it-swarm-fr.com

Quels risques de sécurité y a-t-il avec les employés à l'aide de Dropbox?

Existe-t-il des préoccupations de sécurité particulières à garder à l'esprit avec l'utilisation à l'échelle de l'entreprise du partage des fichiers Dropbox/la sauvegarde/la sauvegarde des fichiers Dropbox, ainsi que des options ou des paramètres spécifiques qui seraient recommandés pour limiter le risque?

17
davebug

Cela dépend de votre entreprise et de votre niveau de paranoïaie. C'est beaucoup plus sûr, bien que plus cher, de délivrer des ordinateurs portables avec une connexion VPN.

Vraiment rapide...

Quelques risques:

  • Les anciens employés ont potentiellement accès aux données commerciales après la fin de l'emploi. En tant qu'entreprise, vous devez contrôler les comptes si vous ne voulez pas qu'un employé mécontent ait accès aux choses après avoir été tirée ...
  • Ces services contournement tout mécanisme de rétention de documents automatisé que vous disposez en place, ce qui ajoute une autre zone pour que vous puissiez couvrir manuellement la rétention de documents.

Recommandations:

  • Assurez-vous de générer votre (s) clé (s) de cryptage) pour stocker les données et que les clés (s) ne sont pas partagées avec le fournisseur de services.
  • Assurez-vous que vos données sont cryptées avant d'être envoyées au référentiel du service.
  • Si vous allez laisser les individus avoir leur propre compte, ayez un point de contact unique pour votre entreprise. Coordonner tous les comptes à travers cette personne (ou deux personnes en tant que proxy). Ou assurez-vous que le fournisseur prend en charge les comptes commerciaux que vous pouvez en quelque sorte des employés du groupe.
7
squillman

Je marcherais très soigneusement ici. Dropbox permet une extension au disque dur d'un autre ordinateur.

Cette extension est pire qu'une clé USB dans le sens où les infections sur un PC peuvent accéder à tous les autres ordinateurs utilisant ce partage beaucoup plus facilement qu'avec une clé USB. Les écrivains Virus/Trojan/Bot ne cible pas Dropbox (encore) mais s'ils décident de, vous avez une porte virtuelle déverrouillée d'un PC contrôlé par la société sur un réseau sécurisé à un ordinateur non sécurisé sur un réseau non sécurisé. Comme en utilisant des opérations normales, on ne peut pas simplement passer à cette porte et regarder d'autres choses sur l'ordinateur - seuls les éléments de la liste déroulante peuvent être visibles et les nouveaux articles ne peuvent être créés que dans cette zone, mais cela suppose que le L'application Dropbox peut être compromise.

En outre, Dropbox revendique une grande sécurité, mais ce qui vous est réellement prouvable à vous? Il est possible que quelqu'un puisse se faufiler dans cette fenêtre à distance d'un PC complètement différent et tenter de mettre des documents et des programmes infectés sur le PC de travail.

Il y a évidemment un protocole Dropbox utilise lui-même pour communiquer avec ses clients - est-il crypté? Est-ce à l'abri des débordements tampons? Homme au milieu des attaques? Reniflement? Rejouer des attaques? Est-il possible d'utiliser le protocole standard, de placer des fichiers à l'intérieur ou même à l'extérieur de la zone Dropbox standard? Si le protocole a un débordement de mémoire tampon, est-il possible de compromettre-le de manière à permettre un accès complet à la machine? Actions réseau sur la machine?

Je ne pense pas que le risque est très élevé, mais les dommages causés peuvent être étendus. C'est donc quelque chose qui doit être soigneusement réfléchi.

-Adam

5
Adam Davis

Paranoïa????

Mec .. Sortez du réseau .. Lentement .. avec vos mains loin du clavier. Faites-le maintenant !!!

Les solutions "consommateur" de partage de fichiers tels que Dropbox, ne sont pas destinées aux entreprises ou aux sociétés. Microsoft a dit qu'il est le mieux avec SkyDrive quand ils sont sortis et ont dit que ces types de produits ne sont pas et ne doivent pas être utilisés à des fins commerciales.

Il y a des milliers de raisons pour lesquelles cela ne l'emporte pas les raisons pour lesquelles on devrait.

La plus grande LÉGAL raison en dehors des risques de sécurité (et les conditions d'utilisation qui spécifient que la 3e Parties peut avoir accès à la confidentialité Die donc rien de confidentiel ne devrait jamais être stocké sur un tel service basé sur le consommateur ..] est le fait avec un service tel que Dropbox, bien. Laissez-moi demander cela .. où sont ces fichiers stockés? Où se trouvent ces serveurs? Vous pouvez être assuré, avec le plus bas soumissionnaire, appelez quelque chose appelé Règles d'exportation de données et lois ... Si vous avez un seul fichier minuscule, le "gouvernement des États-Unis peut juger comme un risque ou un risque potentiel pour la sécurité américaine" (pourrait être quelque chose Aussi petite que la disposition électrique à un lieu de rassemblement public, une école, une salle de sport, des mots de passe ou un nom d'utilisateur à quelque chose comme un compte Cisco où vous pouvez télécharger des logiciels restreints à l'exportation, etc.) aux documents classés, vous êtes en violation de cette loi. Vous allez en prison, vous ne passez pas aller .. Je crois maintenant, cela est géré par FTC et la sécurité intérieure ..

Les conditions d'utilisation de la DB spécifient (fondamentalement) que si elle est installée sur un PC d'entreprise (Dropbox suppose que la personne d'installation dans le PC d'entreprise garantit qu'ils cliquent sur le TOU) que l'individu "autorisé" le fait Pour toute la société .. Période ... (première section ion dropbox.com/terms)

Ce qui m'arrête d'utiliser cette extérieure de mon serveur et de mon environnement de travail est simplement éthique ... vous avez un produit de consommation comme SkyDrive que, dans les grandes lettres, indique "Pas de commerce. Pas! Parce qu'ils ne veulent pas risquer les données du client sur un niveau d'entreprise parce qu'ils savent que c'est un risque! et ensuite Flippin Dropbox qui utilise des mots juridiques dans leurs contrats tels que le mot "Stuff", qui Patty associe toute la "chose de sécurité" et agit comme son gros problème (voudriez-vous perdre des bénéfices et des actions valables? Probablement pas ...) ...

C'est une grosse affaire .. Plus les groupes de sécurité vous mendient et moi de suivre des pratiques simples, plus la Big Comps de Dropbox sortez et pour de l'argent .. À but lucratif, agissez comme son gros problème ...

Et si votre entreprise stockait un petit numéro de carte de crédit et une date de nom et d'expiration? Dis maintenant que le client PC Le client Dropbox a été installé sur UHMM "est-ce que" à travers une culasse de sécurité Dropbox ... me suivre? Visa/Amex, etc. Les sociétés de banque ginormes avec le soutien du gouvernement (car les normes de l'industrie des cartes de paiement (PCI) le dit .. C'est qui est qui ...) va bien vous .. Obtenez ceci ... vous voudrez peut-être vous asseoir .. Un échelonnement de 500 000,00 $ par incident ... il suffit de mettre une petite ou moyenne entreprise hors de l'entreprise ....

le seul moyen de contourner cela, c'est de chiffrer localement ces données à l'aide d'un produit de cryptage certifié PCI, avant de passer à Dropbox, achetant des licences pour tous vos périphériques distants, téléchargez le fichier dont vous avez besoin et de le crypter avant de pouvoir utiliser IT .. (Nope Ne sonnez pas comme ça ne vous plaît pas du tout ...) (ou crypter des données sur votre réseau de serveurs et clients de la passerelle ...)

Avec tout cela, pour moins de 20 $ un utilisateur (environ 11 $ pour le basique), vous pouvez obtenir un plan de série Office365 e, que IS hipaa, sox, iso et certifié PCI certifié .. (Dropbox, caché là, les pages indiquent clairement "à l'heure actuelle", ils ne sont pas ....)

Alors, demandez-vous, bien que dans votre esprit petit ... Est-ce que cela vaut réellement le risque? Et voulez-vous faire des affaires avec une entreprise qui, à mon avis, étapes légèrement ou clair, les risques associés à l'utilisation de leur produit ....

Est-ce que cela vaut le risque pour votre carrière si vous êtes dans la technologie et que vous vous soyez soigné et que vous DID Autoriser Dropbox? Pensez-vous que vous êtes employable après votre nom à côté d'une culasse et que vous faites les nouvelles? En tant que CTO, je peux vous promettre, pas sur ma vie, je n'entendrais même pas l'excuse derrière elle .. Je n'intervédoulerais jamais personne dans la technologie qui, par leurs propres actions ou décisions, a provoqué une culasse de données sur un réseau de tailles. Oui, nous faisons tous des erreurs, c'est pourquoi votre travail est d'éliminer tout risque, grand ou petit de mieux que vous pouvez .. ne pas ouvrir le trou de ver et crier pour Alice ...) C'est une catastrophe de PR .. Pour une entreprise, (si un concurrent a découvert et a fui qui vous êtes .. (Gasp) Qu'est-ce que vous avez fait .. Et une responsabilité accrue pour embaucher quelqu'un parce qu'ils ont autorisé un service de partage de fichiers qui a reconnu publiquement et déclaré qu'ils n'étaient pas PCI, SOX , Certifié ISO, HIPAA ou PCI

Eh bien .. c'est pour vous de décider ... ça vaut la peine? Est-ce que cela vaut la perte de votre entreprise ou de vos données client?

Pour moi .. ce n'est pas ... Les consommateurs utilisent des produits de consommation, pas des entreprises ... Période.

5
Ageek Bry

Une mise à jour (1,5 ans plus tard): Dropbox affirme maintenant qu'ils transmettent les données via SSL Protocol et les stockent dans les conteneurs AES-256 qu'ils ne peuvent pas s'y accéder (sans mot de passe).

4
user57104

Dropbox a récemment admis qu'elles n'utilisent pas SSL pour transférer des métadonnées de fichier entre les clients mobiles et leurs serveurs. Ils font cela exprès, pour des raisons de performance. Ils n'étaient nulle part sur leur site Web qu'ils le font. Vous pouvez lire à ce sujet ici:

https://grepular.com/dropbox_mobile_less_secure_than_dropbox_desktop

4
Mike

Beaucoup va dépendre des politiques en place de votre entreprise. Si c'est comme si je travaille, où tout le développement auquel je fais appartient à l'hôpital, et pas moi - alors je m'inquiéterais d'être un moyen facile pour les actifs intellectuels de la société pour "errer".

Il existe de nombreux systèmes de gestion de documents qui vous permettraient de configurer quelque chose qui n'est accessible que dans une connexion interne ou via une connexion surveillable.

1
AnonJr