El teletreball ha arribat a les notres vides per quedar-s’hi. Hi ha empreses que fa temps que van impulsar aquesta pràctica, però les normes d’aïllament social imposades per la crisi del coronavirus a principis d’any l’han generalitzada. Ara moltes organitzacions depenen de les eines i del conjunt d’aplicacions que resideixen al núvol. Un dels sistemes més populars d’enmagatzamatge cloud és el OneDrive de Microsoft.
Si bé OneDrive pot semblar una solució segura d’emmagatzematge al núvol per a les empreses que busquen utilitzar el conjunt d’eines comercials de Microsoft, existeix la possiblitat que sense uns protocols de protecció adequats les vostres dades confidencials i la informació d’identificació personal (PII) puguin quedar exposades davant els cibercriminals. El robatori i la pèrdua de dades, el ransomware i les infraccions de compliment són només algunes de les coses que les empreses han de vigilar, ja que els seus treballadors confien cada vegada més en aquesta aplicació per guardar més i més documents al núvol.
Per bé que OneDrive proporciona emmagatzematge al núvol, no hi té la funcionalitat de còpia de seguretat; una distinció fonamental que s’ha de fer a l’hora de triar quina informació carregar i compartir. Les dades són accessibles, però no estan protegides. Com poden les empreses assegurar-se que estan reduint els riscos de seguretat i al mateix temps permeten l’accés dels empleats? A continuació, analitzarem alguns dels forats de seguretat més importants associats a OneDrive i destacarem els passos que les empreses poden adoptar per protegir millor les seves dades.
Visibilitat de documents
Una àrea que sovint genera confusió entre els usuaris de OneDrive és qui pot accedir als arxius de l’empresa una vegada que es carreguen al núvol. Pels empleats que guarden documents en els seus comptes personals, tots els arxius creats o agregats fora d’una carpeta “Compartits amb mi” són privats fins que l’usuari decideix el contrari. En aquest punt, els arxius estan encriptats per a qualsevol persona que no sigui el creador i el personal de Microsoft amb drets administratius. Perquè una altra persona vegi les seves dades, ha de compartir la carpeta o un arxiu separat.
La mateixa regla s’aplica als arxius compartits en un compte de OneDrive per a l’empresa, amb una excepció: una política establerta per a un administrador determina la visibilitat de les dades que crea a la carpeta “Compartits”.
Són segurs els documents confidencials a OneDrive?
A l’efecte d’aquest article, entenem com a documents confidencials els materials que contenen informació d’identificació personal (PII), informació de salut personal (PHI), informació financera o dades coberts pels requisits de compliment de FISMA i GLBA. Aquest tipus de documents es poden guardar de dues maneres: una persona els pot allotjar en un compte personal de OneDrive o carregar en un compte comercial. Fins i tot si la seva empresa no se subscriu a un compte empresarial de OneDrive, les empreses han de saber que els empleats poden enviar documents per correu electrònic o compartir-los a les seves carpetes personals de OneDrive per accedir-hi fàcilment, cosa que ha passat especialment en els darrers mesos des que la majoria dels empleats treballen des de casa.
Pels usuaris personals, OneDrive disposa d’una funció anomenada Personal Vault (PV). Quin nivell de seguretat té OneDrive Personal Vault? És una caixa forta situada a la carpeta “Arxius” dissenyada explícitament per a informació confidencial.
A l’utilitzar PV, els vostres arxius es xifren fins que se’n verifica la identitat. Té diversos mètodes de verificació que els usuaris poden configurar: ja sigui una empremta digital, una identificació facial o un codi únic enviat per correu electrònic o SMS. La carpeta PV també té un sistema d’estalvi de pantalla en temps d’inactivitat. La pantalla es bloqueja si està inactiva durant 3 minuts en l’aplicació mòbil o 20 minuts al web. Per recuperar l’accés, l’usuari s’ha de tornar a verificar.
Curiosament, la funció PV no està disponible al paquet OneDrive for Business. Per tant, si la vostra organització no té una altra forma d’emmagatzemar dades confidencials que no sigui OneDrive, s’han de prendre mesures de seguretat addicionals.
OneDrive no és una solució de suport
OneDrive no és una eina de suport. OneDrive proporciona emmagatzematge al núvol. Hi ha una gran diferència entre la còpia de seguretat al núvol i l’emmagatzematge al núvol. Tenen algunes coses en comú, com emmagatzemar els arxius en maquinari remot, però no és prou fer-los intercanviables.
En resum, l’emmagatzematge al núvol és un lloc al núvol on es carreguen (manualment o automàticament) i es guarden tots els arxius d’un usuari. L’emmagatzematge al núvol li permet accedir a arxius des de qualsevol dispositiu en qualsevol moment, cosa que ho converteix en una opció atractiva pels treballadors en moviment i per aquells que treballen des de diferents ubicacions. També permet a l’usuari restaurar manualment arxius des de l’emmagatzematge en cas d’eliminació no desitjada, i escalar l’emmagatzematge per a les seves necessitats. Si bé “restaurar arxius” sona inquietantment similar a la protecció de suport, té algunes falles fonamentals. Per exemple, si l’usuari esborra accidentalment un fitxer emmagatzemat o ha estat atacat per ransomware i xifrat, es pot considerar que l’arxiu s’ha perdut. Això fa que l’emmagatzematge de OneDrive per si sol sigui una solució feble per a les empreses. Si passa un desastre i la informació es veu compromesa, l’empresa no tindrà forma de restaurar grans volums de dades.
La còpia de seguretat al núvol, per altra banda, és un servei que utilitza l’emmagatzematge en el núvol per guardar arxius, però la seva funcionalitat no acaba aquí. Els serveis de còpia de seguretat al núvol copien automàticament les seves dades en l’àrea d’emmagatzematge i les restauren relativament ràpid després d’un desastre. També pot restaurar diverses versions d’un arxiu suportat a fitxers específics i protegeix les dades de la majoria de les amenaces generalitzades, inclosa l’eliminació accidental, els atacs de força bruta i el ransomware.
En resum: l’emmagatzematge al núvol brinda accés, mentre que la còpia de seguretat al núvol brinda protecció.
Quins són els riscos més comuns deOneDrive?
Tots els problemes de seguretat relacionats amb l’ús de OneDrive són comuns per a la majoria dels serveis d’emmagatzematge al núvol. Tant OneDrive individual com OneDrive for Business tenen múltiples riscos, inclòs el robatori de dades, la pèrdua de dades, les dades danyades i l’intercanvi involuntari d’informació crítica. Donada la facilitat d’accés als documents a OneDrive, les infraccions de compliment també són una de les principals preocupacions de les empreses que tracten amb dades confidencials.
Com es pot maximitzar la seguretat d’OneDrive?
Per minimitzar els problemes de seguretat anteriors, les empreses han de seguir un conjunt de protocols estrictes, que inclouen:
1. Protocols de seguretat de dispositiu: s’han d’implementar diversos protocols de seguretat generals amb els dispositius que utilitzen OneDrive. Alguns dels més bàsics inclouen la descàrrega obligatòria de programari antivirus i assegurar-se que aquest estigui actualitzat en tots els dispositius dels empleats. Altres passos inclouen l’ús de tallafocs, que bloquejaran tot el trànsit entrant qüestionable, i l’activació de contrasenyes de salvapantalles durant el temps d’inactivitat. A mesura que els empleats tornen d’ubicacions de treball remotes i retornen els seus dispositius a les instal·lacions, és fonamental garantir que tots els dispositius tinguin la seguretat actualitzada i compleixin amb els requisits de compliment més recents.
2. Protocols de seguretat de xarxa: a més d’utilitzar dispositius protegits, els treballadors han de tenir especial cura a l’hora de connectar-se a xarxes no segures. Abans que es connectin a un punt d’accés, indiqui als seus empleats que s’assegurin que la connexió estigui encriptada i que mai obrin OneDrive si no coneixen el vincle. Desactivar la funcionalitat que permet que l’ordinador es connecti a les xarxes automàticament és una manera fàcil d’afegir una capa de protecció.
3. Protocols per compartir de forma segura: assegureu-vos de cancel·lar l’accés a OneDrive Business per a qualsevol usuari que ja no estigui a l’empresa. Tenir un procés de baixa de l’empleat que inclogui aquest pas redueix el risc que un extreballador robi documents o informació. Garantiu-vos de permetre l’accés només als espectadors convidats per OneDrive. Si comparteiu un arxiu o una carpeta amb “Tots” o habiliteu l’accés amb l’enllaç, s’obren nous riscos, ja que qualsevol persona a internet pot trobar i accedir al vostre document. També és útil tenir regles delimitades per descarregar i compartir documents dins i fora de la corporació.
4. Protegiu les dades confidencials: eviteu d’emmagatzemar dades de pagament en qualsevol producte d’Office 365. Per a altres documents confidencials, els usuaris individuals poden utilitzar PV. Les organitzacions poden emmagatzemar dades confidencials només mitjançant l’ús d’un servei de suport al núvol segur en les instal·lacions o encriptat de tercers que compleixi amb les regulacions de dades obligatòries per a la vostra empresa.
5. Utilitzeu una solució de còpia de seguretat al núvol: per protegir millor la vostra empresa des de totes bandes és essencial utilitzar una solució de còpia de seguretat al núvol. Assegureu-vos que qualsevol solució de suport que trieu tingui capacitats de núvol a núvol amb suport diari automàtic. A més, un servei de protecció contra ransomware que analitzi OneDrive i altres serveis de l’Office 365 a la recerca de ransomware i bloquegi automàticament els atacs és la vostra millor defensa contra adquisicions costoses.
Ja sigui que us estigueu preparant per a les pròximes regulacions obligatòries o bregant amb haver de gestionar empleats que treballen en remot d’un dia per l’altre, heu de ser conscients que el panorama de la seguretat està en constant canvi. Mantenir-se al dia amb els mètodes més recents de protecció per tenir la vostra empresa protegida és un desafiament que requereix atenció constant. Amb uns pocs passos crítics i la utilització de nova tecnologia, els usuaris comercials poden protegir-se i reduir el risc de pèrdua o substracció de les seves dades.