Trasferimento delle password a consulenti esterni

1

Come parte di un nuovo sforzo di eDiscovery, inviamo grandi quantità di dati su hardware crittografato a terze parti (consulenti esterni) che non sono molto competenti dal punto di vista tecnico (quindi nessun scambio di chiavi tramite desktop PGP). La nostra politica di conformità non stabilisce password nelle e-mail, ma il team IT Sec non offre soluzioni alternative oltre alla comunicazione vocale. In quali altri modi possiamo comunicare questa password? Il fatto che l'email sia completamente separata dall'hardware è sufficiente?

Modificato con ulteriori informazioni

Un po 'più di informazioni dopo aver fatto qualche altro scavo. Ci sono alcuni strumenti di terze parti che sembrano essere fatti per questo tipo di problemi: note per la password autodistruggenti, utilità di pagamento, ecc. Joel Spolsky menziona l'utilizzo di siti di condivisione file. Sembra un buon compromesso, inserisci la password in un file e condividi il file con l'email specifica della persona a cui stai inviando l'unità. Qualche altra riflessione su questi approcci?

    
posta SDH 24.12.2014 - 18:26
fonte

2 risposte

4

Per motivi di politica, non utilizzerei alcuna forma di comunicazione registrata per impostazione predefinita perché non hai mai il controllo su ciò che accade e su chi potrebbe accedervi in futuro. Questo esclude la posta elettronica. Come hai detto, anche i metodi chiave pubblici sono fuori, dal momento che l'avvocato non è tecnicamente abbastanza esperto.

Normalmente è improbabile che i dati vengano rubati durante il trasporto, ma è molto più probabile che vengano rubati a riposo. Pertanto, mentre l'e-mail e una chiamata vocale sono entrambe non crittografate, la chiamata vocale è molto più sicura poiché normalmente non vengono registrate. Anche se in questi giorni è possibile che anche una chiamata vocale a un avvocato possa essere registrata.

Dovrai impostare il tuo livello di paranoia, ma sembra che tu non sia l'NSA, quindi direi se tu e l'avvocato entrambi vi conoscete e potete riconoscere la loro reciproca voce, che sta per essere "abbastanza sicuro" per contrastare i malvagi. Saresti comunque vulnerabile allo snooping del governo, naturalmente. Rivolgersi al proprio avvocato se lo scambio di una password è protetto da avvocato / cliente.

    
risposta data 24.12.2014 - 20:48
fonte
2

La mia esperienza è che la soluzione meno orribile è quella di organizzare una telefonata in un momento specifico e autenticarli tramite la conoscenza che entrambi condividete, ma che sarebbe improbabile che un avversario lo sappia.

Ad esempio, nell'invito alla chiamata, fagli sapere che chiedi loro una domanda relativa al caso per autenticarsi.

me: Hi, Bob. How're the kids?   
Bob: Hi. They're alright. You said you had a question for me   
me: Yes. What was the name again of that witness who alleged they were out of town when the plaintiff hurt his ankle?    
Bob: Oh, Mary? Yeah, not sure her story stands up   
me: I know. So anyway, the password is: SIERRA SIERRA FOXTROT NINER SIX FOXTROT SEVEN PAPA ONE ZERO   
Bob: Thanks. I got SSF96F7P10   
me: Yep. See you in the next phase of discovery   
    
risposta data 24.12.2014 - 19:23
fonte

Leggi altre domande sui tag