¿Cómo debemos almacenar y compartir documentos con acceso restringido?

Navega tus respuestas
1

Hasta ahora hemos manejado la restricción del acceso a los documentos al tener un recurso compartido en nuestro servidor al que solo podían acceder los 2 responsables de contabilidad y otro al que solo podían acceder las 2 personas de recursos humanos. Y todo lo demás está disponible para todos.

Hemos crecido a un tamaño en el que esto no funciona bien. Para continuar con este enfoque necesitaríamos 5 acciones diferentes. Y la gente probablemente cometerá errores al poner los archivos en la parte incorrecta.

¿Qué debemos hacer? Solo somos 32 personas y no quiero traer un desorden complejo. Pero sí quiero tener un sistema que funcione con hasta 100 empleados.

Somos una tienda de Windows si eso marca la diferencia. Y esto es principalmente DOCX & Archivos XLSX.

ps: creo que esta es una pregunta válida, ya sea como política de seguridad, herramientas de seguridad y / o protección física de los activos de información.

    
pregunta David Thielen 04.11.2015 - 23:38
fuente

3 respuestas

3

Si tiene un Active Directory o un sistema de usuario centralmente administrado similar, esto debería ser bastante fácil de implementar. Active Directory ha tenido el control de acceso incorporado durante más de una década.

enlace es un artículo de Microsoft que explica esto. en gran detalle. En términos generales:

  1. Cree un sistema de carpetas que indique para qué es cada tipo de documento.
  2. Defina una configuración de grupo de Active Directory para sus diferentes equipos: uno para RRHH, uno para Contabilidad, uno para desarrolladores, otro para el servicio de asistencia, otro para administración, etc.
  3. Para cada grupo, configure los permisos que ese grupo debe tener para cada carpeta. Esto puede abarcar desde permisos completos, lectura, escritura hasta no permisos.
  4. Asigne todas sus cuentas AD de empleados al grupo correcto.

Si no tiene un sistema de usuario administrado centralmente con una compañía de 32 empleados, GET ONE ASAP. Solo facilitará la vida de su administrador de sistemas y es una inversión que vale la pena para una compañía que se expandirá a 100 o más personas. Además del control de acceso, la administración central de usuarios permite mucha más flexibilidad en la administración de usuarios y la administración de contraseñas y le permite mucho más control no solo sobre los archivos, sino también sobre la configuración de Windows.

  

Y la gente probablemente cometerá errores al colocar los archivos en el recurso compartido incorrecto.

Esto es solo una cuestión de educar a sus usuarios sobre la gestión adecuada de archivos. No podrá encontrar una solución 100% técnica a menos que comience a realizar proyectos de desarrollo interno complejos (lea: inestable). Utilice una combinación de software existente y bien establecido y capacitación del usuario.

    
respondido por el Nzall 04.11.2015 - 23:58
fuente
1

Realmente no veo por qué esto no funcionaría. Tendrías por ejemplo:

  • Una carpeta de contabilidad a la que solo pueden acceder los contables.
  • Una carpeta de Recursos Humanos a la que solo pueden acceder Recursos Humanos.
  • Una carpeta con la que todos puedan leer, por ejemplo. la documentación interna para configurar Outlook.

Solo necesita organizar el árbol de contenido de una manera lógica y luego asignar los permisos según sea necesario (tenga en cuenta que puede otorgar permisos por carpeta e incluso por archivo, no es necesario que sea por recurso compartido¹).

¿Por qué alguien en Recursos Humanos guardaría un CV junto con el archivo de ayuda de Outlook?

Tal vez estaba pensando en un enfoque con las carpetas que codifican los permisos de destino, un ejemplo extremo de las cuales podrían ser las carpetas nombradas por las personas que acceden allí. Esto no solo sería complejo para los usuarios (¿por qué debería recordar a todos en el departamento X?), Sino también confuso si alguien cambia de departamento.

No debes hacer que la gente piense en "¿A quién se le debe dar acceso a esto" sino a "¿Dónde se debe llenar?".

Por lo que sé, así es como funcionan la mayoría de las empresas.

¹ No sigues usando Windows 95-Millenium, ¿verdad? ;)

    
respondido por el Ángel 04.11.2015 - 23:49
fuente
1

Hmmm. Creo que me inclino por un enfoque ligeramente diferente a la integración de la autenticación para acceder a su almacén de documentos confidenciales con su configuración de Active Directory. Porque, en mi opinión, entonces la seguridad de esos documentos dependerá casi exclusivamente de la seguridad de su configuración de AD. Y eso podría no ser necesariamente algo bueno, desde el punto de vista de la seguridad.

No es que Active Directory sea imposible de implementar de manera que garantice una seguridad robusta para cosas especialmente sensibles; Obviamente, muchas tiendas logran hacer precisamente eso. Sin embargo, muchas tiendas también piensan que pueden hacerlo y terminan fracasando en el esfuerzo. (Algunos de ellos se rompen y tienen estas fallas expuestas vívidamente, otros solo tienen suerte y nunca son atacados de manera concertada).

Las personas que implementan y ejecutan la configuración de AD pueden ser buenas, pero crear y mantener continuamente un entorno de dominio con una seguridad sólida es una tarea realmente desafiante. ¿Puede decir que está seguro de que su gente o contratistas son suficientemente versados en las prácticas de administración de información de seguridad para compartimentar sus actividades de administración de dominio para no exponer sus credenciales de administrador de dominio (es decir, "las claves para un reino de Active Directory ")? Para configurar la autenticación de dos factores, lo que usted realmente quiere, cuando protege información especialmente sensible de cualquier tipo - con su configuración actual de AD? No pretendo prejuzgar las capacidades de las personas que manejan la configuración de su tecnología día a día en este momento, pero ... bueno, en mi experiencia, las pequeñas y medianas empresas como la suya generalmente no tienen muchas Administradores calificados, expertos en seguridad en la empresa para administrar adecuadamente AD en un entorno de alta seguridad. Y si vincula su almacén de documentos con la autenticación AD, su configuración de AD completa deberá ejecutarse como un entorno de alta seguridad. Lo que a menudo no es deseable.

Hay un enfoque mucho más simple y posiblemente más seguro que viene a la mente, pero podría o no ser apropiado, dependiendo de cuán sensible sea la información en esos documentos: configurar una cuenta de Office 365 y almacenar sus documentos allí con dos. Factor de autenticación habilitado. Sé que uno tiende a escuchar acerca de una opción en la nube para almacenar cosas sensibles y hacer una mueca (generalmente hago lo mismo), pero en su caso podría ser una alternativa más segura. Uno de sus vectores de amenazas, el robo físico de las unidades que contienen la información, se resuelve de manera agradable y las instalaciones de dos factores ejecutadas por Microsoft no hacen que la seguridad de sus documentos dependa de la configuración y configuración de su dominio de AD local. mantenido adecuadamente el 100% del tiempo por su gente o contratistas. Además, puede configurar los permisos de acceso carpeta por carpeta para diferentes usuarios incluso más fácilmente que con las carpetas locales y amp; Comparte.

(Nota al margen: para que quede claro, no estoy pidiendo nada a la solución de nube de Microsoft. Los productos de Google también cumplirán con las necesidades de los OP, al igual que los de Dropbox, box.net o etc. Office 365 me vino a la mente primero porque el OP tiene una tienda de Microsoft, y porque ahí es donde también se encuentran mis habilidades personales y mi experiencia también.)

    
respondido por el mostlyinformed 05.11.2015 - 01:26
fuente

Lea otras preguntas en las etiquetas

Reiniciando un enrutador secuestrado Comprimir o afectar lectores de tarjetas, sistemas de facturación o terminales POS usando una tarjeta maliciosa