IT-lektioner från iCloud det ökade behovet av filcentrisk säkerhet
NyheterJag behöver inte berätta om Apple iCloud-hacken som hände sen i fjol, såklart - det har nog mycket nog blivit sagt om det sedan det inträffade. Jag vill dock berätta vad din organisation ska ta bort från den här ökända händelsen: det är viktigt att tänka på säkerheten för din information på filnivån, snarare än på enhetsnivå.
Data-centrerat skydd är kritiskt viktigt, särskilt när det gäller företag, och särskilt för filer, oavsett om de är selfies eller strategin PowerPoints. Med den obevekliga tillväxten av Dropbox och iCloud har väggarna runt den typiska organisationen försvunnit. Den enda lösningen är att bygga nya väggar runt själva data.
Nollkontroll
Under en lång tid har informationssäkerhetsgrupper som Jericho Forum arbetat för att hjälpa organisationer att förstå att deras brandväggar inte längre skyddar sina data på något meningsfullt sätt. Eftersom iCloud-attackerna blev rikligt klara, flyttas filer nu mellan moln och enheter på både automatiserade och manuella sätt, varav de flesta innebär exakt nollpunkt för att IT ska styra dataflödet.
I förra årets iCloud-attack, till exempel, är den rådande teorin att kändisarnas iCloud-konton äventyras via vad som utgjorde utarbetad socialteknik, och säkerhetskopieringen av deras personliga bilder synkroniserades inte på egen hand, utan till enheter som tillhör attackanterna.
Denna typ av kompromiss är ytterst svår att försvara mot. En IT-organisation med tanke på säkerheten hos de filer som nästan alla användare arbetar med kommer att hitta några bra alternativ. Användning av mobilhanteringsprogramvara för att stänga av iCloud kan vara ett alternativ, men det kommer att driva användare (som i allt väsentligt är intresserade av att få sitt arbete gjort) i armarna för fri eller freemium-filsynkronisering och dela tjänster.
Okunnig salighet
Den enkla sanningen är att många företag lider av en falsk känsla av säkerhet när det gäller populära boxförvaringstjänster. Just nu använder anställda dessa tjänster för att få tillgång till känsliga företagsuppgifter utan att verkligen vara medveten om de sårbarheter som är inneboende i dessa freemintjänster. Innehållet som lagrats i dem är bara så säkert som de personer som åtkomst till det, med åtkomstkontrollerna försvinner i det ögonblick som en användare synkroniserar filer till en obestyrd enhet eller öppnar en fil i en tredje part. Dessutom skapar dessa tjänster mycket förvirring kring vem som äger vad, särskilt när en anställd lämnar.
Filsynkronisering och delteknik har utvecklats betydligt, eftersom företagen har börjat använda dem mycket. Den viktiga funktionen att säkerställa är att de säkert kan användas av organisationer med känslig data för att skydda. Att hålla filer krypterade tills en auktoriserad användare autentiserar för att arbeta med dem, vilket gör det möjligt för organisationer att styra funktioner som delning och utskrift, samt att upprätta ett granskningsspår av åtgärder som tagits med filerna på en autentiserad enhet är kritiska överväganden.
Dessutom kan dessa tekniker (även känd som informationsrättighetshantering eller IRM) göra det möjligt för organisationer att återkalla åtkomst till känsliga filer när de väljer och lämnar angripare, tidigare anställda eller missnöjda insidenter i besittning av en klump av krypterad data och inte företagskronan juveler, oavsett var filen har kopierats, synkroniserats eller skickats.
Säkerhet och användbarhet
IRM kan dock inte vara ett hinder för användarna om det här är allt för att fungera som utformat - det finns helt enkelt för många lösningar i alla appbutiker. IRM måste fungera över alla enheter (och webben) och tekniker som använder den måste uppfylla de dubbla utmaningarna att göra filer både säkra och användbara överallt de behöver gå i samband med ett företags arbetsflöde.
Det betyder att följande måste vara möjligt:
- Aktiverar arbete var du än är och med vem du arbetar
- Använd alla enheter som är lämpliga eller tillgängliga för att läsa eller anteckna ett dokument
- Delar arbetet i gång med några, och publicerar auktoritativt innehåll för de många
- Skydda immateriella rättigheter och känslig information (oavsett om de är vila eller i transit) i lokaler, i molnet eller på en enhet
- Tillfredsställa de olika behoven hos den lediga användaren och strömanvändaren
- Att vara lika användbar på en mobil enhet som på en traditionell dator
- Arbeta med affärssystem och samarbetssystem som företaget redan äger, liksom de som man tänker få
Verksamhetseffektivitet, överensstämmelse med lagstiftning, informationssäkerhet och produktivitet av arbetstagare påverkas alla av det sätt på vilket anställda skapar, redigerar, bearbetar och delar dokument, så det är mycket viktigt att välja företagsfilsynkronisering och dela produkter på den kritiska vägen för IT-relaterade företagsinvesteringar.
Låt oss ta itu med det: En av de viktigaste utmaningarna för CIOs och IT-chefer idag hanterar BYOD och hur de försöker återfå kontrollen över företagsinnehåll utan att påverka produktiviteten och skapa massanvändarnas disenchantment.
Det grundläggande
Med tanke på hur digitalt avancerade vi har blivit, är vi fortfarande anmärkningsvärt naiva om grundläggande internetsäkerhet. De vanligaste teknikerna som använts av hackare har varit desamma i flera år: socialteknik, phishing-attacker, fjärråtkomstverktyg (RAT) och lösenordåterställning och återställningsanvisningar. Medan dessa inte är alltför sofistikerade metoder, blir användarna offer för dem gång på gång.
Företag måste prioritera säkra mobila och online-metoder. De måste också överväga en mer filcentrerad säkerhetsmetod - särskilt om innehållet kommer att nås av anställda från personliga mobila enheter eller delas med externa affärspartners.
Phishing-attacker kan vara mer sofistikerade - dåligt skrivna e-postmeddelanden från utländska prinsar som ger bort deras förmögenheter blir allt vanligare - men dessa försök är fortfarande ganska uppenbara om du vet vad du ska titta på. Därför bör frekvent säkerhetsutbildning också vara ett krav för att säkerställa att medarbetarna vet hur man identifierar och undviker dessa ploys.
Medan de flesta företag inte är oroliga för att deras egen integritet kommer att bli foder för offentlig konsumtion på samma sätt som kändisarnas självständigheter gjorde, bör iCloud-affären fortfarande fungera som en försiktighetshistoria om konsumentbaserade molntjänster som varje företagsanställd och arbetsgivare bör överväga.
- Ryan Kalember är Chief Product Officer hos WatchDox