For en så liten enhet, plast, håndholdte USB flash-stasjon kan føre til store sikkerhets hodepine. Selv om du har robust endepunkt sikkerhet og etablere faste retningslinjer om ansattes bruk av disse stasjonene, ansatte fortsatt finne en måte å kopiere finansielle rapporter og forretningsplaner for hjemmebruk. Mens andre sikkerhetsbrudd er mer sporbare, er en flash-stasjon vanskeligere å overvåke, spesielt etter at den ansatte forlater arbeidet.
Noen sikkerhetseksperter foreslår en radikal tilnærming til å låse ned USB-minnepinner. Sean Greene, en sikkerhetskonsulent ved Evidence Solutions, råder sine kunder til å bruke en klar silikon caulk og fylle hver USB-port på hver PC for å hindre USB vedlegg. Han sier den eneste måten de ansatte kan overføre sensitive forretningsdokumenter via e-post, en metode som hans klienter enkelt kan overvåke.
Chris Harget, en talsmann for sikkerhetsleverandøren ActivIdentity, legger til at mange militære organisasjoner ikke tillater stasjoner i det hele tatt, og de har tydd til liming USB-porter stengt for å hindre brudd.
Likevel, i den moderne IT klima, IT-sjefer vet de har å tilby tjenestene ansatte trenger for å gjøre jobben sin, og som kan inkludere ved hjelp av en USB-stasjon. For eksempel, i en salgsorganisasjon, ansatte trenger ofte å laste PowerPoint-lysbilder, som kan inneholde selskapets økonomi, på en USB flash-stasjon.
Noen organisasjoner har funnet måter å avskrekke data brudd samtidig gir ansatte til å bruke den enheter. Et felles tema er å ha dataene kryptert. "For lavkost stasjoner som ikke inneholder sine krypterings motorer, er en sterk programvarebasert krypteringsløsning fine og kan tilfredsstille selv de lavere-end offentlige sertifiseringer," sier John Girard, en Gartner-analytiker. "Den beste praksis er å aldri skrive data til eksterne medier som ikke var kryptert i første omgang."
Her profil vi fire organisasjoner som har tatt litt forskjellige tilnærminger til å håndtere tommelfinger-stasjonen sikkerhet for å matche organisasjoner 'spesifikke behov og politikk.
1. City of ColumbusApproach: Bruker Intelligent ID software for å kategorisere filer, og deretter tilordne et krypteringsnivå på fly
The City of Columbus er alvorlig om tommelfinger-stasjonen sikkerhet.. "Fordi denne eksterne medier kan lett gå tapt eller stjålet, er vi opptatt av intellektuell eiendom tyveri og tap av sensitive data, enten skadelig eller uhell", sier byrådets CIO, Gary Cavin.
Byen bruksområder programvare klassifisering fra leverandør Intelligent ID som gjør mer enn bare å kryptere data under filoverføring. Programvaren kan konfigureres til å kryptere data for en bestemt type bruker eller avdeling, eller for bestemte filtyper, for eksempel Microsoft Excel-filer.
Cavin sier byen selv markerer filer for kryptering basert på dataene i filen. Hvis programvaren finner en fil med et personnummer, blir dataene automatisk kryptert. For å lese filene, trenger en ansatt en krypteringsnøkkel. I noen tilfeller kan de overføre filer i et rush til en flash-stasjon, og deretter be om at IT sende dem krypteringsnøkkelen senere for å åpne filene.
Derek Brink, en analytiker ved Aberdeen Group, sier Columbus bruker det han kaller en "aktiv /finkornet" tilnærming, hvor alle sensitive filen er kryptert og byen overvåker kontinuerlig alle tommel-drive dataoverføringer. Ved å bruke krypteringsnøkler, er byen også i stand til å kontrollere hvordan data er tilgjengelig når minnepinner forlate lokalet.
2. TurkcellApproach: Bruker klassifisering programvare fra Titus som overvåker Microsoft Office forretningsdokumenter og varsler brukerne når de prøver å kopiere disse dataene til en minnepinne
Turkcell er en av de største mobiloperatørene i Tyrkia, med mer enn 30 millioner. abonnenter, 2800 ansatte og ca 5000 datamaskiner installert i bedriftens kontor i Istanbul. Selskapet klassifiserer hver fil og legger kryptering når ansatte bruker minnepinner, men de bruker også et unikt varslingssystem for å advare brukere om at de er i ferd med å kopiere sensitive data.
Gurkan Paplia, leder av bedriftens infrastruktur og sikkerhet, sier selskapet krypterer konfidensielle data overføringer til minnepinner. Men det bruker også Titus Klassifisering for Office fordi de fleste av overføringer for Microsoft Office-filer krever ekstra sikkerhet. (Også den eksisterende kryptering motoren de bruker kan føre til falske positiver, flagging filer som fortrolige når de ikke er.)
Girard sier en standard tilnærming for ethvert stort selskap bør være å blokkere skrive til noen minnepinne. Hvis det er en situasjon der en fil skal kopieres, kan den ansatte ringe help desk for autorisasjon basert på jobbkrav og leder godkjenning. Det er det Turkcell har automatisert med popup-varsler.
Organisasjoner bør bruke en "minst privilegium" tilnærming til tommelfinger-stasjonen sikkerhet, ligner på hvordan Turkcell bare tillater overføring av Office-filer, legger Damon Petraglia, en direktør ved Chartstone, en sikkerhetstjenester selskap. IT-sjefer bør avgjøre om en avdeling eller en bestemt ansatt virkelig trenger å overføre filer til en minnepinne; hvis de gjør, skal selskapet finne en måte å tillate bare visse typer filer. I andre tilfeller, minnepinner bør ikke engang få lov.
"Hvis en ansatt ikke absolutt trenger å bruke USB-enheter og minnepinner til å fullføre hans eller hennes forretningsfunksjoner, da disse porter eller veier bør deaktiveres, " han sier. "De eneste USB-porter som skal være åpent er dedikert til bare de ansatte der det er viktig for forretningsfunksjon."
3. CIGNAApproach: Lar ansatte til å kopiere krypterte data, men de blir bedt om å skrive inn en grunn til at de kopierer. Årsakene er senere i forhold til de faktiske filoverføringer.
På CIGNA, en av de største helseforsikring selskaper i USA, med nesten 20.000 ansatte, er målet å gi ansatte med nok fleksibilitet til å få jobben gjort . Craig Shumard, tidligere sjef informasjonssikkerhet offiser, sier de ansatte har lov til å bruke USB-minnepinner til å overføre filer, men det er en sikkerhetsstrategi, også.
Først Shumard sier selskapet bruker Verdasys Digital Guardian programvare for å overvåke alle porter og kryptere dataoverføringer. Han sier han er overrasket over hvor mange store organisasjoner ikke ta dette grunnleggende trinn. Neste, når ansatte prøver å overføre filer til en minnepinne, blir de bedt om å skrive i begrunnelsen for overføringen. Senere er de data de faktisk overføres i forhold til disse årsakene.
Denne tilnærmingen gir den ansatte en følelse av at de har evnen til å overføre filer, men det vil være ansvar for disse handlingene. Shumard sier tilnærming redusert angst ansatte har over gjør jobben sin - de trenger å overføre filer i en knipe for å ta dem med hjem for natten, og den ansatte kan selv bestemme det er mer viktig å få arbeidet gjort enn å være sikker .
Brink beskriver tilnærmingen på CIGNA som "aktiv /grovkornet", ved at helseforsikring selskapet bruker tung kryptering, blokker og til og med karantene filer, og skjermer atferd - men politikken har også slutt bruker begrunnelse for filoverføring og gir ansatte en følelse av kontroll.
4. University of Alabama, Birmingham Helse SystemApproach: Bruker Device å overvåke porter og kryptere data. Lar ansatte og studenter til å bruke minnepinner på vilje, men alle filoverføringer blir overvåket og registrert.
Mens mange organisasjoner er avhengige av kryptering for å beskytte mot minnepinne brudd, det er ikke den eneste tilnærmingen tilgjengelig. Ved Universitetet i Alabama i Birmingham (UAB) Health System, ca 1700 medarbeidere rutinemessig bruker minnepinner, hovedsakelig for å kopiere PowerPoint-lysbilder. Men som en organisasjon som må forholde seg til hippa standarder for pasientjournaler, bruker UAB Health System en flergrenede tilnærming.
Først i de fleste tilfeller, er de fleste USB-porter blokkert helt hjelp Device programvare. Dette hindrer mest uautoriserte filoverføringer. Når legene har et legitimt behov for å bruke en minnepinne, kan de bruke en godkjent IronKey minnepinne som legger kryptering. Programvaren opprettholder en streng hviteliste over godkjente IronKey stasjoner tildelt ansatte.
Det medisinske senter valgte denne tilnærmingen etter å gjennomføre undersøkelser om tre år siden, sier Terrell Herzig Datasikkerhets offiser ved UAB Health System. Organisasjonen overvåket bruk av alle USB-porter for å se hvilke filer som ble overført, og fant at de ansatte brukte alle slags USB-minnepinner, samt mange merker av USB audio-opptakere.
I dag, de fleste ansatte vil se et varsel når de prøver å overføre filer til en ikke-godkjent minnepinne. De kan da ringe help desk å be om en IronKey kjøretur å bruke. Ved hjelp av kun godkjente enheter gir noen andre fordeler. Det ene er at organisasjonen kan skygge-kopi filoverføringer å holde en oversikt over hvilke filer som ble overført. Herzig sier de ansatte kan også bruke 1GB driver til andre formål mens du reiser eller til hjemmebruk.
Brink, Aberdeen analytiker, sier UAB Health System tilnærming matcher "aktiv /finkornet" sikkerhet at the City Columbus bruker, avhengig av kryptering og overvåking, men fokuserer mer på minnepinne selv. Han sier organisatoriske retningslinjer bør ikke være for myk eller for vanskelig (som blokkerer tilgang til nesten alle minnepinner), men bør finne en balanse der organisasjonen vedtar standarder og kan kryptere på fly.
Petraglia oppfordrer også selskaper til å bruke en flergrenede sikkerhet tilnærming til minnepinner der det er flere taktikk ansatt, ikke bare en. "Når dataene er på en ansatt tommel drive organisasjonen ikke lenger styrer det," sier han, forlater data åpent for tyveri. "De ansatte kan [da] lage kopier eller sende dataene til og fra datamaskiner utenfor organisasjonen."
Enten valgte sikkerhets tilnærming er å tillate bare en godkjent minnepinne, ber brukere av grunner de trenger å kopiere data, at bare Microsoft Office-overføringer, eller klassifisere filer for godkjente overføringer, adresser hver teknikk en enkel virkelighet: Ansatte vil bruke minnepinner, og de vil finne måter å fortsette å bruke dem
John Brandon er en. tidligere IT-sjef i et Fortune 100-selskap som nå skriver om teknologi.
Les mer om sikkerhet i CIO Security Drilldown.