Quanto è sicuro Slack per le informazioni sensibili rispetto ad altre alternative come Mattermost? [duplicare]

5

La nostra azienda sta contemplando i vantaggi del passaggio da Slack a Mattermost.

Uno degli argomenti è che le "informazioni sensibili dovrebbero essere più sicure perché sono archiviate sui nostri server".

Ma è così?

La massima è open source e le vulnerabilità possono essere trovate e sfruttate in qualsiasi momento. Anche se Slack memorizza le informazioni sui loro server, la probabilità che un utente malintenzionato sfrutti esattamente i tuoi dati è più piccola, poiché dovrebbero trovarla, valutarla e ritenerla utile. E in caso di hacking di un server Slack, sarebbe noto e ci sarebbe stato il tempo per fare il controllo dei danni.

Anche Slack ha tutti gli incentivi per mantenere la massima sicurezza al fine di garantire il successo e la reputazione dell'azienda.

Mentre un server Mattermost privato potrebbe essere meno protetto e cadere pregare per un attacco mirato nel qual caso l'attaccante sarebbe in grado di sfruttare immediatamente le informazioni e non lasciare il tempo per il controllo dei danni.

P.S. Questo non è un duplicato di per sé dei Sistemi Open Source vs Closed Source domanda. Citando dalla risposta più alta alla suddetta domanda "duplicata": "Per ragionare su questo devi limitare la discussione a un progetto specifico". Questa è una domanda su due progetti specifici.

    
posta Harijs Deksnis 05.07.2016 - 19:56
fonte

1 risposta

3

Ci sono alcuni punti aggiuntivi che vale la pena menzionare:

Contro

  • Devi fidarti del team Slack perché ha accesso a tutti i tuoi messaggi e conversazioni
  • Devi controllare che ex dipendenti o terze persone non abbiano accesso alle tue chat Slack (hai bisogno di un robot aggiuntivo)
  • I server Slack sono disponibili da qualsiasi dispositivo incluse quelle impostazioni di sicurezza di cui non è possibile controllare (ad esempio, dispositivi fuori MDM). Non è possibile utilizzare una protezione aggiuntiva in questo luogo (VPN aziendale ecc.)
  • In caso di Slack non è possibile applicare la forza della password e il criterio di rotazione, non è possibile collegare Slack con, ad esempio, il sistema di autenticazione aziendale Active Directory. Nel caso in cui i tuoi dati siano compromessi, sarà difficile indagare sull'incidente in quanto non hai nessun registro ecc.
  • Non è disponibile la versione Slack Enterprise al momento

Pro

  • Il gioco può essere più economico da configurare e gestire
  • È garantito che verranno visualizzate nuove versioni e gli sviluppatori non lasceranno il supporto per il progetto (a volte capita nel mondo open source)
  • Avrai supporto tecnico dal gruppo Slack
  • C'è la possibilità che la versione Enterprise appaia e avrà alcune funzionalità di sicurezza aziendale

Secondo me, Slack è meglio per piccoli team e startup, ma in caso di grandi aziende è meglio scegliere qualcosa su cui avere il controllo. Comunque, dipende da te: valuta i rischi e scopri cosa puoi e non puoi accettare nella tua situazione.

Aggiornamento: Come notato nei commenti, il punto 2 dei Pro è abbastanza discutibile: basta richiamare la storia su Google Reader.

    
risposta data 05.07.2016 - 22:05
fonte

Leggi altre domande sui tag