برنامه نویسی

دروس شخصی در مورد ایمن نگه داشتن داده های قانونی هنگام نصب Clio ، MyCase و Lexisnexis-به خصوص در محل

ek3nk4r 4 هفته پیش

0 1 خواندن این مطلب 4 دقیقه زمان میبرد

دروس شخصی در مورد ایمن نگه داشتن داده های قانونی هنگام نصب Clio ، MyCase و Lexisnexis-به خصوص در محل

پیشنهاد ویژه

خرید فالوور واقعی خرید لایک اینستاگرام خرید ویو اینستاگرام خرید فالوور اینستاگرام

فهرست مطالب

بینش های دنیای واقعی از نصب Clio ، MyCase و LexisNexis

وقتی شروع به استقرار ابزارهای مدیریت پرونده برای مشتریان حقوقی کردم ، فکر کردم این نرم افزار بخش سختی خواهد بود. این نبود ابزارهایی مانند کلنگ وت منزل برای بیشتر بنگاههای کوچک تا متوسط به راحتی نصب کنید. اما امنیتبا محل دادهوت رعایت خواسته ها؟ این جایی است که کار واقعی آغاز شد – به خصوص وقتی لکسیسکسیس با ردپای عمیق در محل خود وارد مخلوط شد.

این مقاله تجربه دست اول من را با هر سه ابزار به اشتراک می گذارد و نگاهی صریح در مورد چگونگی تأمین اطلاعات حقوقی – خواه در ابر میزبان باشد یا در یک اتاق سرور در سالن قفل شده باشد.

واقعیت در محل: فقط سرورها نیستند-این یک قلعه است

با لکسیسکسیس، من در گنجه های سرور ایستاده ام که در آن هر جزئیات مهم است – از قفل درب گرفته تا سیستم های خنک کننده.

غذای اصلی:

امنیت جسمی: سرورها باید در اتاقهای قفل شده و کنترل شده باشند. یکی از مشتری های من با ورود به دوربین با دوربین فقط با دوربین روبرو بود.
کنترل محیطی: گرما یک تهدید است. من دیده ام که سرورهای LexisNexis به طور نامناسب در اواسط هفته سقوط می کنند. افزونگی AC اهمیت دارد.
دسترسی محدود: بدون “دسترسی به فناوری در هنگام مناسب.” ما ویندوزهای مدیریت و نگهداری را برای محافظت از مسیرهای حسابرسی پیاده سازی کردیم.

درس: به معنای اول مالکیت، نه فقط کنترل کردنبشر در صورت عدم موفقیت ، آن را برطرف می کنید. اگر هک شده باشد ، برای آن پاسخ می دهید.

امنیت سرور اختیاری نیست – اجباری است

اعزام لکسیسکسیس در محل اغلب به معنای قوانین فایروال سفارشی ، سیستم عامل های سخت شده و جداسازی بانکهای اطلاعاتی در پشت لایه های محافظت بود.

کاری که من کردم:

خدمات قفل شده: ویندوزهای سلب شده برای کاهش سطوح حمله نصب می کنند.
فایروال های پیکربندی شده: فقط درگاه های مورد نیاز مجاز ، از جمله تنظیمات TCP سفارشی برای SQL و ابزارهای داخلی.
محافظت از نقطه پایانی مستقر: نه فقط آنتی ویروس بلکه نظارت رفتاری. یک مشتری به دلیل درگیری به روزرسانی AV تقریباً همه چیز را از دست داد.

صحبت واقعی: اگر داده های موردی شما در یک شبکه با چاپگرهای مشترک و Wi-Fi مهمان زندگی می کند ، در حال حاضر به خطر افتاده اید.

رمزگذاری در همه جا – یا دیگری

چه ابر و چه محلی ، رمزگذاری بیمه نامه است که بیشتر بنگاه ها تا دیر وقت نادیده می گیرند.

تمرین من:

کلیو و من: در حالی که سیستم عامل های آنها داده های ابری را رمزگذاری می کند ، من همیشه گزارش های مشتری را ماهانه صادر می کردم و قبل از بایگانی آنها را رمزگذاری می کردم.
لکسیسکسیس: من رمزگذاری داده های شفاف (TDE) را در تمام پایگاه داده های SQL تنظیم کردم. حتی نسخه پشتیبان تهیه شده قبل از بارگیری به درایوهای ثانویه رمزگذاری شده بود.
اجرای TLS: من ترافیک بدون رمز را غیرفعال کردم. بدون استثنا حتی کنسول های سرپرست به اتصالات ایمن نیاز داشتند.

کاربران: ضعیف ترین پیوند در هر تنظیم فنی قانونی

امنیت به دست کاربر می میرد. این بدبینی نیست – این تجربه است.

شکست های مشترکی که مجبور شدم برطرف کنم:

بدون MFA در برنامه های ابری: وکلا به MFA فشار آوردند تا اینکه ما به آنها نشان دادیم که حسابهای به سرعت به خطر می روند می توانند داده های مشتری را در معرض دید خود قرار دهند.
اعتبارنامه مشترک: چندگانه چندگانه با استفاده از همان ورود؟ آن را دیده است رفع آن
مجوزهای نادرست: در Lexisnexis ، نقش های مدیر بیش از حد معمولاً اعطا می شد. من خانه را تمیز کردم و کنترل دسترسی مبتنی بر نقش (RBAC) را که به نقش های منابع انسانی گره خورده است ، پیاده سازی کردم.

پشتیبان تهیه نسخه پشتیبان تهیه نمی شود بدون آزمایش

من شرکت های حقوقی با من تماس گرفته ام پس از نقض یا خرابی سخت افزار ، گفت: “ما پشتیبان تهیه کرده ایم.” آنها معمولاً این کار را نمی کردند.

استراتژی پشتیبان من:

پشتیبان گیری روزانه رمزگذاری شده برای بانکهای اطلاعاتی LexisNexis با استفاده از مشاغل عامل SQL و PowerShell برای افزونگی.
تکثیر هفتگی خارج از سایت: به NAS در یک ساختمان دیگر یا سطل ابر (لاجورد/backblaze).
تست ها را هر 90 روز یکبار بازیابی کنید: یک فاجعه را شبیه سازی کنید و از طریق بهبودی به پایان برسید.

نکته: برای Clio و MyCase ، ماهانه داده های کلیدی صادرات – صورتحساب ، خلاصه پرونده و یادداشت های مشتری. فرض کنید نقض ، برای بهبودی برنامه ریزی کنید.

مدیریت پچ: کنترل شده ، واکنشی نیست

با lexisnexis:

من یک نمونه آزمایش اختصاصی برای همه تکه ها حفظ کردم.
ویندوزهای نگهداری سه ماهه برنامه ریزی شده.
برای هر بروزرسانی برنامه های برگشت ایجاد شده است.

با ابر (Clio ، MySase):

یادداشت های انتشار را از نزدیک مشاهده کنید – به ویژه تغییراتی که بر ادغام یا رفتار API تأثیر می گذارد.

آنچه آرزو می کنم هر موسسه حقوقی می دانست

ابر ≠ بی دقتی: حتی با Clio و MySase ، تیم شما چگونه کاربردهای این ابزار به اندازه خود ابزار مهم است.
در مقابل = پاسخگویی کامل: از سخت افزار گرفته تا تکه ها ، شما اکنون فروشنده هستید.
امنیت یک چرخه حیات است: یک پروژه یک و یک کار نیست.
پشتیبان گیری باید خودکار ، رمزگذاری و آزمایش شودبشر
Training Beats Tech: اگر کاربران شما برای ایمیل های فیشینگ یا استفاده مجدد از گذرواژه‌ها از آن استفاده کنند ، امن ترین سیستم از بین می رود.

افکار نهایی از این زمینه

استفاده از نرم افزار پرونده حقوقی فقط مربوط به ویژگی ها نیست. این در مورد است اعتماد بلند مدتبا دسترسی ایمنوت قابلیت اطمینان – به ویژه هنگامی که پرونده های واقعی مشتری ، مالی و شواهد مورد بحث قرار می گیرند.

اگر در حال اجرا هستید کلنگبا منزل، یا لکسیسکسیس، شما در حال حاضر ابزارهای قدرتمندی دارید. اما ابزارها از خود محافظت نمی کنند. شما به فرآیندهای خوب ، نظارت فعال و دوز سالم شک و تردید نیاز دارید.

من اشتباه کردم من از دریل های آتش سوزی ، از دست دادن داده ها ، اشتباهات کاربر و خرابی های سیستم آموخته ام. و من محیط هایی را ساخته ام که مشتریان هنوز سالها بعد به آن اعتماد دارند.