Trabajo con una pequeña startup al comienzo de su ciclo de vida. Recientemente planteé algunas preocupaciones de seguridad relacionadas con la continuidad del negocio y la preparación para emergencias.
He estado tratando de defender la importancia de tener un plan para la respuesta a incidentes, como la posibilidad de tener accesos críticos y contraseñas u otras credenciales accesibles en caso de un incidente de seguridad o catástrofe (también incluye documentos o procedimientos que contienen información confidencial para cubrir aspectos tales como la necesidad de redistribuir nuestro entorno) o tener acceso a ciertos servicios o cuentas importantes sin depender de la disponibilidad de personas específicas que poseen esas cuentas, ya que somos un equipo multinacional. Actualmente, no tenemos mucha organización con respecto a esta área. Hay cuentas con los propietarios que ya no participan en los equipos y muchas instancias de "si se rompe, tenemos que esperar que este chico en inserte el país aquí esté disponible a la mitad de la noche". / p>
Revisé algunas opciones, y los administradores de contraseñas parecen ajustarse a la cuenta para al menos algo de esto. Algunas personas recomendaron KeePassX en preguntas relacionadas, pero no puedo decir si sería útil para varios miembros del equipo y tendría que investigarlo para ver si es algo que sea fácil de transportar. No parece haber mucha documentación y partes de su sitio web están caídas, lo que me hace preguntarme qué tan legítimo es. Personalmente uso 1Password y parece que tienen un plan centrado en el equipo que incluye un panel de administración para administrar los permisos y el acceso, pero carece de opciones de auditoría como los registros de cambios / acceso sin actualizar al plan de negocios al doble del costo. El costo es un factor importante en cualquier solución, ya que cualquier aumento de presupuesto (incluso los más pequeños) es difícil de negociar en este momento, pero si hay una solución costosa que es la mejor, puedo lanzarla y esperar lo mejor.
¿Alguien sabe alguna opción mejor?
¿Estoy pensando en la dirección correcta o me estoy enfocando demasiado en los administradores de contraseñas donde otra solución podría encajar mejor?
¿Estoy creando problemas de seguridad adicionales al tratar de colocar toda esta información confidencial en un solo lugar?
¿Es mejor considerar una solución física (por ejemplo, comprar una caja fuerte) aunque ninguno de nosotros esté en el mismo lugar?
Mi objetivo es entender cuáles son mis opciones, qué opción / servicio / producto se ajusta mejor a nuestras necesidades, investigar cómo usar las mejores opciones y presentar esta decisión final a mis superiores.