Dropbox no es el problema the , pero tampoco sugeriría dejarlo sin resolver. Use cosas como el menor privilegio y las restricciones de aplicación / firewall para evitar que los usuarios instalen / usen Dropbox en sus computadoras de trabajo cuando sea posible. Utilice la supervisión de la red para detectar usos no autorizados del sistema. A menos que sea algo que esté aprobado para un propósito comercial (y que el riesgo haya sido evaluado y aceptado por su responsable de seguridad de TI), Dropbox no es un lugar donde desee que se guarden sus datos corporativos.
Por supuesto, en general, no quiere que sus datos corporativos se mantengan en cualquier lugar fuera del control de su empresa. Desafortunadamente, debido a cosas como los requisitos de teletrabajo, esto no siempre es posible mantener. Aquí es donde cosas como la protección de datos en reposo (por ejemplo, el cifrado de todo el disco) pueden ayudarlo a protegerse. Siempre que sea posible, debe cifrar todos los datos en cualquier dispositivo móvil de la empresa (computadoras portátiles, teléfonos inteligentes, unidades extraíbles, etc.) y cualquier otro sistema corporativo que salga de sus instalaciones.
Sin embargo, todo el cifrado en el mundo no ayudará cuando un empleado decida que absolutamente debe tener algunos datos corporativos en casa. En ese momento, encontrarán alguna forma de hacerlo, te guste o no. Esto puede ser mediante el uso de unidades de memoria USB personales, correo electrónico o cualquier número de otros métodos. Ciertamente, puede bloquear la mayoría de estos a través de medios técnicos (y le sugiero que lo intente, donde sea práctico) pero, tan pronto como crea que ha implementado una medida de seguridad a prueba de usuarios, encontrará que alguien contrató a un usuario más inteligente.
Para manejar tales valores atípicos, lo primero que debe considerar es en realidad una medida de aquiescencia. Vuelva a evaluar las necesidades de los usuarios y determine cuáles son realmente un buen caso de negocio para el teletrabajo. Para esos casos, emita computadoras portátiles, teléfonos inteligentes y unidades extraíbles que estén totalmente encriptadas y configuradas de acuerdo con los estándares corporativos. Deles acceso VPN a las partes de su red que necesitan para poder teletrabajar. Si puede brindarles a los usuarios una manera de hacer lo que tienen que hacer de manera simple y con relativamente poca molestia, será mucho más probable que lo hagan a su manera en lugar de encontrar una manera a su alrededor.
Para los usuarios que no tienen suficiente justificación comercial para autorizar capacidades completas de teletrabajo (y para el resto de la empresa, en realidad) también debe centrarse en la educación del usuario y la aplicación de políticas. Asegúrese de que los usuarios entiendan qué métodos están permitidos (si los hay) para transferir datos de manera segura desde sus computadoras de trabajo normales, y qué medidas punitivas pueden tomarse si se descubren violaciones de esa política. Si su empresa tiene una política BYOD que los usuarios pueden encontrar útil, asegúrese de que la conozcan y cómo seguirla adecuadamente. Sin embargo, al final, una ley sin dientes no vale nada: debe asegurarse de que la administración haya aceptado estas políticas y esté dispuesta a cumplirlas.
TL; Versión DR:
Como han dicho otros, Dropbox es realmente un síntoma del problema más grande: tienes usuarios que sienten que las políticas de tu empresa se están interponiendo en el camino para hacer su trabajo. Este problema debe abordarse desde varios ángulos:
-
Buy-In de la administración & Cumplimiento de la política : asegúrese de que la administración esté totalmente a bordo de las políticas de la compañía con respecto al teletrabajo, BYOD y la fuga de datos. Deben estar dispuestos a seguir adelante con el dinero para proporcionar soporte para estas políticas (por ejemplo, computadoras portátiles, infraestructura de VPN, personal de apoyo adicional, etc.), así como acciones administrativas para hacer frente a las violaciones.
-
Educación del usuario : asegúrese de que los usuarios comprendan las políticas de su empresa y cómo transferir datos de forma segura cuando existe una necesidad comercial.
-
Reevaluar las necesidades de los usuarios : vea si hay usuarios que realmente puedan necesitar el apoyo de su empresa para teletrabajar de manera segura, y comuníquese con ellos si puede.
-
Protección de datos en reposo : asegúrese de que todos los dispositivos móviles emitidos por su empresa (por ejemplo, computadoras portátiles, teléfonos inteligentes, unidades extraíbles, etc.) estén totalmente encriptados.
-
Otros medios técnicos : utilice políticas de cortafuegos, privilegios mínimos, detección de redes y otros mecanismos para bloquear y detectar intentos no autorizados de fuga de datos. Tenga en cuenta que esta es realmente su última línea de defensa, y es casi seguro que no será infalible.