Come dovremmo archiviare e condividere documenti con accesso limitato

1

Fino ad ora abbiamo gestito la limitazione dell'accesso ai documenti tramite una condivisione sul nostro server a cui potevano accedere solo i 2 contabili e un altro a cui potevano accedere solo le 2 risorse umane. E tutto il resto è disponibile per tutti.

Siamo cresciuti fino a una dimensione in cui questo non funziona bene. Per continuare con questo approccio avremmo bisogno di 5 diverse azioni. E le persone probabilmente commettono errori mettendo i file nella condivisione sbagliata.

Che cosa dovremmo fare? Abbiamo solo 32 persone e non voglio introdurre un pasticcio complesso. Ma voglio avere un sistema che funzioni fino a 100 dipendenti.

Siamo un negozio di Windows se questo fa la differenza. E questo è principalmente DOCX & File XLSX.

ps - Immagino che questa sia una domanda valida, sia come politica di sicurezza, strumenti di sicurezza e / o protezione fisica delle risorse informative.

    
posta David Thielen 04.11.2015 - 23:38
fonte

3 risposte

3

Se si dispone di un Active Directory o di un simile sistema utente gestito centralmente, questo dovrebbe essere abbastanza facile da implementare. Active Directory ha attivato il controllo degli accessi per oltre un decennio.

link è un articolo di Microsoft che spiega questo in grande dettaglio. In parole povere:

  1. Crea un sistema di cartelle che indica a cosa serve ogni tipo di documento.
  2. Definire una configurazione di gruppo di Active Directory per i diversi team: uno per HR, uno per Contabilità, uno per gli sviluppatori, uno per l'helpdesk, uno per la gestione e così via.
  3. Per ciascun gruppo, configura le autorizzazioni che il gruppo deve avere in ciascuna cartella. Può variare da autorizzazioni complete, lettura, scrittura a nessuna autorizzazione.
  4. Assegna tutti gli account AD del tuo dipendente al gruppo corretto.

Se non si dispone di un sistema utente gestito centralmente con una società di 32 dipendenti, OTTIENI UN PIÙ ALTO. Ciò renderà la vita del tuo amministratore di sistema più semplice, ed è un investimento utile per un'azienda che si espanderà a 100 o più persone. Oltre al controllo degli accessi, la gestione centralizzata degli utenti consente molta più flessibilità nella gestione degli utenti e nella gestione delle password e consente un maggiore controllo non solo sui file, ma anche sulle impostazioni di Windows.

And people will probably make mistakes putting files in the wrong share.

Si tratta semplicemente di educare gli utenti a una corretta gestione dei file. Non sarai in grado di trovare una soluzione tecnica al 100% a meno che non inizi a entrare in progetti di sviluppo interni intricati (leggi: instabile). Utilizza una combinazione di software esistente e ben consolidato e formazione degli utenti.

    
risposta data 04.11.2015 - 23:58
fonte
1

Non vedo davvero perché questo non avrebbe funzionato. Ad esempio, avresti:

  • Una cartella contabile a cui possono accedere solo i contabili.
  • Una cartella delle risorse umane a cui solo le risorse umane possono accedere.
  • Una cartella che tutti possono leggere con es. la documentazione interna per la configurazione di Outlook.

Devi solo organizzare la struttura dei contenuti in modo logico e quindi assegnare le autorizzazioni in base alle esigenze (nota che puoi dare permessi per cartella e anche per file, non è necessario essere per-share¹).

Perché qualcuno in HR salverà un CV accanto al file di aiuto di Outlook?

Forse stavi pensando in un approccio con le cartelle che codificano i permessi di destinazione, un esempio estremo di quali potrebbero essere le cartelle nominate dalle persone che vi accedono. Non solo questo sarebbe complesso per gli utenti (perché dovrei aver bisogno di ricordare tutti sul dipartimento X?) Ma anche di confondere se qualcuno dovesse cambiare dipartimenti.

Non dovresti far riflettere la gente su "A chi dovrebbe essere concesso l'accesso" ma "Dove dovrebbe essere riempito?"

Per quanto ne so, è così che funziona la maggior parte delle aziende.

¹ Non stai ancora utilizzando Windows 95-Millenium, vero? ;)

    
risposta data 04.11.2015 - 23:49
fonte
1

Hmmm. Penso che potrei essere incline ad adottare un approccio leggermente diverso rispetto all'integrazione dell'autenticazione per accedere all'archivio dei documenti sensibili con la configurazione di Active Directory. Perché, a mio avviso, la sicurezza di tali documenti diventerebbe quasi esclusivamente dipendente dalla sicurezza della configurazione di Active Directory. E questo potrebbe non essere necessariamente una buona cosa, per quanto riguarda la sicurezza.

Non è che Active Directory sia impossibile da implementare in modi che garantiscano una solida sicurezza per cose particolarmente sensibili; ovviamente, molti negozi riescono a fare proprio questo. Tuttavia, molti negozi pensano possono farlo e finiscono per non riuscire nello sforzo. (Alcuni di loro vengono violati e mostrano chiaramente questi difetti, alcuni sono semplicemente fortunati e non vengono mai attaccati in alcun modo concertato.)

Le persone che implementano ed eseguono la configurazione di AD possono essere buone, ma creare e mantenere costantemente un ambiente di dominio con una solida sicurezza è una cosa davvero difficile. Puoi dire che sei certo che le tue persone o gli appaltatori sono abbastanza esperti nelle pratiche di amministrazione di infosec per compartimentare le loro attività di amministrazione di dominio in modo da non esporre le credenziali di amministratore di dominio (ad es. un regno di Active Directory ")? Per impostare l'autenticazione a due fattori, che vuoi davvero quando proteggi le informazioni particolarmente sensibili di qualsiasi tipo, con la configurazione attuale di AD? Non intendo pregiudicare le capacità delle persone che gestiscono le impostazioni tecnologiche quotidianamente in questo momento, ma ... beh, nella mia esperienza i negozi di piccole-medie-piccole dimensioni come la tua solitamente non hanno molto - amministratori qualificati e esperti di sicurezza interni per gestire correttamente l'annuncio in un ambiente ad alta sicurezza. E se colleghi il tuo archivio di documenti all'autenticazione di AD, il tuo setup di AD completo dovrà essere eseguito come un ambiente di sicurezza elevato. Che spesso non è desiderabile.

C'è un approccio molto più semplice, probabilmente più sicuro che viene in mente ma che potrebbe o non potrebbe essere appropriato a seconda di quanto siano sensibili le informazioni in quei documenti: impostando un account Office 365 e memorizzando i tuoi documenti lì con due autenticazione fattoriale abilitata. So che si tende a sentire parlare di un'opzione cloud per la memorizzazione di cose sensibili e il wince (io di solito faccio lo stesso), ma nel tuo caso potrebbe essere un'alternativa più sicura. Uno dei tuoi vettori di minacce, il furto fisico delle unità che contengono le informazioni, è gestito in modo appropriato da locali in fase di spegnimento e l'autenticazione a due fattori eseguita da Microsoft non rende la sicurezza dei tuoi documenti dipendente dal tuo dominio AD locale configurato e mantenuto correttamente il 100% delle volte dalle persone o dagli appaltatori. Inoltre, puoi impostare permessi di accesso cartella per cartella per utenti diversi anche più facilmente di quanto puoi con le cartelle locali & azioni.

(Nota a margine: tanto per essere chiari, non sono uno scellino per la soluzione cloud di Microsoft. Le merci di Google soddisfano anche le esigenze dell'OP, così come quelle di Dropbox, o box.net, o così via. innanzitutto perché l'OP ha un negozio Microsoft, e perché è lì che si trovano anche le mie capacità e esperienze personali.)

    
risposta data 05.11.2015 - 01:26
fonte

Leggi altre domande sui tag