类别
最新消息

评论:内幕威胁风险– the usual suspects

我们对安全性的最新评论是决定的CEO CERS,CEO是关于信息访问遵守情况的最近报告的调查结果,以及孔通常出现在公司内’s security practice.

我们关于安全,FrançoisAmigorena,CEO的最新评论 是决定 看待最近关于信息访问遵从性的报告的结果以及孔通常出现在公司内的孔’s security practice.

谈到信息安全时,任何组织中最弱的点通常是其员工。并且给定的法律部门雇员可以可以访问比任何其他行业更广泛的敏感信息,这是该部门关注的真正原因。这就是为什么这个行业对用户安全有一些最严格的规定。

但是,500美国和英国法律部门雇员之间的研究揭示了许多法律组织在其安全议定书中仍有巨大差距。从登机过程和培训新员工到基本网络访问限制的所有内容都在最近的报告中揭示了自己,“法律和执法:信息访问合规性'是决定。

如果您认为安全性为“多维”,则希望能够尽可能最大限度地降低最多的风险。

培训不足  

该报告详细介绍了该行业如何部署安全培训,无论是将新员工和那些定居在其工作的人的一部分。安全培训是法律社会的lexcel标准的要求,以及ISO 27001的全球安全金标准。但尽管这几乎是第三个(31%)在雇用时没有收到任何安全培训,但不到一半(43%)现有员工的数量收到了安全培训。

尽管组织必须做些什么必须做的是实现合规性的要求,但近三分之一(29%)并不意识到他们的实践得到了一个记录的安全政策。根据报告,69%的人可以访问案例文件和犯罪数据,但一半分享,它们没有自动注销程序。

在政策上缺乏意识,在发生违约时延伸到程序。超过一半的不知道谁报告违规行为的违约时间段,其中IT管理员可以找到和减轻任何损坏的关键时间段。低29%的员工了解该组织将施加数据盗窃或泄漏的处罚。

缺乏独特的登录

提供唯一的用户登录是安全网络用户访问的基础。这是一个基本要求,英国的法律员工的第三个(34%)没有为雇主的网络登录独特的用户登录。此外,尽管这种基本信息安全过程是任何安全标准的必要性,但24%的人根本不需要登录,包括任何安全标准,包括Lexcel和ISO 27001。

独特的用户身份不仅允许您在“需要知道”的基础上限制网络和数据访问,但在跟踪和监控方面也是必不可少的。如果发生违规,则无法检测到 如何 它发生而不能够识别个人及其网络访问活动。

手动注销

在用户有一个独特的登录的地方,人类易于的风险仍然存在显着的开放性。一个特定的关切领域是如何使用这些登录 - 如果用户永远不是用户或强制注销,则具有登录配置文件的益处是最小的。我们知道,即使告诉用户很少需要花时间登录和注销每次离开桌面。

这就是为什么自动定时强制注销程序很重要,在一定时期不活动后停止网络访问,以降低个人进入的风险。尽管这是一个相对简单的程序,但需要44%的人需要手动注销网络 - 很可能的现实是许多人没有。

对网络访问没有位置或时间限制

通过限制用户访问所需的时间(例如,标准营业时间)以及所需的部门,办公室或工作站,您正在减少易受攻击的表面积以获得潜在的漏洞。这种明智的方法并不是太常见,28%限制了位置,只有18%根据时间限制。

支持并发登录支持

唯一登录是如此严格要求的原因之一是需要能够将行动归因于个人,并且执行此操作的能力是lexcel的要求以及数据保护法。但是,如果允许用户一次登录到多台计算机,则可以显着减少属性操作的能力。它使用相同的登录配置文件开辟了多个用户的可能性。只有28%的法律部门员工使用他们的凭据立即登录多台机器。

你知道你是否正在服用这些风险? 

据我们所知,人类是糟糕的。因此,技术是必要的,以填补空缺的差距,即使有一个受过良好教育和警告劳动力我们知道它仍然是人性的,让我们的守卫掉落。但是,要真正知道您的组织缺乏合规性,您需要知道合规是以及它涵盖的哪些领域。

我们已经完成了用户访问安全的所有领域,不仅符合法律遵守,而且是一般的安全实践。使用是决策 法律用户安全检查表 要了解您是否符合DPA和Lexel,还符合DPA和Lexel,还符合FISMA和ISO 27001。