Procedura consigliata per bloccare l'utilizzo di Dropbox

L'uso di Dropbox non è intrinsecamente un rischio maggiore per la sicurezza rispetto ad altri metodi di trasferimento dei dati. Lavoro in una società di consulenza sulla sicurezza e utilizziamo spesso Dropbox per trasferire archivi crittografati ai nostri clienti. Usiamo anche SFTP, ma questo sembra essere problematico per alcuni dei nostri clienti.

Una politica migliore è che tutti i dati aziendali devono essere crittografati a riposo. Questa politica dovrebbe includere laptop aziendali, server, servizi cloud e in qualsiasi altro luogo in cui si potrebbero archiviare dati aziendali. Assicurati di educare i tuoi dipendenti sull'archiviazione e il trasferimento dei dati in modo sicuro. Il blocco di Dropbox può avere effetti negativi, ad esempio costringere i dipendenti a utilizzare metodi meno sicuri per il trasferimento dei dati. Ho scoperto che i dipendenti troveranno modi creativi per svolgere il proprio lavoro e che non sono sempre sicuri.

Mi piacerebbe anche che l'educazione degli utenti sia la chiave. Se le persone trasferiscono dati da sincronizzare con la propria abitazione quando non si desidera sincronizzarli con la propria abitazione, devono essere informati che non devono sincronizzare i dati con la propria abitazione. Discutere con loro e capire perché sentono di aver bisogno di avere i dati a casa. Se è perché devono essere in grado di fare il lavoro da casa a volte, allora forse varrebbe la pena configurare una VPN o un altro sistema di accesso remoto per consentire loro di accedere in modo sicuro ai dati quando sono a casa, mantenendo il controllo dei dati sui sistemi aziendali .

Devo anche convenire che bloccare Dropbox a priori non risolverà il problema e probabilmente lo renderà peggiore. Usare Dropbox per trasferire file è solo un sintomo del problema e un approccio relativamente favorevole (rispetto ad altri approcci). Elimina questo strumento senza affrontare il problema sottostante degli utenti che non comprendono la sicurezza dei dati e non hanno accesso quando pensano di aver bisogno e troveranno modi più inventivi e meno sicuri per farlo.

Dropbox non è un il problema, ma non suggerirei di lasciarlo andare senza indirizzo. Utilizza le cose come il minimo privilegio e le restrizioni dell'applicazione / firewall per impedire agli utenti di installare / utilizzare Dropbox sui loro computer di lavoro laddove possibile. Utilizzare il monitoraggio della rete per rilevare usi non autorizzati del sistema. A meno che non sia approvato per uno scopo aziendale (e il rischio è stato valutato e accettato dal responsabile della sicurezza IT), Dropbox non è da qualche parte in cui si desidera conservare i dati aziendali.

Ovviamente, in generale, non vuoi che i tuoi dati aziendali vengano conservati ovunque al di fuori del controllo della tua azienda. Sfortunatamente, a causa di cose come i requisiti del telelavoro, questo non è sempre possibile mantenere. È qui che cose come la protezione dei dati a riposo (ad es. La crittografia dell'intero disco) possono aiutarti a proteggerti. Ove possibile, è necessario crittografare tutti i dati su qualsiasi dispositivo aziendale mobile (laptop, smartphone, unità rimovibili, ecc.) E qualsiasi altro sistema aziendale che lasci le proprie strutture.

Tuttavia, tutta la crittografia nel mondo non aiuterà quando un dipendente decide che deve assolutamente avere alcuni dati aziendali a casa. A quel punto, troveranno un po ' modo di farlo, che ti piaccia o no. Questo può essere l'utilizzo di chiavette USB, e-mail o altri metodi. Puoi sicuramente bloccare la maggior parte di questi attraverso mezzi tecnici (e ti suggerisco di provare, dove possibile) ma, non appena pensi di aver costruito una misura di sicurezza a prova di utente, scoprirai che qualcuno ha assunto un utente più intelligente.

Per gestire tali valori anomali, la prima cosa che potresti voler considerare è in realtà una misura di acquiescenza. Rivalutare le esigenze degli utenti e determinare quali effettivamente hanno un buon business case per il telelavoro. In questi casi, emetti laptop, smartphone e unità rimovibili completamente crittografati e configurati in linea con gli standard aziendali. Offri loro l'accesso VPN alle parti della tua rete che devono essere in grado di telelavoro. Se riesci a fornire agli utenti un modo per fare ciò che devono fare semplicemente e con problemi relativamente piccoli, saranno molto più propensi a farlo a modo tuo invece di trovare un modo per aggirarti.

Per gli utenti che non hanno sufficienti giustificazioni commerciali per autorizzare pienamente le capacità di telelavoro (e anche per il resto dell'azienda, in realtà), è necessario concentrarsi anche sulla formazione degli utenti e sull'applicazione delle policy. Assicurati che gli utenti comprendano quali sono i metodi consentiti (se esistenti) per trasferire in sicurezza i dati dai loro normali computer di lavoro e quali misure punitive possono essere adottate se vengono scoperte violazioni di tale politica. Se la tua azienda ha una norma BYOD che gli utenti potrebbero trovare utile, assicurati che ne siano a conoscenza e come seguirla correttamente. Alla fine, però, una legge senza denti non vale niente - devi assicurarti che la direzione abbia acquistato in queste politiche e sia disposta a seguirle per farle rispettare.

TL; Versione DR:

Come altri hanno già detto, Dropbox è in realtà solo un sintomo del problema più grande: hai utenti che ritengono che le politiche della tua azienda stiano ostacolando il loro lavoro. Questo problema deve essere affrontato da diversi punti di vista:

1. Gestione buy-in e amp; Policy Enforcement - Accertati che la gestione sia completamente integrata con le politiche dell'azienda relative al telelavoro, al BYOD e alla perdita di dati. Devono essere disposti a seguire il denaro per fornire supporto a queste politiche (ad es .: laptop, infrastruttura VPN, personale addetto all'assistenza, ecc.) E azioni amministrative per gestire le violazioni.
2. Istruzione per gli utenti : assicurati che gli utenti comprendano le norme della tua azienda e in che modo trasferire in modo sicuro i dati quando sono necessarie esigenze aziendali.
3. Rivalutazione delle esigenze degli utenti : verifica se ci sono utenti che potrebbero effettivamente aver bisogno del supporto della tua azienda per telelavoro in sicurezza e consegnali a loro se possibile.
4. Protezione dei dati a riposo : assicurati che tutti i dispositivi mobili emessi dalla tua azienda (ad es .: laptop, smartphone, unità rimovibili, ecc.) siano completamente crittografati.
5. Altri mezzi tecnici : utilizza criteri firewall, privilegi minimi, sniffing della rete e altri meccanismi per bloccare e rilevare tentativi non autorizzati di perdita di dati. Tieni presente che questa è davvero la tua linea di difesa ultima e quasi certamente non sarà infallibile.