Dovremmo memorizzare i minuti di riunione su un iPad?

Naviga le tue risposte
6

Essendo impiegato nel campo dell'infosec, vorrei dare il buon esempio. Tuttavia, anche io non credi a sudare le piccole cose e vorrei massimizzare la mia produttività. Il mio attuale luogo di lavoro, mentre il pilotaggio di dispositivi Byo, iPad ecc. Non ha ancora una soluzione per iPad aziendale. Ho un iPad personale che vorrei usare per prendere minuti di riunioni e per fare brainstorming tramite le mappe mentali. Nei posti precedenti in cui questo non è stato disapprovato, l'ho trovato molto meglio che scrivere su un pad fisico perché:

  • Riesco a leggere ciò che ho scritto 6 mesi dopo e mi costringe a prendere appunti chiari
  • Non perderò i dati rispetto ai vecchi taccuini
  • È molto più facile copiare la pasta e fare riferimento a informazioni meno recenti
  • È molto più facile inviare e-mail piuttosto che digitare note afterwords
  • L'uso di un'app nativa per la mindmap mi consente di prendere note migliori e fare assosioni migliori rispetto a quella su un notepad

Questi benefici devono essere applicati anche ad altri, come ho visto altri dipendenti nelle riunioni e anche gli alti dirigenti fanno lo stesso.

Dal punto di vista del rischio:

  • Questo è personale piuttosto che dispositivo aziendale, quindi è contro la politica (anche se uno dei tanti viene applicato solo quando / se c'è un incidente)
  • Non è gestito da un'azienda e i dati non vengono sottoposti a backup, archiviati dalla mia azienda né possono essere cancellati da loro
  • I dati e i backup potrebbero essere archiviati nel cloud senza controlli accettabili dall'azienda e al di fuori delle loro giurisdizioni fisiche accettabili
  • Non vi è alcuna garanzia che non possa documentare informazioni riservate, né inviarle tramite posta elettronica in chiaro
  • Captare elettronicamente le informazioni rende più facile compromettere ed esporre a rischio, ad es. e-mail

La mia mitigazione:

  • L'iPad ha un ragionevole livello di sicurezza, ha una password complessa, sotto il mio controllo fisico, backup crittografati e impostato per cancellare dopo 10 tentativi falliti - potenzialmente meglio di un blocco note scritto lasciato sui banchi ecc. e potenzialmente migliore di un laptop aziendale senza crittografia completa del disco
  • Con iCloud ci sono i backup automatici dei dispositivi crittografati, la sincronizzazione dei documenti non è ancora crittografata per quanto ne so.
  • L'intercettazione della posta elettronica è probabilmente il rischio più basso associato all'email
  • Le informazioni sono preziose solo nel contesto, ovvero la consapevolezza dello sfondo della riunione

Quindi qual è l'approccio giusto qui? I benefici superano il rischio? O dovrei, come un automa doveroso seguire la politica e dare il buon esempio e continuare a sviluppare le mie capacità di scrittura e scarabocchiare e attendere la soluzione aziendale (sono sicuro che arriverà in questo secolo)?

    
posta Rakkhi 29.10.2011 - 12:23
fonte

3 risposte

9

Non credo che la soluzione sia non usare il tuo iPad, i benefici sono chiari. Tuttavia penso che sia necessario affrontarlo nel modo giusto.

Lavorando sul campo InfoSec, credo che tu abbia la responsabilità di dare il buon esempio. Mangia il tuo cibo per cani.

Devi rispettare la politica. Esiste un processo di esenzione nella politica? Questo sarebbe il modo migliore per risolvere questo problema e ti consente di documentare formalmente i rischi che hai identificato e le attenuazioni nella tua richiesta di esenzione.

Come hai identificato, sii consapevole della sensibilità delle informazioni che stai registrando e memorizzando. Tratta la risorsa come non affidabile o semi-attendibile al meglio. Prendi in considerazione l'adozione dell'atteggiamento in cui presumi che chiunque può leggere ciò che crei o memorizzi sull'iPad. Registrare le informazioni fuori dal contesto e senza dettagli granulari può aiutarti qui.

Infine, promuovi tutto quanto sopra. Quando le persone chiedono informazioni sull'utilizzo del tuo iPad all'interno dell'organizzazione per scopi lavorativi, comunicano loro cosa hai fatto per mitigare i rischi e rispettare i criteri.

    
risposta data 31.10.2011 - 03:17
fonte
4

Dato che hai delineato i rischi e le attenuazioni, non è davvero all'altezza del business valutare i pro ei contro e decidere se è davvero una buona idea consentire il dispositivo?

Personalmente, ho l'impressione che i dispositivi personali dovrebbero essere consentiti solo in determinati casi. Dovrebbero essere fisicamente banditi da aree altamente sensibili dell'ufficio se si dispone di tali aree, e non dovrebbero mai portare su di loro alcun dato confidenziale. Altrimenti ogni situazione dovrebbe essere considerata caso per caso.

Una parte della soluzione potrebbe consistere nell'acquistare una dozzina di iPad da richiedere alla gente.

Dubito che ci sarà mai un iPad di livello Enterprise.

    
risposta data 29.10.2011 - 17:47
fonte
4

A livello concettuale, se ci sono dei problemi con i minuti di scrittura sul tuo iPad, gli stessi problemi si potrebbero verificare quando usi il tuo telefono cellulare o il tuo telefono di casa per discutere di questioni commerciali. Esiste tuttavia una differenza qualitativa, dal punto di vista della sicurezza, tra l'iPad e un notebook: sebbene in entrambe le situazioni, la sicurezza è sotto la tua supervisione diretta (sei responsabile di non dimenticare il tuo notebook in un bar, ad esempio), il notebook richiede solo sicurezza fisica , qualcosa in cui gli esseri umani dovrebbero essere bravi, dal momento che il nostro primo antenato ha trovato una roccia elegante e si è rifiutato di condividerlo con i suoi colleghi. Un notebook non può essere hackerato da remoto. Per l'iPad, ci si basa su un gran numero di persone che non si conoscono (gli sviluppatori Apple, in particolare) per essere onesti e di aver fatto il loro lavoro correttamente, senza lasciare backdoor intorno (intenzionalmente o meno).

In pratica, se usi il tuo iPad personale per quel lavoro:

  • Se c'è qualche problema di sicurezza relativo all'iPad, verrai frustato pubblicamente. Mentre lo spionaggio regolare e antiquato sulle linee telefoniche non implica conseguenze così terribili. Questo è il problema con i precursori della tecnologia. Non puoi essere incolpato di aver usato un telefono, ma puoi aver usato un iPad non emesso da società.

  • La tua gerarchia non ti piacerà: decidendo su te stesso che utilizzerai uno strumento in rete sotto la tua esclusiva supervisione per archiviare dati aziendali, stai bypassando le politiche aziendali e , indipendentemente dal fatto che l'utilizzo di un iPad sia una buona idea o meno, ignorare le politiche aziendali non è mai ben accettato da coloro che passano le loro giornate scrivendo tali politiche.

  • Non piacerà l'amministratore di sistema locale: il tuo iPad è un'intrusione di hardware simile a un computer che non è sotto la sua signoria. Questo può essere considerato come un tentativo di distaccarlo dalla sua posizione percepita come top-ape.

  • Ai tuoi colleghi non piaceranno: dimostrando la tua disponibilità a fornire il tuo personal iPad per il lavoro aziendale, minerai la potenziale emissione di iPad da parte della società ai loro dipendenti. Se vuoi un iPad in un modo socialmente accettabile, dovresti pregare e lamentarti a meno che la compagnia non garantisca iPad gratuiti per tutti.

  • a Steve Jobs piaceranno. Ma, hey, è morto.

Inoltre, non posso fare a meno di sollevare un sopracciglio metaforico all'idea che "non perderete i dati rispetto ai vecchi taccuini". Le informazioni digitali tendono a perdersi, non solo attraverso gli evidenti errori hardware e gli incidenti in cui si trovano i backup, ma anche a causa dell'obsolescenza dei formati dei dati. Cosa faresti con le note della riunione che avresti digitato, ad es. Psion Series 5 una dozzina di anni fa? La conversione di testo dal formato file utilizzato dal word processor interno richiede alcuni software specifici difficili da trovare.

    
risposta data 31.10.2011 - 15:06
fonte

Leggi altre domande sui tag

In che modo gli ospedali devono gestire l'uso delle credenziali di condivisione per accedere alle informazioni sensibili, soprattutto in situazioni critiche? La sicurezza aumenta utilizzando un sottodominio per cliente in un'app web?