Apakah ada masalah keamanan tertentu yang perlu diingat dengan penggunaan Dropbox berbagi / versi / pencadangan file di seluruh perusahaan, dan apakah ada opsi atau pengaturan khusus yang akan direkomendasikan untuk membatasi risiko?
Apakah ada masalah keamanan tertentu yang perlu diingat dengan penggunaan Dropbox berbagi / versi / pencadangan file di seluruh perusahaan, dan apakah ada opsi atau pengaturan khusus yang akan direkomendasikan untuk membatasi risiko?
Jawaban:
Itu tergantung pada bisnis Anda dan tingkat paranoia Anda. Jauh lebih aman, meski lebih mahal, untuk mengeluarkan laptop dengan koneksi VPN.
Sangat cepat...
Beberapa Risiko:
Rekomendasi:
Saya akan menginjak dengan sangat hati-hati di sini. Dropbox memungkinkan ekstensi ke hard drive komputer lain.
Ekstensi itu lebih buruk daripada kunci USB dalam arti bahwa infeksi pada satu PC dapat masuk ke semua PC lain menggunakan berbagi yang lebih mudah daripada dengan kunci USB. Penulis virus / trojan / bot tidak menargetkan dropbox (namun) tetapi jika mereka memutuskan untuk melakukannya, maka Anda memiliki pintu tidak terkunci virtual dari PC yang dikendalikan perusahaan di jaringan aman ke komputer tidak aman di jaringan tidak aman. Seperti halnya, menggunakan operasi normal, seseorang tidak bisa begitu saja melewati pintu itu dan melihat hal-hal lain di komputer - hanya item dalam dropbox yang dapat dilihat, dan item baru hanya dapat dibuat di area itu, tetapi dengan asumsi bahwa Aplikasi dropbox itu sendiri tidak dapat dikompromikan.
Lebih lanjut, Dropbox mengklaim banyak keamanan, tetapi apa yang sebenarnya bisa dibuktikan kepada Anda? Mungkin saja seseorang dapat menyelinap masuk ke jendela itu dari jarak jauh dari PC yang sama sekali berbeda dan berupaya memasukkan dokumen dan program yang terinfeksi ke PC kantor.
Jelas ada protokol dropbox sendiri yang digunakan untuk berkomunikasi dengan kliennya - apakah dienkripsi? Apakah kebal terhadap buffer overflows? Man di tengah serangan? Mengendus? Putar ulang serangan? Apakah mungkin, menggunakan protokol standar, menempatkan file di dalam atau bahkan di luar area dropbox standar? Jika protokol memiliki buffer overflow, apakah mungkin kompromi dengan cara yang memungkinkan akses penuh ke mesin? Jaringan berbagi di mesin?
Saya tidak berpikir risikonya sangat tinggi, tetapi kerusakan yang dilakukan bisa luas, jadi itu adalah sesuatu yang harus dipikirkan dengan cermat.
-Adam
Paranoia ????
Bung .. Menjauh dari jaringan .. PERLAHAN .. Dengan tangan Anda jauh dari Keyboard .. LAKUKAN SEKARANG !!!
Solusi "konsumen" berbasis cloud berbagi file seperti Dropbox, tidak dimaksudkan untuk Bisnis atau Perusahaan. Microsoft mengatakan yang terbaik dengan Skydrive ketika mereka keluar dan berkata, bahwa jenis produk ini tidak, dan tidak boleh digunakan untuk keperluan bisnis.
Ada ribuan alasan mengapa tidak melebihi alasan mengapa seseorang harus melakukannya.
Alasan HUKUM terbesar di luar risiko keamanan (Dan Ketentuan Penggunaan yang menentukan bahwa pihak ketiga dapat memiliki akses ke file rahasia maka tidak ada rahasia yang harus disimpan pada layanan yang berbasis konsumen .. PERNAH ..)adalah fakta dengan layanan seperti Dropbox, well. Biarkan saya bertanya ini .. Di mana file-file itu disimpan? Di mana server-server itu berada? Anda dapat yakin, dengan penawar terendah, memanggil sesuatu yang disebut Aturan dan Undang-Undang Ekspor Data ... Jika Anda memiliki satu file kecil, "Pemerintah Amerika Serikat dapat dianggap sebagai risiko atau risiko potensial terhadap keamanan AS" (Bisa jadi sesuatu sekecil tata letak listrik ke tempat pertemuan publik, sekolah, pusat kebugaran, kata sandi, atau nama pengguna untuk sesuatu seperti akun Cisco di mana Anda dapat mengunduh perangkat lunak yang dibatasi ekspor, dll.) hingga dokumen rahasia, Anda melanggar undang-undang itu. Anda masuk penjara, Anda tidak lulus pergi .. Saya percaya sekarang, yang ditangani oleh FTC dan Homeland Security ..
Persyaratan penggunaan DB menentukan (pada dasarnya) bahwa jika diinstal pada PC bisnis, (Dropbox mengasumsikan orang itu karena orang yang memasang pada PC bisnis menjamin mereka dengan mengklik melalui TOU) bahwa individu "yang berwenang" melakukannya. UNTUK PERUSAHAAN SELURUH .. Periode ... (Bagian pertama di Dropbox.com/terms)
Apa yang menghentikan saya untuk menggunakan ini di luar server saya dan lingkungan kerja hanyalah etika ... Anda memiliki produk konsumen seperti Skydrive yang dalam huruf besar mengatakan "Tidak Bisnis .. Jangan! Karena mereka tidak ingin mengambil risiko data pelanggan di tingkat bisnis karena mereka TAHU itu risiko! Dan kemudian Flippin Dropbox yang menggunakan kata-kata hukum dalam kontrak mereka seperti kata "barang", yang membuat seluruh "keamanan" menjadi gemuk dan bertindak seperti itu bukan masalah besar (Anda ingin kehilangan laba dan saham yang berharga? Mungkin tidak ...) ....
Ini adalah masalah besar .. Semakin banyak kelompok keamanan memohon Anda dan saya untuk mengikuti praktik sederhana, semakin banyak perusahaan besar seperti dropbox keluar dan untuk uang .. untuk keuntungan, bertindak seperti itu bukan masalah besar ...
Bagaimana jika bisnis Anda menyimpan sepotong kecil nomor kartu kredit tunggal dan nama serta tanggal kedaluwarsa? Sekarang katakanlah PC tempat klien dropbox terinstalasi adalah uhmm "masuk ke .." melalui singgah keamanan Dropbox ... Mengikuti saya? Visa / Amex dll .. perusahaan bank ginormous DENGAN dukungan pemerintah (karena Standar Industri Kartu Pembayaran (PCI) mengatakan demikian .. itu siapa ...) AKAN baik-baik saja .. dapatkan ini ... Anda mungkin ingin duduk .. $ 500,000.00 PER INSIDEN yang mengejutkan ... Cukup untuk mengeluarkan bisnis kecil atau menengah dari bisnis yang mereka jalankan ....
cara HANYA untuk menyiasatinya, adalah mengenkripsi data secara lokal menggunakan produk enkripsi PCI bersertifikat, SEBELUM itu pergi ke dropbox, membeli lisensi untuk semua perangkat jarak jauh Anda, mengunduh file yang Anda butuhkan, dan de-mengenkripsi data sebelum Anda dapat menggunakan itu .. (Tidak terdengar seperti itu sama sekali tidak menyenangkan ...) (Atau mengenkripsi data pada jaringan server Anda, dan klien di gateway ...)
Dengan semua itu, dengan kurang dari $ 20 seorang pengguna (sekitar $ 11 untuk yang dasar) Anda bisa mendapatkan paket seri Office365 E, yang IS HIPAA, SOX, ISO, dan PCI .. (Dropbox, disembunyikan di sana halaman dengan jelas menyatakan " saat ini ", mereka bukan ....)
Jadi tanyakan pada diri sendiri, meskipun dalam pikiran Anda kecil ... Apakah itu sepadan dengan risikonya? dan APAKAH Anda ingin melakukan bisnis dengan perusahaan yang saya pikir, langkah-langkah ringan atau membuat ringan, risiko yang terkait dengan menggunakan produk mereka ....
Apakah itu sepadan dengan risiko karier Anda jika Anda berada dalam teknologi dan Anda mendapatkan bokong dan Anda TIDAK mengizinkan dropbox? Apakah Anda pikir Anda dapat dipekerjakan setelah nama Anda di samping sungsang dan Anda membuat berita? Sebagai seorang CTO, saya dapat berjanji kepada Anda, tidak dalam hidup saya akan saya bahkan mendengar alasan di baliknya .. Saya bahkan tidak akan pernah mewawancarai siapa pun dalam teknologi yang dengan tindakan atau keputusan mereka sendiri, menyebabkan sejumlah data pada jaringan ukuran apa pun .. Ya kita semua membuat kesalahan, itulah sebabnya pekerjaan Anda di TI adalah untuk menghilangkan segala risiko, besar atau kecil sebaik mungkin .. Tidak membuka lubang cacing dan berteriak untuk Alice ...) Ini adalah bencana bagi PR .. untuk bisnis, (jika pesaing menemukan dan membocorkan siapa Anda .. (terkesiap) apa yang Anda lakukan .. dan kewajiban yang meningkat untuk mempekerjakan seseorang karena mereka mengizinkan layanan berbagi file yang secara publik mengakui dan menyatakan bahwa mereka bukan PCI, SOX , ISO,
Nah .. Itu bagi Anda untuk memutuskan ... Apakah itu layak untuk berkarir? Apakah sepadan dengan hilangnya data perusahaan atau pelanggan Anda?
Bagi saya .. Ini bukan ... Konsumen menggunakan produk konsumen, bukan bisnis ... Periode.
Pembaruan (1,5 Tahun kemudian): Dropbox mengklaim sekarang bahwa mereka mengirimkan data melalui protokol SSL dan menyimpannya dalam AES-256-Kontainer yang tidak dapat mereka akses sendiri (tanpa kata sandi).
Dropbox baru-baru ini mengakui bahwa mereka tidak menggunakan SSL untuk mentransfer metadata file antara klien seluler dan server mereka. Mereka melakukan ini dengan sengaja, untuk alasan kinerja. Mereka tidak menyatakan di mana pun di situs web mereka bahwa mereka melakukan ini. Anda dapat membacanya di sini:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
Saya pikir mereka sedang mengerjakan versi untuk digunakan perusahaan secara internal, dengan keamanan lebih, tetapi sementara itu, file tidak dienkripsi di server mereka, jadi Anda harus percaya mereka.
Selain itu, saya tidak dapat melihat risiko keamanan lainnya yang spesifik untuk Dropbox (seperti kebocoran informasi).
Banyak yang akan tergantung pada kebijakan yang berlaku di perusahaan Anda. Jika itu seperti di mana saya bekerja - di mana semua perkembangan yang saya lakukan adalah milik rumah sakit, dan bukan saya - maka saya akan khawatir bahwa itu menjadi cara mudah bagi aset intelektual perusahaan untuk "berkeliaran".
Ada banyak sistem manajemen dokumen yang memungkinkan Anda mengatur sesuatu yang hanya dapat diakses secara internal atau melalui koneksi yang dapat dipantau.