Estar por las nubes tiene sus riesgos, y no nos referimos a estar distraído o abstraído, aunque también está relacionado ya que el mayor peligro es mostrarse despistado ante las amenazas que nos acechan. Dicho esto, queremos centrarnos en un importante riesgo para las compañías: que un usuario coloque información confidencial en nubes públicas sin consentimiento.
Actualmente, en unos pocos minutos y sin gastar dinero, cualquier usuario puede crearse una cuenta en un servicio en una nube pública. Si estas nubes son utilizadas para almacenar y compartir datos de la compañía estaremos en problemas, ya que se trata de un elemento externo fuera de nuestro control.
Nuevas modalidades de trabajo, nuevos desafíos
En la década pasada, las compañías podían plantearse medidas de restricción técnicas para que los usuarios no empleen este tipo de servicios. Pero en la actualidad, es impensado que un empleado no tenga acceso a Internet, pues es muy común que lo necesite para su trabajo.
El problema de utilizar soluciones de intercambio de archivos de terceros es que los datos generalmente se extraen del entorno de TI de nuestra organización, lo que significa que las preferencias de privacidad de éstos están fuera de nuestro control. De esta manera, una gran cantidad de información que se suponía que no debía compartirse podría terminar siendo expuesta públicamente o ante ciberdelincuentes.
La fuga de información, el principal riesgo
La nube pública es un proveedor externo. Si un usuario coloca información confidencial de nuestra organización allí, ésta se encontrará en peligro de ser accedida por dicho proveedor, lo cual dependerá de las propias prácticas de privacidad y seguridad de éste. Además, es posible que dicho proveedor sufra un ataque informático o incluso que las cuentas sean comprometidas por los propios usuarios de la nube, por ejemplo, a través de una trampa de phishing.
También es posible que un cibercriminal realice prácticas de snooping para conseguir acceso a los dispositivos electrónicos de la víctima, en concreto, aquellos donde están configuradas sus cuentas de servicios en la nube que pueden ser de índole personal o profesional: correo electrónico, Dropbox, Google Drive, etc.
Medidas de protección
- Informar a los usuarios sobre cuáles son las reglas organizacionales con respecto al intercambio y almacenamiento de archivos. Aquí claramente debe indicarse cuáles son las tecnologías y proveedores autorizados, y cuáles no.
- Concienciar sobre los riesgos que implica utilizar esos servicios tanto para la organización como para ellos mismos, ya que muchas veces solo conocen los beneficios de los servicios de la nube pública pero no los peligros.
- Dar a conocer cuáles son los mecanismos para que la información sea resguardada correctamente frente al uso de servicios autorizados, como por ejemplo la utilización de herramientas de cifrado, contraseñas fuertes, autenticación de dos factores (2FA), entre otros.
- Utilizar controles técnicos como el cifrado de archivos y soluciones de gestión de derechos de acceso (IRM por sus siglas en inglés: Information Rights Management) que permiten a los usuarios disponer de una forma ágil pero segura de manejar archivos que excedan la frontera de la organización.
Trabajando con capas de seguridad
Las medidas de protección mencionadas anteriormente no pueden ser suficientes por sí mismas, sino que se necesita la combinación de ellas para lograr un nivel de riesgo aceptable para la organización.
En seguridad de la información no existen las soluciones mágicas, y la seguridad en capas es siempre la mejor opción.
CTO at AceroDocs
Deja una respuesta