¿Cómo evitar la fuga accidental de datos / documentos en un mundo virtual?

Question

¿Cómo evitar la fuga accidental de datos / documentos en un mundo virtual?

#1 de schroeder (2 votos)

2

Como empleado de una de las organizaciones tecnológicas ahora infinitas que promocionan los dispositivos portátiles y portátiles BYOD, o dispositivos en general que pueden llevarse a casa y / o utilizarse de forma prematura, ¿cómo evita la pérdida accidental de datos / impone la destrucción de documentos en su políticas de seguridad?

Ejemplos específicos de riesgos que pienso son:

El documento, que es confidencial desde el punto de vista comercial, se descarga al dispositivo desde el correo electrónico, el usuario lo olvida y hace una copia de seguridad, luego se restaura en otro dispositivo / dispositivos múltiples y, finalmente, migra a los documentos personales de los usuarios en la nube / disco duro externo para siempre. El usuario practica poca seguridad en la nube / pierde el disco duro y el documento se libera de forma gratuita.
El documento A es una política a seguir cuando se realizan los procedimientos x, y, z dentro de la organización. El usuario A distribuye el documento a 30 personas por correo electrónico y cada usuario descarga el documento. El documento A se vuelve obsoleto debido al riesgo de seguridad en la política. El documento B se publica, pero los usuarios siguen utilizando el documento A.

Siento que una política de seguridad por sí sola no puede hacer cumplir este comportamiento como un error humano por mal uso. ¿No es razonable asegurarse de que los documentos se encuentren en un entorno basado en la nube con políticas de clasificación correctas y que nunca puedan descargarse? por ejemplo, utilizando un servicio como Google Drive o un sistema de gestión de documentos donde puede cargar o editar en vivo pero no descargar.

Siento que este riesgo es mucho menor con una configuración tradicional de cliente / servidor donde, esencialmente, los archivos son propiedad del servidor y los usuarios no se llevan los dispositivos a casa. Las políticas y la limpieza de los archivos de los usuarios son mucho más fáciles cuando todos viven en una única ubicación. La auditoría puede ocurrir en cosas como hacer copias de seguridad de archivos en USB, etc. para uso malicioso, pero creo que estoy más preocupado por el lado accidental de las cosas.

¿Pensamientos?

destruction data-leakage

pregunta Cyassin 24.08.2017 - 07:27

fuente

1 respuesta

Lea otras preguntas en las etiquetas destruction data-leakage

OpenSSL: ¿Cómo establecer default_crl_days en infinito / sin caducidad? ¿Es útil el encabezado HSTS para aplicaciones móviles?

score 2 · Answer 1

Su pregunta es un poco confusa, pero en realidad pregunta sobre un problema central. Se trata de autorización .

¿Quién y qué está autorizado para descargar / leer un documento en un mundo en la nube y cómo lo hace cumplir?

Las políticas definen una dirección y un objetivo. Guían el diseño del proceso de autorización y los mecanismos de ejecución. En resumen, son sólo un punto de partida. Asegurar los límites de distribución (correo electrónico, en su ejemplo) y control de versiones (versiones de políticas, en su ejemplo) debe aplicarse a través de la tecnología.

Desde una perspectiva de la tecnología, ha habido muchos intentos de abordar esto.

Blackberry y Samsung Knox (divulgación completa, formé parte del equipo asesor de Knox) tenían áreas de sandbox del dispositivo que podían autorizarse para conectarse y permitieron a la organización controlar esa parte del dispositivo. Como usted probablemente sabe, esto tuvo un éxito limitado.

Pero ¿qué pasa con BYOD? Desafortunadamente, esto solo tiene una solución única: no autorice a los dispositivos a acceder a datos que no están bajo el control de la organización. Emita dispositivos a los usuarios o solicite su consentimiento para instalar un agente en el dispositivo. Esta es la única manera de abordar este problema de una manera eficiente.

¿Qué pasa con BYOEmail? Esto se soluciona simplemente supervisando y auditando los correos electrónicos a las direcciones de correo web. Cualquier cosa a la cuenta de correo electrónico personal de un empleado debe ser prohibida a través de la política y ser seguida durante las auditorías. Esto aborda su lado 'accidental' de las cosas. Pero, esto requiere que mantenga sus propios sistemas de correo electrónico y que cuente con personas y mecanismos para realizar este nivel de monitoreo.

Sí, BYOD y la nube hacen posible que un equipo de 5 personas haga el trabajo de un equipo de 50 personas, pero lo que se pierde en esa eficiencia es el control sobre los datos del equipo, y de eso no se habla. El salto de 'ágil' a 'seguro' es un gran salto ...