全消息。

每天发生的数据泄露事件数量惊人,我们每个人都需要对安全性保持警惕,这并不难。现在是时候确保您组织的安全流程无处不在,并且能够跟上工作场所中越来越多的安全风险。争取网络安全的斗争正在进行中,但是这对于保护您的律师事务所免受内部和外部的安全威胁至关重要。