¿Qué riesgos de seguridad existen con los empleados que usan Dropbox?

17

¿Hay alguna inquietud de seguridad particular a tener en cuenta con el uso en toda la empresa de compartir / versionar / respaldar archivos de Dropbox, y hay opciones o configuraciones específicas que se recomendarían para limitar el riesgo?

davebug
fuente
Aquí hay una descripción detallada de algunos problemas centrales de seguridad y legales con Dropbox para uso corporativo y privado: blog.5ttt.org/dropbox

Respuestas:

7

Depende de su negocio y su nivel de paranoia. Es mucho más seguro, aunque más costoso, emitir computadoras portátiles con una conexión VPN.

Muy rápido...

Algunos riesgos:

  • Los ex empleados tienen potencialmente acceso a los datos comerciales una vez que el empleo ha finalizado. Usted, como empresa, DEBE tener el control de las cuentas si no desea que algún empleado descontento tenga acceso a las cosas después de ser despedido ...
  • Estos servicios evitarían cualquier mecanismo automático de retención de documentos que tenga instalado, lo que agrega otra área para que cubra manualmente la retención de documentos

Recomendaciones:

  • Asegúrese de que puede generar sus propias claves de cifrado para almacenar los datos y que las claves no se comparten con el proveedor de servicios.
  • Asegúrese de que sus datos estén encriptados ANTES de ser enviados al repositorio del servicio
  • Si va a permitir que las personas tengan su propia cuenta, entonces tenga un único punto de contacto para su empresa. Coordine todas las cuentas a través de esta persona (o un par de personas como representantes). O asegúrese de que el proveedor admita cuentas comerciales con las que pueda agrupar empleados de alguna manera.
squillman
fuente
El punto sobre no controlar las cuentas de ex empleados fue útil. Agregaremos el intercambio de carpetas como parte de cualquier plan de terminación.
davebug 05 de
También plantea un problema para cualquier negocio de la UE, ya que existen riesgos obvios para que los datos personales terminen en entornos no controlados. Lo mismo ocurre con cualquier empresa de los EE. UU. Que desee mantener una certificación Safe Harbor (para que puedan procesar los datos personales de la UE).
Vatine
5

Yo pisaría con mucho cuidado aquí. Dropbox habilita una extensión al disco duro de otra computadora.

Esa extensión es peor que una llave USB en el sentido de que las infecciones en una PC pueden entrar en todas las otras PC que la comparten mucho más fácilmente que con una llave USB. Los creadores de virus / troyanos / bot no se dirigen a Dropbox (todavía), pero si deciden hacerlo, entonces tienen una puerta virtual desbloqueada desde una PC controlada por la compañía en una red segura a una computadora no segura en una red no segura. Tal como está, usando las operaciones normales, uno no puede simplemente pasar por esa puerta y mirar otras cosas en la computadora: solo se pueden ver los elementos dentro de Dropbox, y solo se pueden crear nuevos elementos en esa área, pero eso es asumiendo que La aplicación de Dropbox en sí no puede verse comprometida.

Además, Dropbox reclama una gran cantidad de seguridad, pero ¿qué es realmente demostrable para usted? Es posible que alguien pueda colarse en esa ventana de forma remota desde una PC completamente diferente e intentar colocar documentos y programas infectados en la PC del trabajo.

Obviamente, hay un protocolo que Dropbox usa para comunicarse con sus clientes: ¿está encriptado? ¿Es inmune a los desbordamientos del búfer? Hombre en el medio ataques? Olfatear? ¿Repetir ataques? ¿Es posible, utilizando el protocolo estándar, colocar archivos dentro o incluso fuera del área estándar de Dropbox? Si el protocolo tiene un desbordamiento del búfer, ¿es posible comprometerlo de manera que permita el acceso completo a la máquina? ¿Recursos compartidos de red en la máquina?

No creo que el riesgo sea muy alto, pero el daño causado puede ser extenso, por lo que es algo que debe pensarse cuidadosamente.

-Adán

Adam Davis
fuente
3
Internamente, Dropbox usa rsync a través de un ejecutable de Python. Aunque dudaría en adivinar que el protocolo utilizado no es estándar.
Joel Lucsy
5

¿¿¿¿Paranoia????

Amigo ... Aléjate de la red ... LENTAMENTE ... Con las manos alejadas del teclado ... ¡HAZLO AHORA!

Las soluciones de "consumidor" basadas en la nube para compartir archivos, como Dropbox, no están destinadas a empresas o corporaciones. Microsoft dijo que era mejor con Skydrive cuando salieron y dijo que este tipo de productos no son, y no deben ser utilizados con fines comerciales.

Hay miles de razones por las cuales no son mayores que las razones por las que uno debería.

La razón LEGAL más grande fuera de los riesgos de seguridad (y los Términos de uso que especifican que terceros pueden tener acceso a archivos confidenciales, por lo tanto, nada confidencial debe almacenarse en un servicio que esté basado en el consumidor ... NUNCA ...)Es el hecho con un servicio como Dropbox, bueno. Déjame preguntarte esto ... ¿Dónde se almacenan esos archivos? ¿Dónde están ubicados esos servidores? Puede estar seguro, con el mejor postor, llame a algo llamado Reglas y leyes de exportación de datos ... Si tiene un archivo pequeño, el "Gobierno de los Estados Unidos puede considerarlo como un riesgo o un riesgo potencial para la seguridad de los Estados Unidos" (podría ser algo tan pequeño como el diseño eléctrico de un lugar de reunión público, escuela, gimnasio, contraseñas o un nombre de usuario a algo como una cuenta de Cisco donde puede descargar software restringido de exportación, etc.) hasta documentos clasificados, está violando esa ley. Vas a la cárcel, no pasas, ve ... Creo que eso es manejado por FTC y Seguridad Nacional.

Los términos de uso de la base de datos especifican (básicamente) que si está instalado en una PC empresarial (Dropbox asume que esa persona porque la persona que instala en la PC empresarial garantiza que está haciendo clic a través de las TOU) que la persona "autorizada" lo está haciendo PARA TODA LA EMPRESA .. Período ... (Primera sección ion Dropbox.com/terms)

Lo que me impide usar esto fuera de mi servidor y entorno de trabajo es simplemente ética ... Usted tiene un producto de consumo como Skydrive que en letras grandes dice "No Business .. Don't! Porque no quieren arriesgar los datos del cliente en a nivel de negocios porque SABEN que es un riesgo! Y luego Flippin Dropbox que usa palabras legales en sus contratos, como la palabra "cosas", que Patty se tarta todo el "asunto de seguridad" y actúa como si no fuera gran cosa (¿querrías perder ganancias y acciones tan valiosas? Probablemente no ...) ....

Es un gran problema ... Mientras más grupos de seguridad le roguemos a usted y a mí que sigamos prácticas simples, más comps como Dropbox saldrán y por dinero ... para obtener ganancias, actúe como si no fuera gran cosa ...

¿Qué sucede si su empresa almacena una pequeña porción de un solo número de tarjeta de crédito y un nombre y fecha de vencimiento? Ahora digamos que la PC en la que se instaló el cliente de Dropbox se "metió en ..." a través de una violación de seguridad de Dropbox ... ¿Siguiendome? Visa / Amex, etc., las gigantescas compañías bancarias CON el apoyo del gobierno (porque los Estándares de la Industria de Tarjetas de Pago (PCI) lo dicen ... eso es quién ...) te multará ... obtén esto ... es posible que quieras sentarte ... la asombrosa cantidad de $ 500,000.00 POR INCIDENTE ... Es suficiente para sacar a una pequeña o mediana empresa del negocio en el que se encuentran ...

la ÚNICA forma de evitarlo es encriptar localmente esos datos usando un producto de encriptación certificado por PCI, ANTES de que vaya a Dropbox, comprar licencias para todos sus dispositivos remotos, descargar el archivo que necesita y desencriptarlo antes de poder usarlo .. (No, no parece que no sea divertido en absoluto ...) (O encriptar datos en la red de sus servidores y clientes en la puerta de enlace ...)

Con todo eso, por menos de $ 20 por usuario (alrededor de $ 11 por el básico) puede obtener un plan de la serie E de Office365, que tiene certificación HIPAA, SOX, ISO y PCI. (Dropbox, oculto en sus páginas claramente indica " en este momento ", no son ...)

Así que pregúntate, aunque en tu mente sea pequeña ... ¿Realmente vale la pena el riesgo? y ¿QUIERES hacer negocios con una empresa que creo que da un paso a la ligera o hace los riesgos asociados con el uso de su producto ...?

¿Vale la pena arriesgar tu carrera si estás en tecnología y te echas un polvo y si permitiste Dropbox? ¿Crees que puedes ser empleado después de que tu nombre está al lado de una recámara y haces las noticias? Como CTO, puedo prometerle que ni siquiera en mi vida oiría la excusa detrás de esto. Ni siquiera entrevistaría a nadie en tecnología que, por sus propias acciones o decisiones, causó una gran cantidad de datos en una red de cualquier tamaño. Sí, todos cometemos errores, por eso su trabajo en TI es eliminar cualquier riesgo, grande o pequeño, lo mejor que pueda ... No abrir el agujero de gusano y gritarle a Alice ...) Es un desastre para PR ... para un negocio, (si un competidor descubrió y filtró quién es usted ... (jadeo) lo que hizo ... y una mayor responsabilidad de contratar a alguien porque permitió un servicio de intercambio de archivos que reconoció públicamente y declaró que no eran PCI, SOX , YO ASI,

Bueno ... Eso es para que tú decidas ... ¿Vale la pena una carrera? ¿Vale la pena perder los datos de su empresa o cliente?

Para mí ... No es ... Los consumidores usan productos de consumo, no empresas ... Punto.

Ageek Bry
fuente
4

Una actualización (1,5 años después): Dropbox afirma ahora que transmiten los datos a través del protocolo SSL y los almacenan en AES-256-Contenedores a los que no pueden acceder (sin la contraseña).


fuente
2
Esa afirmación resultó ser una mentira. wired.com/threatlevel/2011/05/dropbox-ftc
David Sykes
2

Creo que están trabajando en una versión para que las empresas la utilicen internamente, con más seguridad, pero mientras tanto, los archivos no están encriptados en sus servidores, por lo que debe confiar en ellos.

Aparte de eso, no puedo ver otros riesgos de seguridad específicos de Dropbox (como la fuga de información).

Ivan
fuente
No es cierto: Dropbox encripta todos los bloques de datos contenidos en sus servidores. Sin embargo, las claves son administradas en su totalidad por Dropbox y se comparten entre diferentes cuentas. Existen muchos otros problemas de seguridad, google para "Dropbox config.db" y otros (desde que escribió esta respuesta).
RichVel
1

Mucho dependerá de las políticas vigentes en su empresa. Si es como donde trabajo, donde todo el desarrollo que hago pertenece al hospital, y no a mí, entonces me preocuparía que sea un medio fácil para que los activos intelectuales de la empresa "se desvíen".

Hay muchos sistemas de administración de documentos que le permitirán configurar algo que solo es accesible internamente o mediante una conexión monitoreable.

AnonJr
fuente