ड्रॉपबॉक्स का उपयोग करने वाले कर्मचारियों के साथ क्या सुरक्षा जोखिम हैं?

ड्रॉपबॉक्स फ़ाइल साझाकरण / संस्करण / बैकिंग के कंपनी-व्यापी उपयोग को ध्यान में रखने के लिए क्या कोई विशेष सुरक्षा चिंताएँ हैं और क्या ऐसे विशिष्ट विकल्प या सेटिंग्स हैं जिन्हें जोखिम को सीमित करने की सिफारिश की जाएगी?

यह आपके व्यवसाय और आपके स्तर के व्यामोह पर निर्भर करता है। वीपीएन कनेक्शन के साथ लैपटॉप जारी करने के लिए यह अधिक सुरक्षित है, और अधिक महंगा है।

वास्तव में तेज़...

कुछ जोखिम:

• पूर्व कर्मचारियों को संभावित रूप से रोजगार समाप्त होने के बाद व्यावसायिक डेटा तक पहुंच है। आप व्यवसाय के रूप में खातों के नियंत्रण में होना चाहिए यदि आप नहीं चाहते हैं कि कुछ असंतुष्ट कर्मचारी को एफएआई मिलने के बाद चीजों तक पहुंच हो ...
• ये सेवाएं आपके पास मौजूद किसी भी स्वचालित दस्तावेज़ अवधारण तंत्र को बायपास कर देंगी जो आपके लिए दस्तावेज़ प्रतिधारण के लिए मैन्युअल रूप से कवर करने के लिए एक और क्षेत्र जोड़ता है

अनुशंसाएँ:

• सुनिश्चित करें कि आप डेटा को संग्रहीत करने के लिए अपनी स्वयं की एन्क्रिप्शन कुंजी (एस) उत्पन्न कर सकते हैं और यह कि सेवा प्रदाता के साथ कुंजी साझा नहीं की गई है
• सुनिश्चित करें कि आपका डेटा सेवा के भंडार में भेजे जाने से पहले इसे एन्क्रिप्ट किया गया है
• यदि आप व्यक्तियों को अपना खाता देने जा रहे हैं, तो आपकी कंपनी के लिए संपर्क का एक बिंदु है। इस व्यक्ति (या परदे के पीछे के लोगों के रूप में) के माध्यम से सभी खातों को समन्वयित करें। या सुनिश्चित करें कि प्रदाता व्यावसायिक खातों का समर्थन करता है जिन्हें आप किसी भी तरह से कर्मचारियों को समूह में रख सकते हैं।

मैं यहाँ बहुत सावधानी से चलना होगा। ड्रॉपबॉक्स एक अन्य कंप्यूटर की हार्ड ड्राइव के विस्तार को सक्षम करता है।

यह विस्तार एक USB कुंजी से इस मायने में भी बदतर है कि एक पीसी पर संक्रमण उस USB का उपयोग करने की तुलना में बहुत आसानी से उस शेयर का उपयोग करके अन्य सभी पीसी पर प्राप्त कर सकता है। वायरस / ट्रोजन / बॉट लेखक ड्रॉपबॉक्स (अभी तक) को लक्षित नहीं करते हैं, लेकिन अगर वे तय करते हैं, तो आपको एक असुरक्षित नेटवर्क पर एक असुरक्षित कंप्यूटर पर एक सुरक्षित नेटवर्क पर पीसी से नियंत्रित कंपनी से एक आभासी अनलॉक दरवाजा मिला है। जैसा कि, सामान्य ऑपरेशन का उपयोग करते हुए, कोई व्यक्ति केवल उस दरवाजे से नहीं जा सकता है और कंप्यूटर पर अन्य चीजों को देख सकता है - केवल ड्रॉपबॉक्स के भीतर की वस्तुओं को देखा जा सकता है, और नए आइटम केवल उस क्षेत्र में बनाए जा सकते हैं, लेकिन यह मान रहा है कि ड्रॉपबॉक्स एप्लिकेशन से ही समझौता नहीं किया जा सकता है।

इसके अलावा, ड्रॉपबॉक्स सुरक्षा का एक बड़ा दावा करता है, लेकिन वास्तव में आपके लिए क्या साबित होता है? यह संभव है कि कोई व्यक्ति पूरी तरह से अलग पीसी से दूरस्थ रूप से उस विंडो में चुपके कर सकता है और कार्य पीसी पर संक्रमित दस्तावेजों और कार्यक्रमों को डालने का प्रयास कर सकता है।

जाहिर है एक प्रोटोकॉल ड्रॉपबॉक्स खुद अपने ग्राहकों के साथ संवाद करने के लिए उपयोग करता है - क्या यह एन्क्रिप्टेड है? क्या यह अतिप्रवाह बफर करने के लिए प्रतिरक्षा है? बीच के हमलों में आदमी? सूँघने? फिर से खेलना हमलों? क्या मानक प्रोटोकॉल का उपयोग करना, मानक ड्रॉपबॉक्स क्षेत्र के अंदर या बाहर भी फाइलें रखना संभव है? यदि प्रोटोकॉल में एक बफर अतिप्रवाह है, तो क्या मशीन को पूर्ण पहुंच की अनुमति देने के लिए इसे एक तरह से समझौता करना संभव है? मशीन पर नेटवर्क शेयर?

मुझे नहीं लगता कि जोखिम बहुत अधिक है, लेकिन किया गया नुकसान व्यापक हो सकता है, इसलिए यह कुछ ऐसा है जिसे सावधानीपूर्वक सोचा जाना चाहिए।

-Adam

मानसिक उन्माद ????

यार .. नेटवर्क से दूर हटो .. धीरे-धीरे .. अपने हाथों से कीबोर्ड से दूर .. अब यह करो !!!

फ़ाइल शेयर क्लाउड आधारित "उपभोक्ता" समाधान जैसे ड्रॉपबॉक्स, व्यवसाय या निगमों के लिए नहीं हैं। Microsoft ने स्काईड्राइव के साथ इसे सबसे अच्छा कहा जब वे बाहर आए और कहा, कि इस प्रकार के उत्पाद व्यापार उद्देश्यों के लिए उपयोग नहीं किए जाते हैं और इसका उपयोग नहीं किया जाना चाहिए।

ऐसे हजारों कारण हैं कि क्यों नहीं एक कारण होना चाहिए।

सुरक्षा जोखिमों के बाहर का सबसे बड़ा कानूनी कारण (और उपयोग की शर्तें जो यह निर्दिष्ट करती हैं कि 3 जी गोपनीय फाइलों तक पहुंच हो सकती है इसलिए कुछ भी गोपनीय नहीं होना चाहिए ऐसी सेवा जो उपभोक्ता आधारित है .. कभी भी)अच्छी तरह से ड्रॉपबॉक्स जैसी सेवा के साथ तथ्य है। मुझे यह पूछने दो .. उन फ़ाइलों को कहाँ संग्रहीत किया जाता है? वे सर्वर कहाँ स्थित हैं? आप आश्वस्त रह सकते हैं, सबसे कम बोली लगाने वाले के साथ, डेटा एक्सपोर्ट रूल्स और लॉज़ नामक किसी चीज़ में कॉल करें ... क्या आपके पास एक छोटी फ़ाइल "संयुक्त राज्य सरकार अमेरिकी सुरक्षा के लिए जोखिम या संभावित जोखिम के रूप में हो सकती है"? एक सार्वजनिक सभा स्थल, स्कूल, जिम, पासवर्ड या एक सिस्को खाते की तरह कुछ करने के लिए एक उपयोगकर्ता नाम के रूप में बिजली के लेआउट के रूप में छोटा है जहाँ आप वर्गीकृत दस्तावेजों के लिए निर्यात प्रतिबंधित सॉफ्टवेयर आदि डाउनलोड कर सकते हैं), आप उस कानून का उल्लंघन कर रहे हैं। आप जेल जाते हैं, आप पास नहीं जाते हैं .. मेरा मानना ​​है कि अब यह एफटीसी और होमलैंड सिक्योरिटी द्वारा संभाला जाता है।

उपयोग की DB शर्तें निर्दिष्ट करती हैं (मूल रूप से) कि अगर इसका व्यवसाय पीसी पर स्थापित है, (ड्रॉपबॉक्स उस व्यक्ति को मानता है क्योंकि व्यवसाय पीसी पर स्थापित व्यक्ति गारंटी देता है कि वे TOU में क्लिक करके हैं) कि "अधिकृत" व्यक्ति ऐसा कर रहा है पूरी कंपनी के लिए .. अवधि ... (पहला खंड आयन Dropbox.com/terms)

मेरे सर्वर और कार्य वातावरण के बाहर इसका उपयोग करने से मुझे क्या रोक दिया गया है, बस नैतिकता है ... आपके पास स्काईड्राइव जैसा एक उपभोक्ता उत्पाद है जो बड़े अक्षरों में कहता है "नहीं व्यापार ..! क्योंकि वे ग्राहक के डेटा को जोखिम में नहीं डालना चाहते हैं!" एक व्यावसायिक स्तर क्योंकि वे जानते हैं कि यह एक जोखिम है! और फिर फ़्लिपिन ड्रॉपबॉक्स जो "अनुबंध" शब्द में अपने कानूनी शब्दों का उपयोग करता है, जो पूरे "सुरक्षा चीज़" को थपथपाते हैं और इसके लिए कोई बड़ा सौदा नहीं करते हैं (क्या आप चाहते हैं) लाभ कम करने के लिए और शेयर कि मूल्यवान। शायद नहीं ...) ...।

यह एक बड़ी बात है .. अधिक सुरक्षा समूह आपसे और मैं सरल प्रथाओं का पालन करते हैं, ड्रॉपबॉक्स की तरह अधिक बड़े comps बाहर आते हैं और पैसे के लिए .. लाभ के लिए, इसके बड़े सौदे की तरह काम करते हैं ...

क्या होगा यदि आपका व्यवसाय एकल क्रेडिट कार्ड नंबर और नाम और समाप्ति तिथि का एक छोटा सा टुकड़ा संग्रहीत करता है? अब कहते हैं कि ड्रॉपबॉक्स क्लाइंट को पीसी पर स्थापित किया गया था, एक ड्रॉपबॉक्स सुरक्षा ब्रीच के माध्यम से "मिल गया था .." मेरे बाद? वीज़ा / एमेक्स आदि .. सरकारी समर्थन के साथ जिन बैंक कंपनियां प्रति व्यक्ति $ 500,000.00 का चौंका देने वाला ... वे जिस व्यवसाय में हैं, उसमें से एक छोटा या मध्यम व्यवसाय रखना पर्याप्त है ...।

इसे प्राप्त करने का एकमात्र तरीका, स्थानीय रूप से उस डेटा को पीसीआई प्रमाणित एन्क्रिप्शन उत्पाद का उपयोग करके एन्क्रिप्ट करना है, इससे पहले कि यह ड्रॉपबॉक्स में जाता है, अपने सभी दूरस्थ उपकरणों के लिए लाइसेंस खरीदता है, अपनी ज़रूरत की फ़ाइल डाउनलोड करता है, और आपके उपयोग करने से पहले इसे डी-एन्क्रिप्ट कर सकता है। यह .. (यह सब पर कोई मज़ा नहीं है जैसे ध्वनि नहीं है ...) (या अपने सर्वर नेटवर्क पर डेटा एन्क्रिप्ट कर रहा है, और गेटवे पर ग्राहकों ...)

उस सब के साथ, 20 डॉलर से कम के लिए एक उपयोगकर्ता (मूल के लिए लगभग $ 11) आप एक Office365 ई श्रृंखला योजना प्राप्त कर सकते हैं, जो आईएस HIPAA, SOX, ISO और PCI प्रमाणित है। (ड्रॉपबॉक्स, वहां पृष्ठों में छिपा हुआ स्पष्ट रूप से बताता है " इस समय ", वे नहीं हैं ....)

तो अपने आप से पूछें, आपके मन में भले ही छोटा हो ... क्या यह वास्तव में जोखिम के लायक है? और क्या आप एक कंपनी के साथ व्यापार करना चाहते हैं जो मुझे लगता है, हल्के ढंग से कदम बढ़ाता है या हल्का बनाता है, उनके उत्पाद का उपयोग करने से जुड़े जोखिम ...।

क्या यह आपके करियर के लिए जोखिम के लायक है यदि आप प्रौद्योगिकी में हैं और आप परेशान हो गए हैं और आप ड्रॉपबॉक्स की अनुमति देते हैं? क्या आपको लगता है कि आपके नाम के आगे ब्रीच लगने के बाद आप रोजगार योग्य हैं और आप खबर बनाते हैं? सीटीओ के रूप में, मैं आपसे वादा कर सकता हूं, अपने जीवन पर नहीं। मैं इसके पीछे का बहाना भी सुनूंगा .. मैं कभी भी किसी को भी प्रौद्योगिकी का साक्षात्कार नहीं दूंगा जो अपने कार्यों या निर्णयों से किसी भी आकार के नेटवर्क पर डेटा की कमी का कारण बने। हाँ, हम सभी गलतियाँ करते हैं, यही कारण है कि आईटी में आपका काम किसी भी जोखिम, बड़े या छोटे को खत्म करना है जो आप कर सकते हैं .. वर्म होल को खोलना नहीं है और ऐलिस के लिए चिल्लाएं ...) यह पीआर के लिए एक आपदा है। एक व्यवसाय के लिए, (यदि एक प्रतियोगी को पता चला और लीक हो गया कि आप कौन हैं .. (हांसी) आपने क्या किया .. और किसी को काम पर रखने के लिए एक बढ़ी हुई देयता क्योंकि उन्होंने एक फाइल शेयरिंग सेवा की अनुमति दी, जो पबली ने स्वीकार किया और कहा कि वे पीसीआई, एसओएक्स नहीं थे। , आईएसओ,

खैर .. यह आपको तय करना है ... क्या यह एक कैरियर के लायक है? क्या यह आपकी कंपनी या ग्राहक डेटा के नुकसान के लायक है?

मेरे लिए .. यह नहीं है ... उपभोक्ता उपभोक्ता उत्पादों का उपयोग करते हैं, व्यवसायों का नहीं ... अवधि।

एक अपडेट (1,5 साल बाद): ड्रॉपबॉक्स अब दावा करता है कि वे एसएसएल प्रोटोकॉल के माध्यम से डेटा संचारित करते हैं और उन्हें एईएस -256-कंटेनर में संग्रहीत करते हैं जो वे स्वयं (पासवर्ड के बिना) एक्सेस नहीं कर सकते।

ड्रॉपबॉक्स ने हाल ही में स्वीकार किया कि वे मोबाइल क्लाइंट और उनके सर्वर के बीच फ़ाइल मेटाडेटा को स्थानांतरित करने के लिए एसएसएल का उपयोग नहीं करते हैं। वे प्रदर्शन के कारणों से ऐसा करते हैं। वे अपनी वेबसाइट पर कहीं भी नहीं बताते हैं कि वे ऐसा करते हैं। आप इसके बारे में यहां पढ़ सकते हैं:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop

मुझे लगता है कि वे कंपनियों के लिए आंतरिक रूप से अधिक सुरक्षा के साथ उपयोग करने के लिए एक संस्करण पर काम कर रहे हैं, लेकिन इस बीच, फाइलें उनके सर्वर पर एन्क्रिप्टेड नहीं हैं, इसलिए आपको उन पर भरोसा करना होगा।

उसके अलावा, मैं ड्रॉपबॉक्स (जैसे सूचना रिसाव) के लिए विशिष्ट अन्य सुरक्षा जोखिमों को नहीं देख सकता।

आपकी कंपनी में नीतियों के स्थान पर बहुत कुछ निर्भर होने वाला है। अगर इसकी तरह जहां मैं काम करता हूं - जहां सभी विकास मैं अस्पताल से करता हूं, और मुझे नहीं - तो मैं इसके बारे में चिंतित हूं कि कंपनी की बौद्धिक संपदा के लिए "भटकने" का एक आसान साधन है।

बहुत सारे दस्तावेज़ प्रबंधन सिस्टम हैं जो आपको कुछ ऐसा सेट करने देंगे जो केवल आंतरिक रूप से या निगरानी योग्य कनेक्शन के माध्यम से सुलभ हो।