¿Hay alguna inquietud de seguridad particular a tener en cuenta con el uso en toda la empresa de compartir / versionar / respaldar archivos de Dropbox, y hay opciones o configuraciones específicas que se recomendarían para limitar el riesgo?
security
backup
file-sharing
versioning
dropbox
davebug
fuente
fuente
Respuestas:
Depende de su negocio y su nivel de paranoia. Es mucho más seguro, aunque más costoso, emitir computadoras portátiles con una conexión VPN.
Muy rápido...
Algunos riesgos:
Recomendaciones:
fuente
Yo pisaría con mucho cuidado aquí. Dropbox habilita una extensión al disco duro de otra computadora.
Esa extensión es peor que una llave USB en el sentido de que las infecciones en una PC pueden entrar en todas las otras PC que la comparten mucho más fácilmente que con una llave USB. Los creadores de virus / troyanos / bot no se dirigen a Dropbox (todavía), pero si deciden hacerlo, entonces tienen una puerta virtual desbloqueada desde una PC controlada por la compañía en una red segura a una computadora no segura en una red no segura. Tal como está, usando las operaciones normales, uno no puede simplemente pasar por esa puerta y mirar otras cosas en la computadora: solo se pueden ver los elementos dentro de Dropbox, y solo se pueden crear nuevos elementos en esa área, pero eso es asumiendo que La aplicación de Dropbox en sí no puede verse comprometida.
Además, Dropbox reclama una gran cantidad de seguridad, pero ¿qué es realmente demostrable para usted? Es posible que alguien pueda colarse en esa ventana de forma remota desde una PC completamente diferente e intentar colocar documentos y programas infectados en la PC del trabajo.
Obviamente, hay un protocolo que Dropbox usa para comunicarse con sus clientes: ¿está encriptado? ¿Es inmune a los desbordamientos del búfer? Hombre en el medio ataques? Olfatear? ¿Repetir ataques? ¿Es posible, utilizando el protocolo estándar, colocar archivos dentro o incluso fuera del área estándar de Dropbox? Si el protocolo tiene un desbordamiento del búfer, ¿es posible comprometerlo de manera que permita el acceso completo a la máquina? ¿Recursos compartidos de red en la máquina?
No creo que el riesgo sea muy alto, pero el daño causado puede ser extenso, por lo que es algo que debe pensarse cuidadosamente.
-Adán
fuente
¿¿¿¿Paranoia????
Amigo ... Aléjate de la red ... LENTAMENTE ... Con las manos alejadas del teclado ... ¡HAZLO AHORA!
Las soluciones de "consumidor" basadas en la nube para compartir archivos, como Dropbox, no están destinadas a empresas o corporaciones. Microsoft dijo que era mejor con Skydrive cuando salieron y dijo que este tipo de productos no son, y no deben ser utilizados con fines comerciales.
Hay miles de razones por las cuales no son mayores que las razones por las que uno debería.
La razón LEGAL más grande fuera de los riesgos de seguridad (y los Términos de uso que especifican que terceros pueden tener acceso a archivos confidenciales, por lo tanto, nada confidencial debe almacenarse en un servicio que esté basado en el consumidor ... NUNCA ...)Es el hecho con un servicio como Dropbox, bueno. Déjame preguntarte esto ... ¿Dónde se almacenan esos archivos? ¿Dónde están ubicados esos servidores? Puede estar seguro, con el mejor postor, llame a algo llamado Reglas y leyes de exportación de datos ... Si tiene un archivo pequeño, el "Gobierno de los Estados Unidos puede considerarlo como un riesgo o un riesgo potencial para la seguridad de los Estados Unidos" (podría ser algo tan pequeño como el diseño eléctrico de un lugar de reunión público, escuela, gimnasio, contraseñas o un nombre de usuario a algo como una cuenta de Cisco donde puede descargar software restringido de exportación, etc.) hasta documentos clasificados, está violando esa ley. Vas a la cárcel, no pasas, ve ... Creo que eso es manejado por FTC y Seguridad Nacional.
Los términos de uso de la base de datos especifican (básicamente) que si está instalado en una PC empresarial (Dropbox asume que esa persona porque la persona que instala en la PC empresarial garantiza que está haciendo clic a través de las TOU) que la persona "autorizada" lo está haciendo PARA TODA LA EMPRESA .. Período ... (Primera sección ion Dropbox.com/terms)
Lo que me impide usar esto fuera de mi servidor y entorno de trabajo es simplemente ética ... Usted tiene un producto de consumo como Skydrive que en letras grandes dice "No Business .. Don't! Porque no quieren arriesgar los datos del cliente en a nivel de negocios porque SABEN que es un riesgo! Y luego Flippin Dropbox que usa palabras legales en sus contratos, como la palabra "cosas", que Patty se tarta todo el "asunto de seguridad" y actúa como si no fuera gran cosa (¿querrías perder ganancias y acciones tan valiosas? Probablemente no ...) ....
Es un gran problema ... Mientras más grupos de seguridad le roguemos a usted y a mí que sigamos prácticas simples, más comps como Dropbox saldrán y por dinero ... para obtener ganancias, actúe como si no fuera gran cosa ...
¿Qué sucede si su empresa almacena una pequeña porción de un solo número de tarjeta de crédito y un nombre y fecha de vencimiento? Ahora digamos que la PC en la que se instaló el cliente de Dropbox se "metió en ..." a través de una violación de seguridad de Dropbox ... ¿Siguiendome? Visa / Amex, etc., las gigantescas compañías bancarias CON el apoyo del gobierno (porque los Estándares de la Industria de Tarjetas de Pago (PCI) lo dicen ... eso es quién ...) te multará ... obtén esto ... es posible que quieras sentarte ... la asombrosa cantidad de $ 500,000.00 POR INCIDENTE ... Es suficiente para sacar a una pequeña o mediana empresa del negocio en el que se encuentran ...
la ÚNICA forma de evitarlo es encriptar localmente esos datos usando un producto de encriptación certificado por PCI, ANTES de que vaya a Dropbox, comprar licencias para todos sus dispositivos remotos, descargar el archivo que necesita y desencriptarlo antes de poder usarlo .. (No, no parece que no sea divertido en absoluto ...) (O encriptar datos en la red de sus servidores y clientes en la puerta de enlace ...)
Con todo eso, por menos de $ 20 por usuario (alrededor de $ 11 por el básico) puede obtener un plan de la serie E de Office365, que tiene certificación HIPAA, SOX, ISO y PCI. (Dropbox, oculto en sus páginas claramente indica " en este momento ", no son ...)
Así que pregúntate, aunque en tu mente sea pequeña ... ¿Realmente vale la pena el riesgo? y ¿QUIERES hacer negocios con una empresa que creo que da un paso a la ligera o hace los riesgos asociados con el uso de su producto ...?
¿Vale la pena arriesgar tu carrera si estás en tecnología y te echas un polvo y si permitiste Dropbox? ¿Crees que puedes ser empleado después de que tu nombre está al lado de una recámara y haces las noticias? Como CTO, puedo prometerle que ni siquiera en mi vida oiría la excusa detrás de esto. Ni siquiera entrevistaría a nadie en tecnología que, por sus propias acciones o decisiones, causó una gran cantidad de datos en una red de cualquier tamaño. Sí, todos cometemos errores, por eso su trabajo en TI es eliminar cualquier riesgo, grande o pequeño, lo mejor que pueda ... No abrir el agujero de gusano y gritarle a Alice ...) Es un desastre para PR ... para un negocio, (si un competidor descubrió y filtró quién es usted ... (jadeo) lo que hizo ... y una mayor responsabilidad de contratar a alguien porque permitió un servicio de intercambio de archivos que reconoció públicamente y declaró que no eran PCI, SOX , YO ASI,
Bueno ... Eso es para que tú decidas ... ¿Vale la pena una carrera? ¿Vale la pena perder los datos de su empresa o cliente?
Para mí ... No es ... Los consumidores usan productos de consumo, no empresas ... Punto.
fuente
Una actualización (1,5 años después): Dropbox afirma ahora que transmiten los datos a través del protocolo SSL y los almacenan en AES-256-Contenedores a los que no pueden acceder (sin la contraseña).
fuente
Dropbox admitió recientemente que no usan SSL para transferir metadatos de archivos entre clientes móviles y sus servidores. Lo hacen a propósito, por razones de rendimiento. No afirman en ningún lugar de su sitio web que hagan esto. Usted puede leer sobre ello aquí:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
fuente
Creo que están trabajando en una versión para que las empresas la utilicen internamente, con más seguridad, pero mientras tanto, los archivos no están encriptados en sus servidores, por lo que debe confiar en ellos.
Aparte de eso, no puedo ver otros riesgos de seguridad específicos de Dropbox (como la fuga de información).
fuente
Mucho dependerá de las políticas vigentes en su empresa. Si es como donde trabajo, donde todo el desarrollo que hago pertenece al hospital, y no a mí, entonces me preocuparía que sea un medio fácil para que los activos intelectuales de la empresa "se desvíen".
Hay muchos sistemas de administración de documentos que le permitirán configurar algo que solo es accesible internamente o mediante una conexión monitoreable.
fuente