Comenzar un nuevo trabajo después de trabajar en casa durante años. ¿Cómo proteger mejor los datos, los secretos y la privacidad en el lugar de trabajo?

0

Acabo de comenzar a entrevistarme para un nuevo trabajo de computadora después de años de trabajar desde casa.

En casa me siento muy seguro de cómo me protejo de la pérdida de datos y de mantener seguros mis secretos. Realizo una copia de seguridad de nuestras dos computadoras con el impresionante CrashPlan de cuatro dólares al mes y, además de mis proyectos de programación, utilizo Bitbucket para realizar copias de seguridad individuales de cada cosa importante en mi computadora. Esto incluye la copia de seguridad FEBE de Firefox, la configuración de XYplorer, la configuración de Sublime Text, mi sitio web, algunos documentos personales y configuraciones de tamaño más pequeño para un montón de otras aplicaciones).

Lo más importante, dado el horror del malware como (el anterior) CryptoLocker y (actual) CryptoWall , estas copias de seguridad sin conexión no están conectadas a mi computadora, excepto durante el proceso de copia de seguridad real. No uso Dropbox para nada excepto para transferencias de documentos a corto plazo. (Me sorprendería si Dropbox no lanzara una versión desconectada en algún momento).

En cuanto a los secretos, utilizo 1Password (que requiere una contraseña maestra) y AxCrypt (que usa tanto una frase de contraseña como un archivo de clave) para cifrar cualquier cosa, incluso de manera ligeramente privada.

Lo más importante que me preocupa en el lugar de trabajo es cómo puedo proteger mi contraseña maestra, a la que debo ingresar unas cien veces al día.

Estoy pensando en hacer que el tiempo de espera de 1Password sea un poco más largo, pero para hacerlo un hábito (absolutamente infalible), cada vez que me levanto de la computadora, lo encierro ... que también bloquea la bóveda de 1Password. También siempre uso su "inicio de sesión seguro".

(Debería obtener una cuerda y un clip de cocodrilo como los que tienen en las cintas de correr, que cuando se retira, se apaga automáticamente).

En serio, sin embargo, ¿hasta dónde lo llevas? ¿Pones una toalla sobre tus manos cada vez que la ingresas?

Mi otra preocupación importante es que, aunque quiero minimizar la cantidad de documentos cifrados que tengo en mi máquina de trabajo, ¿cómo desencripto los documentos de manera conveniente, cuando el archivo clave tiene que ser un archivo de texto simple, pero (a) No quiero simplemente dejar vulnerable el archivo de clave, pero (b) tampoco quiero tener que crear, usar y luego destruir este documento cada vez. (Tanto la frase de contraseña de AxCrypt como el texto del archivo de clave están en 1Password).

Mi última gran preocupación es que mi computadora sea devorada con vida porque un compañero de trabajo en la misma red fue engañado para instalar CryptoWall. Creo que mis hábitos de respaldo generalmente cubren esto, aunque no estoy seguro si mi empleador me permitiría usar CrashPlan o si me verían forzado a usar algo en casa, lo que me asusta un poco.

Y algunas preocupaciones paranoicas (?): registradores de claves, cámaras espía y seguimiento de mi actividad en línea.

Dos pensamientos restantes: ¿Evita los administradores de Facebook y de múltiples portapapeles (porque sé que none tiene funciones integradas de protección de contraseña / purga) en el trabajo?

Me encantaría una lista de verificación de las cosas más importantes a tener en cuenta, y las cosas más importantes que hacer / no hacer, para protegerme, proteger mis datos, mis secretos y mi privacidad en línea cuando estoy en el trabajo.

Gracias.

    
pregunta aliteralmind 11.01.2015 - 04:34
fuente

1 respuesta

4

En primer lugar, creo que es necesario distinguir entre el riesgo personal y el riesgo de la empresa. Probablemente esté acostumbrado a ser responsable de todos los riesgos, pero en un escenario corporativo probablemente no será responsable de administrar los riesgos para la compañía (excepto a través de la aplicación de la política de la compañía).

Los riesgos personales y de la empresa deben administrarse de manera diferente desde su punto de vista, por lo que los trataré por separado.

Riesgo personal

Estos son riesgos para sus datos personales y cuentas al acceder a ellos a través de los recursos de la empresa. Por ejemplo: su contraseña de Facebook se ve comprometida por un compañero de trabajo que mira, su malware personal en la red corporativa, etc.

La cuestión es que no puede estar seguro de la integridad de una máquina de la empresa . No puede descartar que la compañía no esté ejecutando el software de registro de claves para fines de monitoreo o que no hayan instalado su propio certificado de CA para que puedan monitorear el tráfico HTTPS. Incluso si no es una política de la compañía hacer estas cosas, es probable que alguien además de usted tenga acceso de administrador en su máquina y, por lo tanto, un empleado deshonesto podría ser una amenaza. Alguien más que tenga acceso de administrador / administrador significa que podría cambiar casi cualquier aspecto del sistema y ocultar casi cualquier indicio de sus cambios.

Bajo ese escenario , debe tratar su estación de trabajo como cualquier otro sistema que pueda ser una amenaza para sus cuentas personales , por lo tanto:

  • Utilice diferentes claves maestras y contraseñas en el trabajo y para las cuentas de trabajo
  • Evite acceder a cuentas personales especialmente sensibles en el trabajo
  • Separe sus cuentas personales y laborales, evite registrar direcciones de correo electrónico de la empresa como direcciones de recuperación, etc.
  • Si necesita acceder a una cuenta personal mientras está en el trabajo, use un dispositivo personal en su lugar

Personalmente, aunque mi lugar de trabajo no tiene problemas para acceder a cuentas personales como Facebook o correo electrónico desde el trabajo, generalmente lo evito. En su lugar, solo uso mi teléfono (que no es propiedad de la empresa) a través de 3G. Si hay algo a lo que quiero acceder desde mi estación de trabajo que no representa un riesgo significativo (por ejemplo, un enlace que guardé en mi bandeja de entrada personal), lo reenviaré a mi correo electrónico del trabajo desde mi teléfono.

Riesgo de la empresa

Riesgos para los recursos de la empresa, por ejemplo, cryptolockers, pérdida de datos, cuentas de trabajo, contraseñas de trabajo, etc.

Generalmente esto probablemente no sea tu responsabilidad. Su empresa debe tener políticas vigentes que consideren estas amenazas en relación con el costo de mitigarlas y debe aplicar estas políticas según sea necesario .

Probablemente está bien ir más allá de las políticas establecidas por la compañía a su discreción, pero tenga en cuenta que habrá algunos escenarios en los que esto no estará bien, por ejemplo:

  • Tomar sus propias copias de seguridad de datos importantes / valiosos de la empresa puede verse como sospechoso
  • Algunas precauciones se pueden prescindir deliberadamente porque se ha determinado que el costo (por ejemplo, para la productividad) supera el riesgo que mitiga
  • La introducción de su propio software (por ejemplo, 1Password) puede crear riesgos que su compañía no ha considerado, incluso si están destinados a aumentar la seguridad

TLDR; Mantenga sus cuentas / datos personales separados del trabajo y siga las políticas de seguridad de la información de su empresa.

    
respondido por el thexacre 11.01.2015 - 06:51
fuente

Lea otras preguntas en las etiquetas