Kan Dropbox een Sharepoint-omgeving onveilig maken?

Ik denk dat er niet zozeer een centenkwestie achter zit bij die policy van jullie ICT-afdeling. Wij weigeren ook om Dropbox te installeren op werkplek pc's en notebooks. Het vormt volgens ons namelijk een groot beveiligingsrisico.

Langst de ene kant zit je met het feit dat mensen Dropbox op eender welke computer kunnen installeren en dat Dropbox dan leuk begint te syncen tussen die computers. Op computers die in beheer zijn van de ICT-afdeling heb je nog zicht op dingen als anti-virus, firewall,...

Als mensen bij hun thuis bijvoorbeeld met een virus zitten, of op eender welke pc die gekoppeld is aan hun Dropbox account dan begint hij dat ook mooi te syncen met de computer van het werk.
Dat is dan nog enkel het "virus" aspect.

Je zit dan ook nog eens met het mogelijk lekken van gegevens. Als je een 50GB-account hebt kan je als het ware de halve netwerkschijf van je dienst kopiëren naar je Dropbox map waarna het mooi naar de Dropbox servers gaat en daarna naar alle computers die gekoppeld zijn aan je account. Met een harde schijf lukt dit natuurlijk ook, maar die kan je als je wil blokkeren als ICT-dienst, en die heb je ook fysiek in je eigen bezit.

Als zoon/dochter/partner thuis met dezelfde account op de PC werkt en je kopieert op het werk allemaal gegevens naar die Dropbox account zien die mensen dat ook verschijnen.

Met die eigen oplossing zullen ze waarschijnlijk kunnen instellen op welke pc's dat mag, welke gebruikers, intern/extern bereikbaar,... En dan nog eens de mogelijkheid tot anti-virus op de eigen server waar dit op draait.

[ Voor 8% gewijzigd door DinX op 17-03-2011 09:38 ]

Rekcor schreef op donderdag 17 maart 2011 @ 10:18:
Dank! Relevant nieuwsbericht review op de frontpage:

reviews: Met je eigen hardware naar je werk

[...]

Een nieuwsbericht is nog altijd wat anders dan een stukje tekst van een Tweakers-user.

Tjah het blijft een (relatief onbeheerd) gat in het beveiligingsnetwerk. Dus het kan een zeker risico met zich mee brengen..

Je kan in principe niet via Dropbox bij mappen anders als de Dropbox map komen, maar 100% zekerheid heb je niet.

Ik ben het wel met DinX eens in dit opzicht. Zelf zit ik in de zorg waar security natuurlijk een ontzettend heet hangijzer is op het moment. Onlangs hebben wij ook een security officer aangesteld die zijn werk buitengewoon serieus neemt en waar ik (als Netwerk-man) ook regelmatig security gerelateerde zaken neerleg.

Onlangs hadden we nog overleg met een ZSP en het gebruik maken van hun infrastructuur voor uitwisseling van gegevens met andere zorginstellingen. Hierin kwam ook naar voren dat security een issue is voor een aantal partijen, zoniet voor allemaal. Iets met NEN7510...

Ik denk dat het daarnaast ook wat afhankelijk is van de branch waarin je werkt. Maar feit blijft, Dropbox kan zeggen wat ze wil, maar ze beheren servers waarop _jouw_ data staat en waar _jij_ geen controle over hebt. Dat is, denk ik, de reden achter het beleid van jullie ICT afdeling (en terecht, naar mijn personelijke mening )

Het is volgens mij niet zozeer een technisch lek. Er hoeft namelijk niet een poortje open gezet te worden o.i.d.

Waar je meer mee zit is het feit waar je data heen gaat. Je zet als het ware een extra deur open voor data om naar buiten gesleept te worden. Je moet in je achterhoofd houden dat je niet weet waar die data heen gaat. Het kan bij wijze van spreke ergens in de VS opgeslagen worden. Waarbij je dan weer met het probleem zit dat daar totaal andere regelgeving geld. En je dus ook daar aangeklaagd kan worden.

Maar dat is iets waar je echt bij een security officer voor bij moet aankloppen. Mijn specialiteit is het niet.

edit: en je hebt natuurlijk gewoon weer extra beheer. Het is weer een extra softwarepakket waarop ondersteuning geboden moet worden. En ik kan me voorstellen dat je alleen al daarom weigert. Helemaal als je al vergelijkbare software aanbied.

Wat me overigens ook weer bij een volgend punt brengt. Je betaalt niet voor niks dik voor sharepoint. Het is sowieso veel meer dan alleen een simpele dropbox-achtige applicatie. Maar daar word ook gewoon support op geleverd en dat is iets wat ze al helemaal in huis hebben (qua kennis en opzet).

Ik denk dan ook dat er meer organisatorische redenen zijn dan technische om dropbox te weigeren.

[ Voor 34% gewijzigd door Craven op 17-03-2011 11:30 ]

Rekcor schreef op donderdag 17 maart 2011 @ 11:18:
[...]


Ok, maar dat is dan toch ook _mijn_ verantwoordelijkheid? Het is immers _mijn_ data . Het ging mij erom of Dropbox puur technische lekken introduceert. Want ik kan ook best zonder Dropbox mijn data op een externe server krijgen hoor .

En daar maak je een grote fout.
Het is niet jouw data maar van jouw werk!!!

^^ Met tlpeter en Craven, het is in feitte de data van het bedrijf.

Bovendien, als je bv. NAW gegevens opslaat/verstuurd (BSN etc.) geldt de regelgeving van het CBP. Als die erachter komen dat jij dat op de Dropbox zet... dan ben je echt zuur. Om zomaar nog eens een voorbeeld te geven.

De kwestie is namelijk niet technisch, maar juridisch. Dat geeft voor mij aan dat er een nieuwe stap in de volwassenheid wordt gemaakt. Technisch kan alles natuurlijk, alleen hoe ga je daar in je processen en met je mensen mee om? Ik krijg alle data ook wel weg, dat is totaal het punt niet

Craven schreef op donderdag 17 maart 2011 @ 11:27:
edit: en je hebt natuurlijk gewoon weer extra beheer. Het is weer een extra softwarepakket waarop ondersteuning geboden moet worden. En ik kan me voorstellen dat je alleen al daarom weigert. Helemaal als je al vergelijkbare software aanbied.

Vergeet ook niet: TS wil nu Dropbox inzetten. Als dat lukt verzint elk van zijn collega's wel weer een ander handig tooltje wat ook ingevoerd moet worden, en voor je het weet heb je niet een enkel "veiligheidsrisico" maar 50 verschillende veiligheidsrisico's. Elke applicatie die zo binnenkomt heeft z'n eigen bugs en potentiele security-issues en van de ICT afdeling wordt toch verwacht dat de boel werkt en veilig is. Dat gaat een stuk makkelijker als je standaardiseert op 1 product.

Er is nog een ander punt: Als ik 100 werkplekken in een bedrijf heb die allemaal dezelfde software draaien, weet ik na een jaartje bij die ICT-afdeling alles wat ik van die software moet weten, en 90% van de incidenten wordt routine en makkelijk op te lossen.
Met 100 verschillende configuraties gaan de problemen ook elke keer uniek zijn. En unieke problemen kosten me vele malen meer inspanning dan hetzelfde probleem voor de honderdste keer oplossen. Gebrek aan standaardisatie kost op die manier gewoon veel geld.

Rekcor schreef op donderdag 17 maart 2011 @ 16:09:
Zeker als je bedenkt dat wij binnenkort ook Nieuw moeten gaan Werken. Dan ontkom je er niet aan of mensen gaan vertrouwelijke info op andere informatiedragers zetten.

Dat snap ik niet. Mijn werkgever doet al jaren aan dat "Nieuwe Werken" maar als ik niet op kantoor ben verbind ik gewoon met een VPN tunnel, connect ik met het bedrijfsintranet, en gebruik ik gewoon de informatiedragers die ik op kantoor ook gebruik. Het nieuwe werken maakt geen einde aan een gecontroleerde infrastructuur. Het betekent alleen dat die infrastructuur op nieuwe manieren toegankelijk moet worden gemaakt.

Rekcor schreef op donderdag 17 maart 2011 @ 16:09:

Zeker als je bedenkt dat wij binnenkort ook Nieuw moeten gaan Werken.

/care. Dat maakt het alleen maar belangrijker dat je oog hebt als Nieuwe Werker voor de juridische aspecten van je gedrag, ga maar eens met HR en Risk Management praten hierover.

Echt, die hele focus op techniek als het om werknemer 2.0 gaat slaat nergens op. Dat is maar een klein onderdeel in je hele werkwijze en juist hoe je als werknemer je verantwoordelijkheden neemt op alle vlakken is belangrijk. Inclusief je gedragsregels.