Transferencia de contraseñas a un abogado externo

1

Como parte de un nuevo esfuerzo de eDiscovery, enviamos grandes cantidades de datos en hardware encriptado a terceros (asesores externos) que no son muy competentes técnicamente (por lo que no hay intercambio de claves a través del escritorio de PGP). Nuestra política de cumplimiento establece que no hay contraseñas en los correos electrónicos, pero el equipo de IT Sec no tiene otra solución alternativa que no sea la comunicación por voz. ¿De qué otras formas podemos comunicar esta contraseña? ¿Es suficiente el hecho de que el correo electrónico esté completamente separado del hardware?

Editado con más información

Un poco más de información después de hacer algunas excavaciones adicionales. Existen algunas herramientas de terceros que parecen estar hechas para este tipo de problema: notas autodestructivas de contraseñas, utilidades de pago, etc. Joel Spolsky menciona el uso de sitios para compartir archivos. Eso parece un buen compromiso, ponga la contraseña en un archivo y comparta el archivo con el correo electrónico específico de la persona a la que le está enviando la unidad. ¿Alguna idea adicional sobre estos enfoques?

    
pregunta SDH 24.12.2014 - 18:26
fuente

2 respuestas

4

Como cuestión de política, no usaría ninguna forma de comunicación que esté grabada de forma predeterminada porque nunca tiene control sobre lo que le sucede y quién podría tener acceso a ella en el futuro. Eso descarta el correo electrónico. Como mencionó, los métodos de clave pública también están disponibles, ya que el abogado no es lo suficientemente experto técnicamente.

Normalmente, es poco probable que los datos se roben en tránsito, pero es mucho más probable que se roben en reposo. Por lo tanto, aunque el correo electrónico y la llamada de voz no están cifrados, la llamada de voz es mucho más segura, ya que normalmente no se graban. Aunque en estos días es posible que incluso se pueda grabar una llamada de voz a un abogado.

Tendrá que establecer su propio nivel de paranoia, pero parece que no es la NSA, así que diría que si usted y el abogado se conocen y pueden reconocer la voz de cada uno, eso va a estar "lo suficientemente seguro" para frustrar a los malhechores. Todavía serías vulnerable a la investigación del gobierno, por supuesto. Consulte con su abogado si el intercambio de una contraseña está protegido por el privilegio de abogado / cliente.

    
respondido por el Steve Sether 24.12.2014 - 20:48
fuente
2

Mi experiencia es que la solución menos horrible es organizar una llamada telefónica a una hora específica y autenticarlos a través del conocimiento que ambos comparten, pero que es poco probable que un adversario sepa.

Por ejemplo, en la invitación a la llamada, hágales saber que les hará una pregunta relacionada con el caso para autenticarse.

me: Hi, Bob. How're the kids?   
Bob: Hi. They're alright. You said you had a question for me   
me: Yes. What was the name again of that witness who alleged they were out of town when the plaintiff hurt his ankle?    
Bob: Oh, Mary? Yeah, not sure her story stands up   
me: I know. So anyway, the password is: SIERRA SIERRA FOXTROT NINER SIX FOXTROT SEVEN PAPA ONE ZERO   
Bob: Thanks. I got SSF96F7P10   
me: Yep. See you in the next phase of discovery   
    
respondido por el DTK 24.12.2014 - 19:23
fuente

Lea otras preguntas en las etiquetas