¿Qué tan seguro es Slack para la información confidencial en comparación con otras alternativas como Mattermost? [duplicar]

Navega tus respuestas
4

Nuestra compañía está contemplando los beneficios de cambiar de Slack a Mattermost.

Uno de los argumentos es que 'la información confidencial debería ser más segura porque está almacenada en nuestros servidores'.

¿Pero es así?

Mattermost es de código abierto y las vulnerabilidades se pueden encontrar y explotar en cualquier momento. Aunque Slack almacena información en sus servidores, la probabilidad de que un atacante explote exactamente sus datos es menor, ya que tendrían que encontrarla, evaluarla y considerarla útil. Y en el caso de que se produjera un hackeo en un servidor Slack, se sabría y quedaría tiempo para hacer el control de daños.

También Slack tiene todos los incentivos para mantener la seguridad a un nivel superior para garantizar el éxito y la reputación de su negocio.

Mientras que un servidor privado de Mattermost podría estar menos protegido y caer ante un ataque dirigido, en cuyo caso el atacante podría explotar la información de inmediato y no dejar tiempo para el control de daños.

P.S. Esto no es un duplicado per se de los Open Source vs Closed Source Systems pregunta. Citando la respuesta principal sobre la pregunta 'duplicada': "Para razonar sobre esto, debe limitar la discusión a un proyecto específico". Esta es una pregunta sobre dos proyectos específicos.

    
pregunta Harijs Deksnis 05.07.2016 - 19:56
fuente

1 respuesta

3

Hay algunos puntos adicionales que vale la pena mencionar:

Cons

  • Debes confiar en el equipo de Slack porque tienen acceso a todos tus mensajes y conversaciones
  • Debe comprobar que los empleados anteriores o terceros no tengan acceso a sus chats Slack (necesita un robot adicional)
  • Los servidores Slack están disponibles desde cualquier dispositivo, incluidas las configuraciones de seguridad que no puede controlar (por ejemplo, dispositivos fuera de MDM). No puede usar protección adicional en este lugar (VPN corporativo, etc.)
  • En el caso de Slack, no puede aplicar la seguridad de la contraseña y la política de rotación, no puede vincular Slack con, por ejemplo, su sistema de autenticación corporativo de Active Directory. En caso de que sus datos se vean comprometidos, será difícil investigar el incidente ya que no tiene registros, etc.
  • No hay una versión de Slack Enterprise disponible en este momento

Pros

  • Slack puede ser más barato de configurar y mantener
  • Hay una garantía de que las nuevas versiones aparecerán y los desarrolladores no abandonarán el soporte para el proyecto (a veces sucede en el mundo de código abierto)
  • Tendrás soporte técnico del equipo de Slack
  • Existe la posibilidad de que la versión Enterprise aparezca y tenga algunas características de seguridad empresarial

En mi opinión, Slack es mejor para equipos pequeños y empresas nuevas, pero en el caso de las grandes empresas, es mejor que elijas algo sobre lo que tengas el control. De todos modos, depende de usted: solo evalúe los riesgos y descubra lo que puede y no puede aceptar en su situación.

Actualización: Como se nota en los comentarios, el punto 2 de Pros es bastante discutible: solo recuerda la historia sobre Google Reader.

    
respondido por el CaptainRR 05.07.2016 - 22:05
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las desventajas de la navegación segura de Google? ¿Cómo probar CVE-2004-0789 Denegación de servicio de respuesta de DNS de múltiples proveedores?