Asana est un outil de collaboration génial. Mais vous êtes toujours à un clic d’inviter le mauvais utilisateur au mauvais projet ! Voici une liste de toutes les fuites de données possibles et de leurs correctifs.
Un invité invitant un autre invité
Tout invité peut donner à un autre invité la même permission qu’il possède. Ils peuvent donc inviter quelqu’un d’autre sur une équipe, un projet ou une tâche qu’ils voient déjà .
La solution consiste à inviter des invités uniquement à ce à quoi ils doivent avoir accès, et à demander à un administrateur de surveiller les nouveaux invités qui sont invités. Avec un compte Entreprise, vous pouvez contrôler qui peut inviter des invités (administrateurs, administrateurs et membres, n’importe qui).
Laisser partir les employés
Lorsque vous laissez partir un employé, vous récupérez généralement son téléphone, son ordinateur portable, désactivez son badge et son email. Si vous avez oublié leur compte Asana, ils ont toujours accès aux données de l’entreprise !
Procéder au déprovisionnement de son compte dès que vous avez désactivé le reste de ses identifiants ou utiliser SAML avec le compte Enterprise.
Consultant restant comme collaborateur
J’en ai fait l’expérience de première main : Je suis embauché pour concevoir un modèle, j’ai oublié de me retirer comme collaborateur, et ensuite je commence à recevoir des notifications sur d’autres personnes utilisant le modèle. Cette “porte dérobée du template” me donne accès à tout projet basé sur le template !
Lorsqu’un consultant a terminé, déprovisionnez son compte. De plus, supprimez des collaborateurs des tâches du modèle toute personne impliquée dans la phase de construction.
Comptes robots et comptes de service
Certaines organisations ont créé un compte bot spécial qui a accès à tout. Cela facilite la construction de tableaux de bord ou de rapports. Mais si ce compte fuit, vous donnez accès à l’ensemble de l’organisation !
Il en va de même pour les jetons d’accès personnels générés, ou les comptes de service.
Vous devez avoir un mot de passe fort pour ce compte bot et des employés limités qui y ont accès.
De plus, si vous le pouvez, appliquez une permission de commentaire seulement pour ce compte sur chaque projet.
Applications tierces indignes de confiance
Je le sais de source sûre : toute application qui passe par une phase de connexion à Asana a accès à l’ensemble de votre compte. Elle obtient les mêmes autorisations que vous, elle peut lire tout ce que vous pouvez voir, et mettre à jour tout ce sur quoi vous avez des droits d’écriture.
Désautorisez une application après utilisation, et n’utilisez que des applications dignes de confiance : le Forum est une bonne source pour voir les évaluations et les témoignages ou en demander un.
Mauvais membres de l’équipe ou mauvais paramètres de confidentialité.
Lorsque vous invitez la mauvaise personne dans une équipe, elle a accès à tous les projets publics de cette équipe. Si une équipe est publique par conception, elle peut y entrer sans aucune permission !
Assurez-vous que les équipes publiques sont réellement publiques, et passez régulièrement en revue les membres de l’équipe.
Partage de liens en lecture seule
La dernière fonctionnalité de lecture seule vous permet de générer un lien pour partager une version en lecture seule d’un projet. Une fois créé, ce lien pourra être partagé à n’importe qui !
Veillez à ne pas stocker d’informations critiques à l’intérieur des noms de tâches, et désactivez également un lien lorsqu’il n’est plus nécessaire.
D’autres fuites que j’aurais oubliées ? Merci @Steve_Fleckenstein et @Julien_RENAUD pour votre aide !
