it-swarm-es.com

¿Qué riesgos de seguridad existen con los empleados que usan Dropbox?

¿Hay alguna inquietud de seguridad particular a tener en cuenta con el uso en toda la empresa de compartir/versionar/respaldar archivos de Dropbox, y hay opciones o configuraciones específicas que se recomendarían para limitar el riesgo?

17
davebug

Depende de su negocio y su nivel de paranoia. Es mucho más seguro, aunque más costoso, emitir computadoras portátiles con una conexión VPN.

Muy rápido...

Algunos riesgos:

  • Los ex empleados potencialmente tienen acceso a los datos comerciales una vez que el empleo ha finalizado. Usted, como empresa, DEBE tener el control de las cuentas si no desea que algún empleado descontento tenga acceso a las cosas después de ser despedido ...
  • Estos servicios evitarían cualquier mecanismo automatizado de retención de documentos que tenga instalado, lo que agrega otra área para que cubra manualmente la retención de documentos

Recomendaciones:

  • Asegúrese de que puede generar sus propias claves de cifrado para almacenar los datos y que las claves no se comparten con el proveedor de servicios.
  • Asegúrese de que sus datos estén encriptados ANTES de que se envíen al repositorio del servicio
  • Si va a permitir que las personas tengan su propia cuenta, entonces tenga un único punto de contacto para su empresa. Coordine todas las cuentas a través de esta persona (o un par de personas como representantes). O asegúrese de que el proveedor admita cuentas comerciales con las que pueda agrupar de alguna manera a los empleados.
7
squillman

Yo pisaría con mucho cuidado aquí. Dropbox habilita una extensión al disco duro de otra computadora.

Esa extensión es peor que una llave USB en el sentido de que las infecciones en una PC pueden entrar en todas las otras PC que la comparten con mucha más facilidad que con una llave USB. Los creadores de virus/troyanos/bot no se dirigen a Dropbox (todavía), pero si deciden hacerlo, entonces tienen una puerta virtual desbloqueada desde una PC controlada por la compañía en una red segura a una computadora no segura en una red no segura. Tal como está, usando las operaciones normales, uno no puede simplemente pasar por esa puerta y mirar otras cosas en la computadora: solo se pueden ver los elementos dentro de Dropbox, y los nuevos elementos solo se pueden crear en esa área, pero eso es asumiendo que La aplicación de Dropbox en sí no puede verse comprometida.

Además, Dropbox reclama una gran cantidad de seguridad, pero ¿qué es realmente demostrable para usted? Es posible que alguien pueda colarse en esa ventana de forma remota desde una PC completamente diferente e intentar colocar documentos y programas infectados en la PC del trabajo.

Obviamente, hay un protocolo que Dropbox usa para comunicarse con sus clientes: ¿está encriptado? ¿Es inmune a los desbordamientos del búfer? Hombre en el medio ataques? Olfatear? ¿Reproducción de ataques? ¿Es posible, utilizando el protocolo estándar, colocar archivos dentro o incluso fuera del área estándar de Dropbox? Si el protocolo tiene un desbordamiento de búfer, ¿es posible comprometerlo de manera que permita el acceso completo a la máquina? ¿Recursos compartidos de red en la máquina?

No creo que el riesgo sea muy alto, pero el daño causado puede ser extenso, por lo que es algo que debe pensarse cuidadosamente.

-Adán

5
Adam Davis

¿¿¿¿Paranoia????

Amigo ... Aléjate de la red ... LENTAMENTE ... Con las manos alejadas del teclado ... ¡HAZLO AHORA!

Las soluciones de "consumidor" basadas en la nube para compartir archivos, como Dropbox, no están destinadas a empresas o corporaciones. Microsoft dijo que era mejor con Skydrive cuando salieron y dijo que este tipo de productos no son, y no deben ser utilizados con fines comerciales.

Hay miles de razones por las que no son mayores que las razones por las que uno debería.

Mayor LEGAL razón fuera de los riesgos de seguridad (Y los Términos de uso que especifican que terceros pueden tener acceso a información confidencial archivos, por lo tanto, nada confidencial debe almacenarse en un servicio que está basado en el consumidor ... NUNCA ...) es el hecho con un servicio como Dropbox, bueno. Déjame preguntarte esto ... ¿Dónde se almacenan esos archivos? ¿Dónde están ubicados esos servidores? Puede estar seguro, con el mejor postor, llame a algo llamado Reglas y leyes de exportación de datos ... Si tiene un archivo pequeño, el "Gobierno de los Estados Unidos puede considerarlo como un riesgo o un riesgo potencial para la seguridad de los Estados Unidos" (podría ser algo Tan pequeño como el diseño eléctrico de un lugar de reunión público, escuela, gimnasio, contraseñas o un nombre de usuario para algo como una cuenta de Cisco donde puede descargar software restringido de exportación, etc.) hasta documentos clasificados, está violando esa ley. Vas a la cárcel, no pasas, ve ... Creo que eso es manejado por FTC y Seguridad Nacional ...

Los términos de uso de la base de datos especifican (básicamente) que si está instalado en una PC empresarial, (Dropbox asume que esa persona porque la persona que instala en la PC empresarial garantiza que está haciendo clic a través de las TOU) que la persona "autorizada" lo está haciendo PARA TODA LA EMPRESA .. Período ... (Primera sección ion Dropbox.com/terms)

Lo que me impide usar esto fuera de mi servidor y entorno de trabajo es simplemente Ética ... Usted tiene un producto de consumo como Skydrive que en letras grandes dice "No Business .. Don't! Porque no quieren arriesgar los datos del cliente en a nivel de negocios porque ¡SABEN que es un riesgo! Y luego Flippin Dropbox que usa palabras legales en sus contratos, como la palabra "cosas", que Patty se tarta toda la "cosa de seguridad" y actúa como si no fuera gran cosa (¿querrías perder ganancias y acciones tan valiosas? Probablemente no ...) ....

Es un gran problema ... Mientras más grupos de seguridad le roguemos a usted y a mí que sigamos prácticas simples, más comps como Dropbox saldrán y por dinero ... para obtener ganancias, actúe como si no fuera gran cosa ...

¿Qué sucede si su empresa almacena una pequeña porción de un solo número de tarjeta de crédito y un nombre y fecha de vencimiento? Ahora digamos que la PC en la que se instaló el cliente de Dropbox fue uhmm "entro ..." a través de una violación de seguridad de Dropbox ... ¿Siguiéndome? Visa/Amex, etc., las gigantescas compañías bancarias CON el apoyo del gobierno (porque los Estándares de la Industria de Tarjetas de Pago (PCI) lo dicen ... eso es quién ...) te multará ... obtén esto ... es posible que quieras sentarte ... la asombrosa cantidad de $ 500,000.00 POR INCIDENTE ... Es suficiente para sacar a una pequeña o mediana empresa del negocio en el que se encuentran ...

la ÚNICA forma de evitarlo es encriptar localmente esos datos usando un producto de encriptación certificado por PCI, ANTES de que vaya a Dropbox, comprar licencias para todos sus dispositivos remotos, descargar el archivo que necesita y desencriptarlo antes de poder usarlo .. (No, no parece que no sea divertido en absoluto ...) (O encriptar datos en la red de sus servidores y clientes en la puerta de enlace ...)

Con todo eso, por menos de $ 20 por usuario (alrededor de $ 11 para el básico) puede obtener un plan de la serie E de Office365, que IS HIPAA, SOX, ISO y PCI certificado .. ( Dropbox, oculto en sus páginas, dice claramente "en este momento", no lo son ...)

Así que pregúntate, aunque en tu mente sea pequeña ... ¿Realmente vale la pena el riesgo? y ¿QUIERES hacer negocios con una compañía que creo que da un paso a la ligera o hace los riesgos asociados con el uso de su producto ...?.

¿Vale la pena arriesgarse en su carrera si está en tecnología y si se hace calzonar y usted DID permitió dropbox? ¿Cree que puede ser empleado después de que su nombre esté al lado de un calzón y haga el ¿Como noticia? Como CTO, puedo prometerle que en mi vida ni siquiera escucharía la excusa detrás de esto ... Nunca entrevistaría a nadie en tecnología que, por sus propias acciones o decisiones, causó una gran cantidad de datos en redes de cualquier tamaño. Sí, todos cometemos errores, por eso su trabajo en TI es eliminar cualquier riesgo, grande o pequeño, lo mejor que pueda. No abrir el agujero de gusano y gritarle a Alice ...) Es un desastre para las relaciones públicas. ... para un negocio, (si un competidor descubrió y filtró quién es usted ... (jadeo) lo que hizo ... y una mayor responsabilidad de contratar a alguien porque permitió un servicio de intercambio de archivos que reconoció públicamente y declaró que no eran PCI , SOX, ISO, HIPAA o PCI certificado

Bueno ... Eso es para que tú decidas ... ¿Vale la pena una carrera? ¿Vale la pena perder los datos de su empresa o cliente?

Para mí ... No es ... Los consumidores usan productos de consumo, no empresas ... Punto.

5
Ageek Bry

Una actualización (1,5 años después): Dropbox afirma ahora que transmiten los datos a través del protocolo SSL y los almacenan en AES-256-Contenedores a los que no pueden acceder (sin la contraseña).

4
user57104

Dropbox admitió recientemente que no usan SSL para transferir metadatos de archivos entre clientes móviles y sus servidores. Lo hacen a propósito, por razones de rendimiento. No afirman en ningún lugar de su sitio web que hagan esto. Usted puede leer sobre ello aquí:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop

4
Mike

Creo que están trabajando en una versión para que las empresas la utilicen internamente, con más seguridad, pero mientras tanto, los archivos no están encriptados en sus servidores, por lo que debe confiar en ellos.

Aparte de eso, no puedo ver otros riesgos de seguridad específicos de Dropbox (como la fuga de información).

2
Ivan

Mucho dependerá de las políticas vigentes en su empresa. Si es como donde trabajo, donde todo el desarrollo que hago pertenece al hospital, y no a mí, entonces me preocuparía que sea un medio fácil para que los activos intelectuales de la empresa "vaguen".

Hay muchos sistemas de administración de documentos que le permitirán configurar algo que solo es accesible internamente o mediante una conexión monitoreable.

1
AnonJr