¿Deberíamos almacenar las actas de las reuniones en un iPad?

Navega tus respuestas
6

Al estar empleado en el campo infosec me gustaría dar un buen ejemplo. Sin embargo, tampoco creo en sudar las cosas pequeñas y Me gustaría maximizar mi productividad. Mi lugar de trabajo actual, mientras realizo pruebas piloto de dispositivos, iPads, etc. todavía no tiene una solución empresarial para iPad. Tengo un iPad personal que me gustaría usar para tomar minutos de reuniones y hacer una lluvia de ideas a través de mapas mentales. En lugares anteriores donde esto no estaba mal visto, lo he encontrado significativamente mejor que escribir en una libreta física porque:

  • Puedo leer lo que escribí 6 meses después y me obliga a tomar notas claras
  • No perderé los datos en lugar de los cuadernos viejos
  • Es mucho más fácil copiar y pegar y consultar información más antigua
  • Es mucho más fácil enviar correos electrónicos en lugar de escribir notas a posteriori
  • El uso de una aplicación nativa de mapas mentales me permite tomar mejores notas y hacer mejores asambleas que doblar en un bloc de notas.

Estos beneficios deben aplicarse a otros también, ya que he visto a otros empleados en reuniones e incluso al personal superior hacer lo mismo.

En el lado del riesgo:

  • Este es un dispositivo personal en lugar de corporativo, por lo tanto es contra la política (aunque uno de los muchos solo se aplica cuando / si hay un incidente)
  • No es administrado por la empresa y los datos no son respaldados, archivados por mi compañía ni pueden ser eliminados por ellos
  • Los datos y las copias de seguridad pueden almacenarse en la nube sin controles empresariales aceptables y fuera de sus jurisdicciones físicas aceptables
  • No hay garantía de que no documentaré información confidencial, ni la enviaré por correo electrónico a través de correo de texto claro
  • La captura de información por medios electrónicos hace que sea más fácil comprometerse y exponerse al riesgo, por ejemplo. correo electrónico

Mi mitigación:

  • El iPad tiene un nivel de seguridad razonable, tiene una contraseña compleja, bajo mi control físico, copias de seguridad cifradas y configuradas para borrar después de 10 intentos fallidos, potencialmente mejor que un bloc de notas escrito en escritorios, etc. y potencialmente mejor que una computadora portátil corporativa sin cifrado completo del disco
  • Con iCloud hay copias de seguridad de dispositivo cifradas automatizadas, la sincronización de documentos aún no está cifrada, que yo sepa.
  • El correo electrónico de intercepción es posiblemente el riesgo más bajo asociado con el correo electrónico
  • La información solo es valiosa en contexto, es decir, conocimiento de los antecedentes de la reunión

Entonces, ¿cuál es el enfoque correcto aquí? ¿Los beneficios superan el riesgo? ¿O debo, como un autómata obediente, seguir la política y dar un buen ejemplo y continuar desarrollando mis habilidades de escritura y garabatos y esperar la solución empresarial (estoy seguro de que llegará este siglo)?

    
pregunta Rakkhi 29.10.2011 - 12:23
fuente

3 respuestas

9

No creo que la solución sea no usar tu iPad, los beneficios son claros. Sin embargo, creo que necesitas abordarlo de la manera correcta.

Trabajando en el campo InfoSec, creo que tiene la responsabilidad de dar un buen ejemplo. Come tu propia comida de perro.

Debes cumplir con la política. ¿Hay un proceso de exención en la política? Esta sería la mejor manera de abordar esto y le permite documentar formalmente los riesgos que ha identificado y las mitigaciones en su solicitud de exención.

Como lo ha identificado, sea consciente de la sensibilidad de la información que está grabando y almacenando. Trate el activo como algo que no sea de confianza, o que sea semi-confiable en el mejor de los casos. Considere adoptar la actitud en la que asume que cualquiera puede leer lo que cree o almacene en el iPad. La grabación de información fuera de contexto y sin detalles granulares puede ayudar aquí.

Finalmente, promueve todo lo anterior. Cuando las personas pregunten acerca de su uso de su iPad dentro de la organización para fines relacionados con el trabajo, cuénteles qué ha hecho para mitigar los riesgos y cumplir con la política.

    
respondido por el lew 31.10.2011 - 03:17
fuente
4

Dado que ha descrito los riesgos y las mitigaciones, ¿no le corresponde a la empresa sopesar los pros y los contras y decidir si realmente es una buena idea permitir el dispositivo?

Personalmente, tengo la impresión de que los dispositivos personales deben permitirse solo en ciertos casos. Deben estar físicamente prohibidos en áreas altamente sensibles de la oficina si tiene esas áreas, y nunca deben llevar datos confidenciales sobre ellas. De lo contrario, cada situación debería considerarse caso por caso.

Parte de la solución puede ser comprar una docena de iPads para que la gente solicite su uso.

Sin embargo, dudo que alguna vez haya un iPad de nivel empresarial.

    
respondido por el Steve 29.10.2011 - 17:47
fuente
4

Sobre una base conceptual, si hay algún problema con sus minutos de escritura en su iPad, se aplicarán los mismos problemas cuando use su teléfono móvil o el teléfono de su casa para discutir asuntos de negocios. Sin embargo, existe una diferencia cualitativa, en cuanto a seguridad, entre su iPad y una notebook: aunque en ambas situaciones, la seguridad está bajo su supervisión directa (usted es responsable de no olvidar su notebook en una barra, por ejemplo), la notebook solo requiere seguridad física , algo en lo que se supone que los seres humanos son buenos, ya que nuestro primer antepasado simio encontró una roca afilada y se negó a compartirla con sus colegas. Un cuaderno no puede ser hackeado de forma remota. Para el iPad, confía en un gran número de personas que no conoce (desarrolladores de Apple, en particular) para ser honestos y para haber realizado su trabajo correctamente, sin dejar atrás las puertas traseras (intencionalmente o no).

En la práctica, si usa su iPad personal para ese trabajo:

  • Si hay algún problema de seguridad relacionado con el iPad, lo azotarán públicamente. Mientras que el espionaje habitual y tradicional en las líneas telefónicas no implicará consecuencias tan graves. Ese es el problema con los precursores de la tecnología. No se le puede culpar por haber usado un teléfono, pero sí por haber usado un iPad no emitido por la compañía.

  • A su jerarquía no le gustará: al decidir usted mismo que utilizará una herramienta con capacidad de red bajo su exclusiva supervisión para almacenar datos comerciales, está ignorando las políticas de la empresa y Sin importar si usar una iPad es una buena idea o no, eludir las políticas de la compañía nunca es aceptado por quienes pasan sus días escribiendo dichas políticas.

  • Al administrador del sistema local no le gustará: su iPad es una intrusión de hardware similar a una computadora que no está bajo su señoría. Esto puede ser visto como una tentativa para desalojarlo de su posición percibida como top-mono.

  • A sus colegas no les gustará: al mostrar su voluntad de proporcionar su iPad personal para el trabajo comercial, socava la posible emisión de iPad por parte de la empresa a sus empleados. Si desea un iPad de una manera socialmente aceptable, debe pedir y lloriquear a menos que la compañía otorgue iPads gratuitos para todos.

  • Le gustarás a Steve Jobs. Pero, hey, está muerto.

Además, no puedo evitar levantar una ceja metafórica ante la idea de que "no perderá los datos en lugar de los viejos cuadernos". La información digital tiende a perderse, no solo por las fallas obvias de hardware y los contratiempos de dónde están mis copias de seguridad, sino también por la obsolescencia de los formatos de datos. ¿Qué haría con las notas de la reunión en las que habría escrito, por ejemplo, una Psion Series 5 hace una docena de años? La conversión de texto del formato de archivo utilizado por el procesador de texto interno requiere un software específico difícil de encontrar.

    
respondido por el Tom Leek 31.10.2011 - 15:06
fuente

Lea otras preguntas en las etiquetas

Cadena de identificación de versión de protocolo incorrecta de SSH: ¿qué es? ¿Cómo deben los hospitales manejar el uso de compartir credenciales para acceder a información confidencial, especialmente en situaciones críticas?