Rechts- und Beratungsunternehmen müssen ihre Technologie und Sicherheit an neue Arbeitsweisen anpassen, so ein führender CISO der Branche.
Während einer Talking Tactics-Sitzung auf der Infosecurity Europe 2022 wies Christian Toon, CISO der Anwaltskanzlei Pinsent Masons, darauf hin, dass in Anwaltskanzleien „intelligente Leute arbeiten, die Vertraulichkeit verstehen“. Das bedeutet jedoch nicht automatisch, dass sie auch ein Verständnis für digitale Risiken haben.
Die Kanzleien stehen auch vor der Herausforderung, große Mengen an Informationen in verschiedenen Formaten zu verarbeiten. Einige Gerichte verlangen zum Beispiel immer noch Papierdokumente mit „nassen“ Unterschriften. „Das Volumen und die Korrektheit von Dokumenten sind für uns ein Problem“, sagte er dem Moderator Tim Deluca-Smith, CMO bei CoSoSys.
Obwohl Pinsent Masons bereits vor der COVID-19-Pandemie über flexible Arbeitsformen verfügte, arbeiteten nur relativ wenige Mitarbeiter aus der Ferne. Anwaltskanzleien hatten eine ziemlich traditionelle Kultur, die auf der Anwesenheit im Büro basierte. „Wir arbeiten langsam an einer digitalen Transformation, nicht nur wir, sondern die gesamte Branche“, sagte er. Dennoch sind die Anwälte nach wie vor an gedruckte Dokumente gebunden. Während der Pandemie musste die Kanzlei „weiße Lieferwagen einsetzen, um Medien abzuholen und loszuwerden“, erinnert er sich.
Die Bereitstellung von sicheren Druckern für Anwälte, die zu Hause arbeiten, war nur eine Aufgabe, die Toons Abteilung während COVID-19 in Angriff nahm. Die Kanzlei stellt auch Laptops zur Verfügung – sie unterstützt derzeit kein BYOD – und sichere Einrichtungen für den Informationsaustausch. Wenn Kanzleien nicht weiter in diese Bereiche investieren, so warnte er, werden sie wahrscheinlich ein weiteres Wachstum der Schatten-IT erleben, einschließlich der Nutzung unsicherer, verbraucherorientierter Sharing-Dienste.
Die Unternehmen müssen auch Maßnahmen zur Überwachung des Datenverkehrs in ihren Netzwerken und zur Überwachung ihrer Endgeräte ergreifen. Diese Maßnahmen müssen jedoch im Kontext des Unternehmens erfolgen. Wie Toon hervorhebt, müssen Mitarbeiter möglicherweise USB-Geräte verwenden oder große Datenübertragungen außerhalb der regulären Geschäftszeiten vornehmen, um Fristen für Gerichtsverhandlungen einzuhalten.
Die Überwachung muss sich auch auf Tools wie Teams und Slack erstrecken, um die Regeln für Interessenkonflikte einzuhalten.
Das Unternehmen stellt außerdem fest, dass es seine Sicherheitstools auf die Anforderungen der Kunden abstimmen muss. So sendet ein Kunde beispielsweise Schlüsselwörter, die das Unternehmen in seine Data Loss Prevention (DLP)-Software eingeben muss. „Es sind nicht nur die Rahmenbedingungen und Standards, sondern die Lieferkette, die das diktiert“, so Toon.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
#InfosecurityEurope2022: Desinformationskrieg – Wie gehen wir gegen Fake News vor?