Práctica recomendada para bloquear el uso de Dropbox

El uso de Dropbox no es inherentemente un mayor riesgo de seguridad que otros métodos de transferencia de datos. Trabajo en una empresa de consultoría de seguridad y con frecuencia usamos Dropbox para transferir archivos cifrados a nuestros clientes. También usamos SFTP, pero esto parece ser problemático para algunos de nuestros clientes.

Una mejor política es que todos los datos de la empresa deben estar cifrados en reposo. Esta política debe incluir computadoras portátiles, servidores, servicios en la nube de la empresa y cualquier otro lugar donde pueda almacenar los datos de la empresa. Asegúrese de educar a sus empleados sobre el almacenamiento y la transferencia de datos de manera segura. El bloqueo de Dropbox puede tener efectos adversos, como forzar a los empleados a utilizar métodos menos seguros para transferir datos. Descubrí que los empleados encontrarán formas creativas de hacer su trabajo, y no siempre son seguras.

También estoy de acuerdo en que la educación del usuario es clave. Si las personas están transfiriendo datos para sincronizar con el hogar cuando no desea que estén sincronizando los datos con el hogar, deben ser informados de que no deben sincronizar los datos con el hogar. Converse con ellos y averigüe por qué creen que necesitan tener los datos en casa. Si es porque necesitan poder trabajar desde su casa en alguna ocasión, tal vez valdría la pena configurar una VPN u otro sistema de acceso remoto para permitirles acceder de forma segura a los datos cuando están en casa pero mantener el control de los datos en los sistemas de la empresa. .

También tengo que aceptar que el bloqueo absoluto de Dropbox no solucionará el problema y probablemente lo empeorará. Usar Dropbox para transferir archivos es solo un síntoma del problema y es relativamente benigno (en comparación con otros enfoques). Quite esa herramienta sin abordar el problema subyacente de que los usuarios no entienden la seguridad de los datos y no tienen acceso cuando creen que lo necesitan y encontrarán formas más ingeniosas y menos seguras de hacerlo.

Dropbox no es el problema the , pero tampoco sugeriría dejarlo sin resolver. Use cosas como el menor privilegio y las restricciones de aplicación / firewall para evitar que los usuarios instalen / usen Dropbox en sus computadoras de trabajo cuando sea posible. Utilice la supervisión de la red para detectar usos no autorizados del sistema. A menos que sea algo que esté aprobado para un propósito comercial (y que el riesgo haya sido evaluado y aceptado por su responsable de seguridad de TI), Dropbox no es un lugar donde desee que se guarden sus datos corporativos.

Por supuesto, en general, no quiere que sus datos corporativos se mantengan en cualquier lugar fuera del control de su empresa. Desafortunadamente, debido a cosas como los requisitos de teletrabajo, esto no siempre es posible mantener. Aquí es donde cosas como la protección de datos en reposo (por ejemplo, el cifrado de todo el disco) pueden ayudarlo a protegerse. Siempre que sea posible, debe cifrar todos los datos en cualquier dispositivo móvil de la empresa (computadoras portátiles, teléfonos inteligentes, unidades extraíbles, etc.) y cualquier otro sistema corporativo que salga de sus instalaciones.

Sin embargo, todo el cifrado en el mundo no ayudará cuando un empleado decida que absolutamente debe tener algunos datos corporativos en casa. En ese momento, encontrarán alguna forma de hacerlo, te guste o no. Esto puede ser mediante el uso de unidades de memoria USB personales, correo electrónico o cualquier número de otros métodos. Ciertamente, puede bloquear la mayoría de estos a través de medios técnicos (y le sugiero que lo intente, donde sea práctico) pero, tan pronto como crea que ha implementado una medida de seguridad a prueba de usuarios, encontrará que alguien contrató a un usuario más inteligente.

Para manejar tales valores atípicos, lo primero que debe considerar es en realidad una medida de aquiescencia. Vuelva a evaluar las necesidades de los usuarios y determine cuáles son realmente un buen caso de negocio para el teletrabajo. Para esos casos, emita computadoras portátiles, teléfonos inteligentes y unidades extraíbles que estén totalmente encriptadas y configuradas de acuerdo con los estándares corporativos. Deles acceso VPN a las partes de su red que necesitan para poder teletrabajar. Si puede brindarles a los usuarios una manera de hacer lo que tienen que hacer de manera simple y con relativamente poca molestia, será mucho más probable que lo hagan a su manera en lugar de encontrar una manera a su alrededor.

Para los usuarios que no tienen suficiente justificación comercial para autorizar capacidades completas de teletrabajo (y para el resto de la empresa, en realidad) también debe centrarse en la educación del usuario y la aplicación de políticas. Asegúrese de que los usuarios entiendan qué métodos están permitidos (si los hay) para transferir datos de manera segura desde sus computadoras de trabajo normales, y qué medidas punitivas pueden tomarse si se descubren violaciones de esa política. Si su empresa tiene una política BYOD que los usuarios pueden encontrar útil, asegúrese de que la conozcan y cómo seguirla adecuadamente. Sin embargo, al final, una ley sin dientes no vale nada: debe asegurarse de que la administración haya aceptado estas políticas y esté dispuesta a cumplirlas.

TL; Versión DR:

Como han dicho otros, Dropbox es realmente un síntoma del problema más grande: tienes usuarios que sienten que las políticas de tu empresa se están interponiendo en el camino para hacer su trabajo. Este problema debe abordarse desde varios ángulos:

1. Buy-In de la administración & Cumplimiento de la política : asegúrese de que la administración esté totalmente a bordo de las políticas de la compañía con respecto al teletrabajo, BYOD y la fuga de datos. Deben estar dispuestos a seguir adelante con el dinero para proporcionar soporte para estas políticas (por ejemplo, computadoras portátiles, infraestructura de VPN, personal de apoyo adicional, etc.), así como acciones administrativas para hacer frente a las violaciones.
2. Educación del usuario : asegúrese de que los usuarios comprendan las políticas de su empresa y cómo transferir datos de forma segura cuando existe una necesidad comercial.
3. Reevaluar las necesidades de los usuarios : vea si hay usuarios que realmente puedan necesitar el apoyo de su empresa para teletrabajar de manera segura, y comuníquese con ellos si puede.
4. Protección de datos en reposo : asegúrese de que todos los dispositivos móviles emitidos por su empresa (por ejemplo, computadoras portátiles, teléfonos inteligentes, unidades extraíbles, etc.) estén totalmente encriptados.
5. Otros medios técnicos : utilice políticas de cortafuegos, privilegios mínimos, detección de redes y otros mecanismos para bloquear y detectar intentos no autorizados de fuga de datos. Tenga en cuenta que esta es realmente su última línea de defensa, y es casi seguro que no será infalible.