Em segurança da informação, por que os empregados de uma organização não devem utilizar pen drives ou discos rígidos externos que não sejam da organização? (In information security, why should employees of an organization not use USB sticks or external hard drives that do not belong to the organization?)

Em Português:

Existem várias razões pelas quais os funcionários não devem usar pen drives ou discos rígidos externos que não pertencem à organização:

  1. Risco de Malware: Esses dispositivos podem estar infectados com malware, vírus ou ransomware que podem comprometer a rede ou os dados da organização assim que conectados ao sistema.
  2. Vazamento de Dados: Dados sensíveis ou confidenciais podem ser transferidos ou copiados acidentalmente para esses dispositivos, levando a um possível vazamento de dados se o dispositivo for perdido ou roubado.
  3. Dados Não Controlados: Os dados armazenados nesses dispositivos não estão sob o controle do departamento de TI da organização, o que significa que podem não ser copiados, criptografados ou protegidos pelas medidas de segurança usuais.
  4. Problemas de Conformidade: O uso de dispositivos de armazenamento pessoais pode violar os requisitos de conformidade para certas indústrias ou regulamentos, que exigem controle e rastreamento rigorosos dos dados.
  5. Integridade do Dispositivo: A integridade desses dispositivos é desconhecida. Eles podem ter sido adulterados ou conter partições ocultas ou software de execução automática que pode comprometer a segurança.

Por essas razões, muitas organizações implementam políticas rigorosas proibindo o uso de dispositivos de armazenamento removíveis pessoais e fornecem alternativas seguras para a transferência de dados quando necessário. É sempre importante seguir as políticas de segurança da informação da sua organização para proteger tanto os dados pessoais quanto os da organização.

In English:

There are several reasons why employees should not use USB sticks or external hard drives that do not belong to the organization:

  1. Malware Risk: These devices can be infected with malware, viruses, or ransomware that can compromise the organization’s network or data once connected to the system.
  2. Data Leakage: Sensitive or confidential data can be unintentionally transferred or copied onto these devices, leading to potential data leakage if the device is lost or stolen.
  3. Uncontrolled Data: Data stored on these devices is not under the control of the organization’s IT department, which means it may not be backed up, encrypted, or protected by the usual security measures.
  4. Compliance Issues: Use of personal storage devices may violate compliance requirements for certain industries or regulations, which mandate strict control and tracking of data.
  5. Device Integrity: The integrity of these devices is unknown. They could have been tampered with or contain hidden partitions or auto-run software that could compromise security.

For these reasons, many organizations implement strict policies prohibiting the use of personal removable storage devices and provide secure alternatives for data transfer when necessary. It’s always important to follow your organization’s information security policies to protect both personal and organizational data.

References:

[1]H. N. Security, “Employees are aware of USB drive security risks, but don’t follow best practices – Help Net Security,” Help Net Security, May 16, 2019. [Online]. Available: https://www.helpnetsecurity.com/2019/05/15/usb-drive-security-risks/

[2]M. Dineen, “Security Risk? USB Drives in the Workplace,” TitanFile, Mar. 21, 2023. [Online]. Available: https://www.titanfile.com/blog/security-risk-usb-drives-in-the-workplace/

[3]Admin, “USB Drives & Organization Security: What You Need to Know,” Network Computer Pros, Dec. 18, 2023. [Online]. Available: https://www.networkcomputerpros.com/are-usb-drives-safe-to-use-in-your-organization/

[4]“6 reasons enterprises need to implement a USB security management system – ManageEngine Blog,” ManageEngine Blog, Mar. 02, 2022. [Online]. Available: https://blogs.manageengine.com/desktop-mobile/desktopcentral/2017/04/12/6-reasons-enterprises-need-to-implement-a-usb-security-management-system.html

[5]S. Stahie, “Few Companies Restrict Use of Unencrypted or Unsafe USB Drives,” Bitdefender Blog. [Online]. Available: https://www.bitdefender.com/blog/businessinsights/few-companies-restrict-use-of-unencrypted-or-unsafe-usb-drives/

Cybersecurity