Thư viện > Podcast

Tập 26 – Bảo vệ dữ liệu khách hàng của bạn, với Scott Dresen

Tập 26 của Legal Marketing Radio, “Bảo mật dữ liệu khách hàng của bạn, với Scott Dresen” đã có sẵn! Bạn có thể sử dụng trình phát bên dưới để nghe tại đây, hoặc bạn có thể truy cập trang SoundCloud của chúng tôi hoặc cửa hàng iTunes để tải xuống và đăng ký podcast.

Legal Marketing Radio là một podcast chuyên về các mẹo và chiến lược tiếp thị pháp lý (do nhóm chuyên gia của LaFleur và các khách mời đặc biệt cung cấp), cũng như tin tức, xu hướng và những đổi mới tiên tiến trong các lĩnh vực giao thoa giữa tiếp thị pháp lý, tiếp thị kỹ thuật số và tiếp thị nội dung.

Khách mời của chúng tôi trong tập podcast tháng này là Scott Dresen , giám đốc công nghệ kiêm giám đốc an ninh thông tin của Spectrum Health, một tổ chức quản lý chăm sóc sức khỏe có trụ sở tại Tây Michigan. Với vai trò là CTO và CISO của Spectrum Health, nhiệm vụ của Scott là theo dõi sát sao các mối đe dọa mạng phổ biến và mới nổi, đồng thời quản lý rủi ro an ninh thông tin cho một trong những tổ chức chăm sóc sức khỏe lớn nhất ở Michigan. Scott đã tham gia cùng chúng tôi để chia sẻ những kinh nghiệm đã học được và cung cấp những lời khuyên thiết thực mà các công ty luật thuộc mọi quy mô có thể áp dụng để bảo mật dữ liệu của mình.

Các công ty luật và các doanh nghiệp nhỏ khác phải đối mặt với những mối đe dọa mạng nào?

Mặc dù tội phạm mạng đang tạo ra những phương thức mới để thực hiện các cuộc tấn công mạng, Scott cho biết hầu hết các phương pháp phổ biến để xâm phạm dữ liệu của các công ty nhỏ đã tồn tại khá lâu. Chúng bao gồm:

Lừa đảo qua mạng
Các vụ lừa đảo qua email (phishing) còn được gọi là lừa đảo chiếm đoạt email doanh nghiệp (BEC). Trong một cuộc tấn công phishing, tội phạm mạng sử dụng email để cố gắng lừa người nhận mở tệp đính kèm độc hại hoặc truy cập vào trang web chứa đầy phần mềm độc hại hoặc mã độc tống tiền. Một trong những lý do khiến phishing vẫn phổ biến trong giới tội phạm mạng là vì nó khai thác một trong những điểm yếu nhất trong bảo mật của hầu hết các tổ chức: chính là người dùng email. Các cuộc tấn công phishing gây ra tổn thất lớn cho các doanh nghiệp Hoa Kỳ; trên thực tế, tội phạm mạng đã đánh cắp hơn 5 tỷ đô la Mỹ trong ba năm qua thông qua các cuộc tấn công phishing. Khoảng 7.700 tổ chức trở thành nạn nhân của các vụ lừa đảo phishing mỗi tháng.
Các vũng nước
Hiện tượng "điểm xâm nhập" (watering hole) xảy ra khi tin tặc chiếm quyền kiểm soát một trang web hợp pháp và biến nó thành một trang web độc hại. Thông thường, chủ sở hữu trang web bị xâm nhập không hề hay biết trang web của mình đã bị tấn công. Mục tiêu của trang web độc hại này thường là cài đặt phần mềm độc hại vào thiết bị của người truy cập. Điều này thường chỉ xảy ra khi người dùng nhấp vào liên kết, tải xuống tệp, cung cấp thông tin hoặc tương tác với trang web theo một cách nào đó khác.
Tải xuống tự động
Tải xuống tự động (drive-by download) xảy ra khi một trang web độc hại cố gắng cài đặt phần mềm vào máy tính của bạn. Thông thường, bạn sẽ không nhận được bất kỳ lời nhắc xin phép nào và bạn thậm chí sẽ không biết quá trình tải xuống đã diễn ra. Tải xuống tự động thường xảy ra do hệ thống bảo mật không đầy đủ hoặc hệ điều hành lỗi thời, đó là lý do tại sao điều quan trọng là tất cả nhân viên trong công ty bạn phải luôn cập nhật hệ điều hành và các phần mềm khác.

Các biện pháp bảo mật mạng tốt nhất dành cho các công ty luật: Danh sách kiểm tra

Hãy sử dụng mật khẩu an toàn.
- Độ phức tạp: Mật khẩu mạnh nên có ít nhất 10 ký tự và bao gồm sự kết hợp giữa chữ cái viết hoa và viết thường, số và ký hiệu.
- Tính duy nhất: Không sử dụng mật khẩu trùng lặp; chỉ sử dụng một mật khẩu cho một tài khoản duy nhất.
- Hãy sử dụng phần mềm quản lý mật khẩu: Ví dụ như 1Password và LastPass (chúng tôi sử dụng LastPass tại LaFleur).
Hãy sử dụng xác thực hai yếu tố bất cứ khi nào có thể.
- Xác thực hai yếu tố (2FA) thêm một bước vào quy trình đăng nhập của bạn, nhưng nó giúp tài khoản của bạn được bảo mật hơn nhiều.
Hãy xác định vị trí lưu trữ dữ liệu quan trọng của bạn và sao lưu chúng.
- Hãy nhớ kiểm tra quy trình khôi phục của bạn thường xuyên.
Bảo vệ mạng của bạn
- Bảo mật WiFi tại nơi làm việc của bạn
- Hãy tách biệt nhân viên và khách mời trên mạng nội bộ của công ty.
- Sử dụng mạng riêng ảo (VPN) cho các mạng công cộng.
Luôn cập nhật phần mềm, hệ thống và ứng dụng của bạn.
Sử dụng tường lửa
- Tường lửa có thể bảo vệ mạng lưới công ty của bạn, vì vậy hãy bật chúng trên tất cả máy tính và máy tính xách tay của công ty.
Bảo vệ thiết bị di động
- Yêu cầu sử dụng mã PIN hoặc mật khẩu riêng cho tất cả các thiết bị di động kết nối với mạng và tài nguyên của công ty.
Xây dựng chính sách an ninh và đào tạo nhân viên về rủi ro.
- Đào tạo nhân viên về tấn công lừa đảo trực tuyến (phishing) và mối đe dọa mà nó gây ra.
- Hãy cảnh giác với các email đáng ngờ.
- Hãy hoạt động theo phương châm cổ của Nga: “Tin tưởng nhưng phải kiểm chứng”.
Mã hóa dữ liệu của bạn
- Yêu cầu mã hóa dữ liệu trên máy tính để bàn và máy tính xách tay của công ty.
- Chỉ sử dụng ổ USB được mã hóa.
Hãy sử dụng các trang web an toàn và bảo mật trang web của công ty bạn.
- Hãy kiểm tra và sử dụng giao thức bảo mật SSL (tại LaFleur, chúng tôi cung cấp dịch vụ này cho tất cả khách hàng mà không tính thêm phí).