it-swarm-pt.tech

Quais riscos à segurança existem com os funcionários que usam o Dropbox?

Há alguma preocupação específica de segurança a ser lembrada com o uso de compartilhamento/versão/backup de arquivos do Dropbox em toda a empresa, e existem opções ou configurações específicas recomendadas para limitar o risco?

17
davebug

Depende do seu negócio e do seu nível de paranóia. É muito mais seguro, embora mais caro, emitir laptops com uma conexão VPN.

Realmente rápido...

Alguns riscos:

  • Ex-funcionários potencialmente têm acesso a dados comerciais após o término do emprego. Você, como empresa, DEVE estar no controle das contas, se não quiser que algum funcionário insatisfeito tenha acesso a coisas depois de ser demitido ...
  • Esses serviços ignorariam quaisquer mecanismos automatizados de retenção de documentos que você implementasse, o que adiciona outra área para você cobrir manualmente a retenção de documentos

Recomendações:

  • Verifique se você pode gerar suas próprias chaves de criptografia para armazenar os dados e se as chaves não são compartilhadas com o provedor de serviços
  • Verifique se os dados estão criptografados ANTES de serem enviados ao repositório do serviço
  • Se você deseja permitir que as pessoas tenham sua própria conta, tenha um único ponto de contato para sua empresa. Coordene todas as contas por essa pessoa (ou duas pessoas como proxies). Ou verifique se o provedor oferece suporte a contas comerciais nas quais você pode agrupar os funcionários.
7
squillman

Eu pisaria com muito cuidado aqui. O Dropbox permite uma extensão para o disco rígido de outro computador.

Essa extensão é pior que uma chave USB, no sentido de que infecções em um PC podem se espalhar por todos os outros PCs que compartilham muito mais facilmente do que com uma chave USB. Os criadores de vírus/trojan/bot ainda não têm como alvo o dropbox, mas se assim o decidirem, você terá uma porta destrancada virtual de um PC controlado pela empresa em uma rede segura para um computador não seguro em uma rede não segura. Como é o caso, usando operações normais, não se pode simplesmente passar por aquela porta e ver outras coisas no computador - apenas itens dentro da caixa de depósito podem ser vistos e novos itens só podem ser criados nessa área, mas isso pressupõe que o O aplicativo dropbox em si não pode ser comprometido.

Além disso, o Dropbox reivindica muita segurança, mas o que é realmente comprovável para você? É possível que alguém possa se infiltrar nessa janela remotamente a partir de um PC completamente diferente e tentar colocar documentos e programas infectados no PC de trabalho.

Obviamente, existe uma caixa de depósito de protocolo usada para se comunicar com seus clientes - ela é criptografada? É imune a estouros de buffer? Homem no meio ataques? Cheirando? Repetir ataques? É possível, usando o protocolo padrão, colocar arquivos dentro ou mesmo fora da área padrão da caixa de depósito? Se o protocolo tiver um estouro de buffer, é possível comprometê-lo de forma a permitir acesso total à máquina? Compartilhamentos de rede na máquina?

Não acho que o risco seja muito alto, mas o dano causado pode ser extenso, por isso é algo que deve ser cuidadosamente pensado.

-Adão

5
Adam Davis

Paranóia????

Cara .. Afaste-se da rede .. LENTAMENTE .. Com as mãos afastadas do teclado .. FAÇA-O AGORA !!!

As soluções de "consumidor" baseadas em nuvem de compartilhamento de arquivos, como o Dropbox, não se destinam a empresas ou corporações. A Microsoft disse que é melhor com o Skydrive quando eles saem e dizem que esses tipos de produtos não são e não devem ser usados ​​para fins comerciais.

Existem milhares de razões pelas quais não superam as razões pelas quais alguém deveria.

Maior motivo LEGAL fora dos riscos à segurança (E os Termos de Uso que especificam que terceiros podem ter acesso a informações confidenciais arquivos, portanto, nada de confidencial deve jamais ser armazenado em um serviço que é baseado no consumidor. NUNCA ..) é o fato de um serviço como o Dropbox também. Deixe-me perguntar isso. Onde estão esses arquivos armazenados? Onde estão localizados esses servidores? Você pode ter certeza, com o menor lance, ligar para algo chamado Regras e Leis de Exportação de Dados ... Se você tiver um único arquivo minúsculo, o "Governo dos Estados Unidos pode considerar um risco ou risco potencial à segurança dos EUA" (pode ser algo do tamanho de um layout elétrico a um local de encontro público, escola, academia, senhas ou nome de usuário para algo como uma conta da Cisco na qual é possível fazer o download de software restrito para exportação etc.) até documentos classificados, você está violando essa lei. Você vai para a cadeia, você não passa vai .. Acredito agora, isso é tratado por FTC e Homeland Security ..

Os termos de uso do banco de dados especificam (basicamente) que, se ele estiver instalado em um PC comercial, (o Dropbox assume essa pessoa porque a pessoa que instala no PC comercial garante que eles estão clicando no TOU) que o indivíduo "autorizado" está fazendo isso PARA TODA A EMPRESA .. Período ... (Primeira seção, Dropbox.com/terms)

O que me impede de usá-lo fora do servidor e do ambiente de trabalho é simplesmente a ética ... Você tem um produto de consumo como o Skydrive que, em grandes letras, diz "Não há negócios ... não! Porque eles não querem arriscar os dados do cliente no um nível de negócios porque eles SABEMOS que é um risco! E, em seguida, Flippin Dropbox que usa palavras legais em seus contratos, como a palavra "coisas", que empurra toda a "coisa de segurança" e age como se não fosse grande coisa (você gostaria a perder lucros e ações tão valiosas? Provavelmente não ...) ....

É um grande negócio .. Quanto mais grupos de segurança implorarem que você e eu sigamos práticas simples, mais grandes composições, como o dropbox, saem e ganham dinheiro ... para obter lucro, agir como se não fosse grande coisa ...

E se sua empresa armazenasse um pequeno número de cartão de crédito e um nome e data de validade? Agora digamos que o PC em que o cliente do dropbox foi instalado foi "humilhado .." através de uma brecha de segurança do Dropbox ... Está me seguindo? Visa/Amex etc. as gigantescas empresas bancárias COM apoio do governo (porque os Padrões da Indústria de Cartões de Pagamento (PCI) o dizem). É quem ...) VAI multá-lo. Conseguir isso ... você pode querer sentar-se .. US $ 500.000,00 POR INCIDENTE ... É o suficiente para colocar uma pequena ou média empresa fora da empresa em que está.

a única maneira de contorná-lo é criptografar localmente esses dados usando um produto de criptografia certificado pela PCI, ANTES de ir para o dropbox, comprar licenças para todos os seus dispositivos remotos, baixar o arquivo necessário e descriptografá-lo antes de poder usar .. (Não parece que não é divertido ...) (Ou criptografar dados na rede de servidores e clientes no gateway ...)

Com tudo isso, por menos de US $ 20 por usuário (cerca de US $ 11 para o básico), você pode obter um plano da série E do Office365, que IS HIPAA, SOX, ISO e PCI certificado .. ( O Dropbox, escondido nas páginas, indica claramente "no momento", eles não são ....)

Então pergunte a si mesmo, embora em sua mente pequeno ... Vale a pena o risco? e DESEJA fazer negócios com uma empresa que, em minha opinião, dá um pequeno passo ou ilumina os riscos associados ao uso de seu produto ...

Vale a pena arriscar sua carreira se você estiver em tecnologia e for culatra e você DID permite dropbox? Você acha que é empregável depois que seu nome está ao lado de uma culatra e você faz o Como CTO, posso prometer-lhe, nem na minha vida eu ouviria a desculpa por trás disso ... Eu nunca entrevistaria alguém em tecnologia que, por suas próprias ações ou decisões, causasse uma acumulação de dados em qualquer rede de qualquer tamanho .. Sim, todos cometemos erros, e é por isso que seu trabalho em TI é eliminar qualquer risco, grande ou pequeno, da melhor maneira possível. Não abrir o buraco de minhoca e gritar por Alice ...) É um desastre para o PR .. para uma empresa, (se um concorrente descobriu e vazou quem você é .. (suspira) o que você fez .. e uma maior responsabilidade de contratar alguém porque eles permitiram um serviço de compartilhamento de arquivos que reconheceu publicamente e afirmou que não era PCI , SOX, ISO, HIPAA ou PCI

Bem ... Isso é para você decidir ... Vale a pena uma carreira? Vale a pena a perda de dados da sua empresa ou cliente?

Para mim .. Não é ... Consumidores usam produtos de consumo, não empresas ... Período.

5
Ageek Bry

Uma atualização (1,5 anos depois): o Dropbox alega agora que eles transmitem os dados via protocolo SSL e os armazenam em AES-256-Containers, que não podem acessar a si mesmos (sem a senha).

4
user57104

O Dropbox admitiu recentemente que não usa SSL para transferir metadados de arquivos entre clientes móveis e seus servidores. Eles fazem isso de propósito, por razões de desempenho. Eles não declaram em nenhum lugar do site que fazem isso. Você pode ler sobre isso aqui:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop

4
Mike

Acho que eles estão trabalhando em uma versão para as empresas usarem internamente, com mais segurança, mas, enquanto isso, os arquivos não são criptografados em seus servidores, então você precisa confiar neles.

Fora isso, não vejo outros riscos de segurança específicos para o Dropbox (como vazamento de informações).

2
Ivan

Muito vai depender das políticas em vigor na sua empresa. Se é como onde eu trabalho - onde todo o desenvolvimento que eu faço pertence ao hospital, e não a mim -, eu ficaria preocupado com o fato de ser um meio fácil para os ativos intelectuais da empresa "se afastarem".

Existem muitos sistemas de gerenciamento de documentos que permitem configurar algo que só pode ser acessado internamente ou por meio de uma conexão monitorável.

1
AnonJr