Quali sono i rischi per la sicurezza dei dipendenti che usano Dropbox?


17

Ci sono particolari problemi di sicurezza da tenere a mente con l'uso a livello aziendale della condivisione / versione / backup dei file Dropbox e ci sono opzioni o impostazioni specifiche che sarebbero raccomandate per limitare il rischio?


Ecco una descrizione dettagliata di alcuni problemi fondamentali di sicurezza e legali con Dropbox per uso aziendale e privato: blog.5ttt.org/dropbox

Risposte:


7

Dipende dalla tua azienda e dal tuo livello di paranoia. È molto più sicuro, sebbene più costoso, emettere laptop con una connessione VPN.

Molto velocemente...

Alcuni rischi:

  • Gli ex dipendenti hanno potenzialmente accesso ai dati aziendali dopo la cessazione del rapporto di lavoro. Come azienda DEVI avere il controllo dei conti se non vuoi che un dipendente scontento abbia accesso alle cose dopo essere stato licenziato ...
  • Questi servizi eviterebbero qualsiasi meccanismo automatico di conservazione dei documenti in atto che aggiunge un'altra area per la copertura manuale della conservazione dei documenti

raccomandazioni:

  • Assicurarsi di poter generare le proprie chiavi di crittografia per l'archiviazione dei dati e che le chiavi non siano condivise con il fornitore di servizi
  • Assicurarsi che i dati siano crittografati PRIMA di essere inviati al repository del servizio
  • Se hai intenzione di permettere alle persone di avere il proprio account, allora hai un unico punto di contatto per la tua azienda. Coordinare tutti gli account tramite questa persona (o un paio di persone come proxy). Oppure assicurati che il provider supporti gli account aziendali in cui puoi in qualche modo raggruppare i dipendenti.

Il punto sul non controllo dei conti degli ex dipendenti è stato utile. Aggiungeremo la condivisione delle cartelle come parte di qualsiasi piano di terminazione.
davebug,

Pone anche un problema per qualsiasi attività commerciale dell'UE, in quanto vi sono evidenti rischi che i dati personali finiscano in ambienti non controllati. Lo stesso vale per tutte le aziende statunitensi che desiderano mantenere una certificazione Safe Harbor (in modo che possano elaborare i dati personali dell'UE).
Vatine,

5

Vorrei camminare molto attentamente qui. Dropbox abilita un'estensione sul disco rigido di un altro computer.

Tale estensione è peggiore di una chiave USB, nel senso che le infezioni su un PC possono entrare in tutti gli altri PC usando la condivisione molto più facilmente rispetto a una chiave USB. Gli autori di virus / trojan / bot non prendono di mira il dropbox (ancora) ma se decidono di farlo, allora hai una porta virtuale sbloccata da un PC controllato da un'azienda su una rete protetta a un computer non sicuro su una rete non protetta. Così com'è, usando le normali operazioni, non si può semplicemente passare attraverso quella porta e guardare altre cose sul computer - si possono vedere solo gli oggetti all'interno della casella a discesa e nuovi oggetti possono essere creati solo in quell'area, ma supponendo che il l'applicazione dropbox stessa non può essere compromessa.

Inoltre, Dropbox richiede molta sicurezza, ma cosa è effettivamente dimostrabile per te? È possibile che qualcuno possa intrufolarsi in quella finestra da remoto da un PC completamente diverso e tentare di inserire documenti e programmi infetti sul PC di lavoro.

Esiste ovviamente un protocollo che la stessa casella personale utilizza per comunicare con i suoi client: è crittografata? È immune agli overflow del buffer? L'uomo nel mezzo attacca? Sniffing? Replay attacchi? È possibile, utilizzando il protocollo standard, posizionare i file all'interno o all'esterno dell'area di dropbox standard? Se il protocollo ha un buffer overflow, è possibile comprometterlo in modo da consentire l'accesso completo alla macchina? Condivisioni di rete sulla macchina?

Non penso che il rischio sia molto elevato, ma il danno fatto può essere esteso, quindi è qualcosa che deve essere attentamente pensato.

-Adamo


3
Internamente Dropbox utilizza rsync tramite un eseguibile Python. Anche se avrei indovinato che il protocollo utilizzato non è standard.
Joel Lucsy,

5

Paranoia????

Amico .. Allontanati dalla rete .. LENTAMENTE .. Con le mani lontano dalla tastiera .. FALLO ORA !!!

Le soluzioni "consumer" basate su cloud di condivisione file come Dropbox non sono pensate per aziende o aziende. Microsoft lo ha detto meglio con Skydrive quando sono usciti e ha detto che questi tipi di prodotti non sono e non dovrebbero essere utilizzati per scopi aziendali.

Ci sono migliaia di motivi per cui ciò non supera i motivi per cui uno dovrebbe.

Il più grande motivo LEGALE al di fuori dei rischi per la sicurezza (E i Termini d'uso che specificano che terze parti possono avere accesso a file riservati, quindi nulla di riservato dovrebbe mai essere archiviato su un servizio basato sui consumatori .. MAI ..)è il fatto con un servizio come Dropbox, beh. Permettimi di chiederlo .. Dove sono archiviati questi file? Dove si trovano quei server? Puoi essere certo, con il miglior offerente, chiamare qualcosa chiamato Regole e leggi sull'esportazione dei dati ... Se dovessi avere un singolo file minuscolo, il "governo degli Stati Uniti potrebbe ritenere un rischio o un rischio potenziale per la sicurezza degli Stati Uniti" (Potrebbe essere qualcosa piccolo come il layout elettrico in un luogo di ritrovo pubblico, scuola, palestra, password o un nome utente in qualcosa come un account Cisco in cui è possibile scaricare software con restrizioni di esportazione, ecc.) fino a documenti classificati, si viola tale legge. Vai in prigione, non passi, vai .. Credo ora, che è gestito da FTC e Homeland Security ..

I termini di utilizzo del DB specificano (sostanzialmente) che, se installato su un PC aziendale, (Dropbox assume quella persona perché la persona che si installa sul PC aziendale garantisce che sta facendo clic sul TOU) che l'individuo "autorizzato" lo sta facendo PER L'INTERA AZIENDA .. Periodo ... (Prima sezione ion Dropbox.com/terms)

Ciò che mi impedisce di utilizzare questo al di fuori del mio server e dell'ambiente di lavoro è semplicemente l'etica ... Hai un prodotto di consumo come Skydrive che a grandi lettere dice "No Business .. No! Perché non vogliono rischiare i dati dei clienti su un livello aziendale perché lo sanno che è un rischio! E poi Flippin Dropbox che usa le parole legali nei loro contratti come la parola "roba", che scherza sull'intera "cosa della sicurezza" e si comporta come se non fosse un grosso problema (vorresti perdere profitti e quote così preziose? Probabilmente no ...) ....

È un grosso problema ... Più gruppi di sicurezza ti prego e io di seguire semplici pratiche, più grandi comps come Dropbox escono e per soldi .. a scopo di lucro, comportati come se non fosse un grosso problema ...

Che cosa succede se la tua azienda memorizza un piccolo pezzo di un singolo numero di carta di credito, un nome e una data di scadenza? Ora supponiamo che il PC su cui è stato installato il client Dropbox sia stato "ottenuto in ..." tramite una tecnologia di sicurezza Dropbox ... Mi stai seguendo? Visa / Amex ecc. Le gigantesche compagnie bancarie con il sostegno del governo (perché gli standard del settore delle carte di pagamento (PCI) lo dicono .. ecco chi ...) TI BENE .. prendi questo ... potresti voler sederti .. una cifra sbalorditiva di $ 500.000,00 PER INCIDENTE ... Basta mettere una piccola o media impresa fuori dal business in cui si trovano ...

L'UNICO modo per aggirarlo è crittografare localmente i dati utilizzando un prodotto di crittografia certificato PCI, PRIMA di andare al dropbox, acquistare le licenze per tutti i dispositivi remoti, scaricare il file necessario e decodificarlo prima di poterlo utilizzare .. (No, non sembra affatto divertente ...) (O crittografare i dati sulla rete dei server e i client sul gateway ...)

Con tutto ciò, per meno di $ 20 un utente (circa $ 11 per quello di base) è possibile ottenere un piano serie Office365 E, certificato IS HIPAA, SOX, ISO e PCI. (Dropbox, nascosto nelle pagine, indica chiaramente " in questo momento ", non sono ....)

Quindi chiediti, anche se nella tua mente piccola ... Vale davvero la pena rischiare? e vuoi fare affari con un'azienda che penso, passi alla leggera o chiarisca, i rischi associati all'uso del loro prodotto ....

Vale la pena correre il rischio per la tua carriera se sei in tecnologia e vieni abbattuto e hai fatto dropbox? Pensi di essere occupabile dopo che il tuo nome è accanto a una culatta e fai notizia? Come CTO, te lo posso promettere, non nella mia vita avrei nemmeno sentito la scusa dietro di esso .. Non avrei nemmeno mai intervistato nessuno nella tecnologia che con le proprie azioni o decisioni, ha causato una serie di dati su qualsiasi rete di dimensioni .. Sì, tutti commettiamo errori, motivo per cui il tuo lavoro nell'IT è quello di eliminare qualsiasi rischio, grande o piccolo come meglio puoi .. Non aprire il buco del worm e urlare per Alice ...) È un disastro per PR .. per un'azienda, (se un concorrente ha scoperto e fatto trapelare chi sei .. (sussulto) cosa hai fatto .. e una maggiore responsabilità di assumere qualcuno perché hanno permesso un servizio di condivisione file che ha riconosciuto pubblicamente e ha dichiarato di non essere PCI, SOX , ISO,

Bene ... È per te che decidi ... Vale la pena fare carriera? Vale la pena la perdita dei dati dell'azienda o dei clienti?

Per me .. Non è ... I consumatori usano i prodotti di consumo, non le imprese ... Periodo.


4

Un aggiornamento (1,5 anni dopo): Dropbox afferma ora di trasmettere i dati tramite protocollo SSL e di memorizzarli in contenitori AES-256 che non possono accedersi (senza la password).


2
Tale affermazione si è rivelata una bugia. wired.com/threatlevel/2011/05/dropbox-ftc
David Sykes,


2

Penso che stiano lavorando a una versione che le aziende possono usare internamente, con maggiore sicurezza, ma nel frattempo i file non sono crittografati sui loro server, quindi devi fidarti di loro.

Oltre a ciò, non riesco a vedere altri rischi per la sicurezza specifici di Dropbox (come la perdita di informazioni).


Non è vero: Dropbox crittografa tutti i blocchi di dati presenti sui suoi server. Tuttavia, le chiavi sono gestite interamente da Dropbox e condivise tra account diversi. Esistono numerosi altri problemi di sicurezza, google per "Dropbox config.db" e altri (da quando hai scritto questa risposta).
RichVel,

1

Molto dipenderà dalle politiche in atto nella vostra azienda. Se è come dove lavoro - dove tutto lo sviluppo che faccio appartiene all'ospedale, e non a me - allora sarei preoccupato che sia un mezzo facile per "allontanare" le risorse intellettuali dell'azienda.

Esistono molti sistemi di gestione dei documenti che ti consentono di impostare qualcosa che è accessibile solo internamente o tramite una connessione monitorabile.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.