La política de seguridad de viaje perfecta para …


Existen muchos desafíos para transportar datos y equipos de manera segura en viajes internacionales, pero la política correcta puede hacer que la navegación por los desafíos sea más fácil y más exitosa.

(Imagen de Rawf8, a través de Adobe Stock)

(Imagen de Rawf8, a través de Adobe Stock)

RSA Meeting 2020 – San Francisco – Fue un reclamo impresionante. «Implementar el programa Great Journey Laptop» estaba en el letrero en la puerta de la sala de conferencias en RSAC y los asistentes a la sesión de la mañana estaban llenos de expectación. Luego, Brian Warshawsky, JD CCEP, gerente de cumplimiento de regulate de exportaciones en la Oficina del Presidente de la Universidad de California, subió al escenario.

«Realmente no existe un programa de viaje perfecto», dijo.

Bueno, está bien, entonces.

Hay tal cosa, dijo, como un muy buen programa de viaje. Y la clave de ese muy buen programa es el equilibrio. Con eso, Warshawsky comenzó a exponer los factores que deben equilibrarse en la creación de un programa de computadora portátil de viaje.

Primero, dijo, «los viajeros de negocios deben comprender que no tienen ningún derecho inherente a la privacidad mientras viajan, y que la mayoría de los operadores de pink realizan al menos una vigilancia superficial». Esa conciencia significa que los profesionales de seguridad dentro de una organización deben realizar una clasificación de los datos y sistemas que los empleados desean llevar, especialmente cuando el destino es internacional.

Triaje de datos
Warshawsky dijo que la voluntad de los gobiernos de tomar datos a medida que entran y salen del país en dispositivos electrónicos significa que las organizaciones deben hacerse una serie de preguntas sobre los datos.

  • ¿Los datos y la información que contiene el dispositivo valen más que el propio dispositivo?
  • ¿Cuáles son las leyes locales en el país que se está ingresando?
  • ¿Cuál es el resultado tanto para el individuo como para la organización si todos los datos en el dispositivo fueron comprometidos o liberados?
  • ¿Cuál es el efecto del cifrado del dispositivo?

Señaló que estas son las preguntas fundamentales y deben hacerse no solo sobre los países de origen y destino, sino también sobre cada país que será un punto de tránsito en el viaje. Warshawsky le dio al aeropuerto de Heathrow de Londres uno infame como punto medio en viajes internacionales. Muchas conexiones, dijo, requieren el cambio de terminales, lo que requiere pasar por un punto de management de seguridad, en ese momento los funcionarios pueden exigir el acceso a los archivos en los dispositivos.

Debilidad de cifrado
Muchas organizaciones piensan que el cifrado completo del dispositivo será suficiente para proteger toda la información del dispositivo de miradas indiscretas, dijo Warshawsky. Es importante recordar, recordó a la audiencia, que el cifrado en el dispositivo es tan fuerte como la persona que lleva el dispositivo. Cuando las autoridades locales amenazan con encarcelar a un empleado hasta que proporcione la contraseña del dispositivo, o hasta que las autoridades puedan descifrar el dispositivo, puede pasar mucho tiempo antes de que el dispositivo se desbloquee, descifre y duplique por completo en los servidores locales.

Además de la potencial debilidad humana, Warshawsky dijo que las organizaciones deben ser conscientes de que un cifrado muy fuerte podría ser ilegal para llevar a ciertas naciones. Parte de la revisión de cumplimiento de un programa de viaje debe incluir la respuesta a la pregunta de si la información en el dispositivo y la tecnología utilizada para protegerlo pueden llevarse a cabo legalmente en el país. Las sanciones por equivocarse, señaló, pueden ser severas tanto para los empleados como para la organización.

El enfoque basado en el riesgo
Para evaluar adecuadamente el riesgo de un viaje, hay cinco preguntas que deben formularse en el proceso:

  • ¿Qué hay en el dispositivo?
  • ¿De quién es?
  • ¿Cómo se united states y asegura?
  • ¿Por qué se necesita en el extranjero?
  • ¿Dónde estará ubicado y por cuánto tiempo?

La pregunta sobre qué hay en el dispositivo es especialmente crítica cuando un empleado va a hacer una presentación en una conferencia internacional: si bien la presentación en sí misma probablemente haya sido examinada y aprobada por la gerencia y los documentos legales corporativos, de respaldo presentados para su seguimiento. las conversaciones pueden estar fácilmente fuera de las pautas de la organización, la ley nacional o ambas.

Pregunta las preguntas
Antes de que comience el viaje, Warshawsky dijo que debería haber una serie official y documentada de pasos que el viajero debe tomar.

  • Sesiones informativas previas al viaje
  • Encuestas previas al viaje
  • Guías
  • Formas netas
  • Formularios de reconocimiento firmados
  • Cartas de viaje
  • Clasificación de datos y hardware

Las encuestas, dijo, son especialmente importantes para responder preguntas sobre qué información es absolutamente necesaria para el viaje, si hay alternativas viables para transportar la información en un dispositivo y hacer planes para usar o transferir la información en cualquier país que pueda prohibir Uso de VPN.

En última instancia, dijo, los viajeros solo deben llevar datos que ellos (y sus organizaciones) estén dispuestos a ver comprometidos. Los viajeros deben recibir información completa sobre las limitaciones de sus derechos en los cruces internacionales y sobre las leyes que se aplican a los datos en cada país que visitarán o transitarán. El objetivo de todo esto es permitir y apoyar los viajes internacionales, pero hacerlo de una manera que sea legalmente compatible en cada paso del viaje.

Contenido relacionado:

Curtis Franklin Jr. es editor sénior en Dark Examining. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y video para Dark Examining y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Más thoughts





Enlace a la noticia original