Come prevenire la perdita accidentale di dati / documenti in un mondo di byod?

Question

Come prevenire la perdita accidentale di dati / documenti in un mondo di byod?

#1 da (2 voti)

2

In qualità di dipendente di una delle ormai infinite organizzazioni tecnologiche che promuovono dispositivi mobili e portatili BYOD, o dispositivi in generale che possono essere portati a casa o usati fuori sede, come evitare perdite accidentali di dati / imporre la distruzione di documenti nel politiche di sicurezza?

Esempi specifici di rischi che penso sono:

Il documento confidenzialmente riservato viene scaricato sul dispositivo dalla posta elettronica, dimenticato e sottoposto a backup dall'utente, successivamente ripristinato su un altro dispositivo / più dispositivi e infine migrato nei documenti personali degli utenti nel cloud / disco rigido esterno essenzialmente per sempre. L'utente pratica una scarsa sicurezza del cloud / perde il disco rigido e il documento viene rilasciato in libertà.
Il documento A è una politica da seguire quando si eseguono le procedure x, y, z all'interno dell'organizzazione. L'utente A distribuisce il documento a 30 persone via e-mail e ciascun utente scarica il documento. Il documento A diventa obsoleto a causa dei rischi per la sicurezza nella politica. Il documento B è rilasciato, ma gli utenti continuano a utilizzare il documento A.

Mi sembra che una politica di sicurezza da sola non sia in grado di far rispettare questo comportamento come errore umano per un uso improprio. È irragionevole assicurarsi che i documenti risiedano in un ambiente basato su cloud con criteri di classificazione corretti e non possano mai essere scaricati? ad esempio, utilizzare un servizio come Google Drive o un sistema di gestione dei documenti in cui è possibile caricare o modificare dal vivo ma non scaricare.

Mi sembra che questo rischio sia molto meno con una configurazione client / server tradizionale in cui essenzialmente i file sono di proprietà del server e gli utenti non portano i dispositivi a casa. Le politiche e la pulizia dei file utente sono molto più semplici quando vivono tutti in un'unica posizione. Il controllo può avvenire su cose come il backup di file su USB ecc. Per uso dannoso, ma suppongo di essere più preoccupato del lato accidentale delle cose.

Pensieri?

destruction data-leakage

posta Cyassin 24.08.2017 - 07:27

fonte

1 risposta

Leggi altre domande sui tag destruction data-leakage

Come deve essere garantita la connessione tra un server ospitato e un database? Questo sarebbe un flusso di autenticazione sicuro?

score 2 · Answer 1

La tua domanda è un po 'caotica ma in realtà ti chiede un problema di base. Si tratta di autorizzazione .

Chi e cosa è autorizzato a scaricare / leggere un documento in un mondo cloud e come lo si applica?

Le politiche definiscono una direzione e un obiettivo. Guidano la progettazione del processo di autorizzazione e dei meccanismi di applicazione. In breve, sono solo un punto di partenza. Assicurare i limiti sulla distribuzione (email, nel tuo esempio) e il controllo della versione (versioni delle policy, nel tuo esempio) devono essere applicati tramite la tecnologia.

Da un punto di vista della tecnologia, ci sono stati molti tentativi per risolverlo.

Blackberry e Samsung Knox (divulgazione completa, facevo parte del team di consulenza Knox) disponevano di aree sandbox del dispositivo che potevano essere autorizzate a connettersi e consentivano all'org di controllare quella parte del dispositivo. Come probabilmente saprai, questo ha visto un successo limitato.

Ma per quanto riguarda il BYOD? Questo, purtroppo, ha una sola soluzione: non autorizzare i dispositivi ad accedere ai dati che non sono sotto il controllo dell'organizzazione. Emettere dispositivi agli utenti o chiedere il loro consenso per installare un agente sul dispositivo. Questo è l'unico modo per affrontare questo problema in modo efficiente.

Che mi dici di BYOEmail? Ciò viene affrontato semplicemente monitorando e verificando le e-mail agli indirizzi webmail. Tutto ciò che riguarda l'account e-mail personale di un dipendente dovrebbe essere escluso tramite policy e monitorato durante gli audit. Questo riguarda il tuo lato "accidentale" delle cose. Ma questo richiede che tu mantenga i tuoi sistemi di posta elettronica e che abbia persone e meccanismi per eseguire questo livello di monitoraggio.

Sì, BYOD e cloud consentono a un team di 5 persone di svolgere il lavoro di un team di 50 persone, ma ciò che si perde in quell'efficienza è il controllo sui dati del team, ed è quello di cui nessuno parla. Il passaggio da "agile" a "sicuro" è un grande passo avanti ...