Dove le organizzazioni memorizzano i loro documenti sensibili? Come li proteggono?

Naviga le tue risposte
2

Dove le organizzazioni memorizzano i loro documenti sensibili?

In che modo li proteggono?

Quali sono i pro e i contro per ciascun metodo? (Se ce ne sono di più comuni)

EDIT : mi riferisco maggiormente alle applicazioni che le organizzazioni utilizzano per salvare i loro documenti sensibili come HR / Finanza / IP ... o un metodo in cui lo stanno proteggendo.

    
posta Roy Reznik 27.06.2012 - 18:22
fonte

3 risposte

2

Stai parlando di un sistema di gestione dei documenti. In genere questi sistemi consentono agli utenti di salvare documenti e delegare l'accesso in lettura / scrittura a livello di utente o di gruppo. Consentono inoltre il controllo di quando gli utenti accedono ai documenti. Alcuni possono anche limitare la modifica e la copia o persino la stampa di un documento (oltre a controllare tutte queste azioni).

C'è semplice o complicato. Alcuni usano un NAS di base con criteri di gruppo AD. Altri aggiungono uno strato di crittografia (crittografia Full Disk, TrueCrypt, qualcos'altro).

Finalmente hai i sistemi 'Enterprisey'. Questi hanno gestione del flusso di lavoro e della pubblicazione, ACL complessi e opzioni per la protezione dei documenti e la registrazione di tutte le attività.

Xeros vende un sistema chiamato DocuShare (http://docushare.xerox.com/ anche se ora è più commercializzato come CMS) che conosco diverse organizzazioni delle Nazioni Unite. C'è anche KnowledgeTree (https://www.knowledgetree.com/)

Questi sono solo due dei tanti. YMMV in base alle reali esigenze aziendali. Spero che questo sia stato di aiuto.

    
risposta data 28.06.2012 - 02:35
fonte
1

Che tipo di organizzazione e che tipo di documenti stai proteggendo? Che tipo di soluzione stanno pensando in termini di scalabilità, facilità d'uso / comprensione / applicazione?

Se ti riferisci ai modelli di controllo dell'accesso, il modello Bell-LaPadula si concentra su < strong> riservatezza e accesso alle informazioni classificate garantendo:

  • nessuna lettura: da un dato livello di sicurezza, non si può leggere a un livello più alto
  • no write down: da un determinato livello di sicurezza, non si deve scrivere a un livello di sicurezza inferiore

Un'altra cosa correlata sono MAC s (Controlli di accesso obbligatori) Se ti interessa l'informazione integrità , Biba il modello è per quello (non leggi, non scrivi)

O forse potresti semplicemente crittografarli:)

    
risposta data 27.06.2012 - 19:01
fonte
0

Lavoro in una grande banca, infatti usiamo Cyber-Ark, soprattutto per mantenere le password. Disponiamo di un'infrastruttura PKI basata su Entrust e per lo più utilizzano applicazioni interne che si integrano con la PKI e alcuni HSM per la protezione dei dati. Alcune vecchie applicazioni utilizzano chiavi simmetriche offuscate generate da HSM.

Questo è dal punto di vista di uno sviluppatore, nessuna idea su dove siano archiviate le informazioni finanziarie o sulle risorse umane.

    
risposta data 27.06.2012 - 20:26
fonte

Leggi altre domande sui tag

Esempio di alberi di attacco nell'analisi di sicurezza dell'applicazione Web Posso finire nei guai per errori legittimi nei test di bug bug? [chiuso]