El teletrabajo ha llegado a las Notro vidas para quedarse. Hay empresas que hace tiempo que impulsaron esta práctica, pero las normas de aislamiento social impuestas por la crisis del coronavirus a principios de año la han generalizada. Ahora muchas organizaciones dependen de las herramientas y del conjunto de aplicaciones que residen en la nube. Uno de los sistemas más populares de enmagatzamatge cloud es el onedrive de Microsoft.
Si bien onedrive puede parecer una solución segura de almacenamiento en la nube para las empresas que buscan utilizar el conjunto de herramientas comerciales de Microsoft, existe la posibilidad de que sin unos protocolos de protección adecuados sus datos confidenciales y la información de identificación personal (PII) puedan quedar expuestas ante los cibercriminales. El robo y la pérdida de datos, el ransomware y las infracciones de cumplimiento son sólo algunas de las cosas que las empresas deben vigilar, ya que sus trabajadores confían cada vez más en esta aplicación para guardar más y más documentos en la nube.
Si bien onedrive proporciona almacenamiento en la nube, no tiene la funcionalidad de copia de seguridad; una distinción fundamental que se debe hacer a la hora de elegir qué información cargar y compartir. Los datos son accesibles, pero no están protegidas. ¿Cómo pueden las empresas asegurarse de que están reduciendo los riesgos de seguridad y al mismo tiempo permiten el acceso de los empleados? Vamos a analizar algunos de los agujeros de seguridad más importantes asociados a onedrive y destacaremos los pasos que las empresas pueden adoptar para proteger mejor sus datos.
Visibilidad de documentos
Un área que a menudo genera confusión entre los usuarios de onedrive es quien puede acceder a los archivos de la empresa una vez que se cargan en la nube. Para los empleados que guardan documentos en sus cuentas personales, todos los archivos creados o agregados fuera de una carpeta «Compartidos conmigo» son privados hasta que el usuario decide lo contrario. En este punto, los archivos están encriptados para cualquier persona que no sea el creador y el personal de Microsoft con derechos administrativos. Para que otra persona vea sus datos, debe compartir la carpeta o un archivo separado.
La misma regla se aplica a los archivos compartidos en una cuenta de onedrive para la empresa, con una excepción: una política establecida para un administrador determina la visibilidad de los datos que crea en la carpeta «Compartidos».
Son seguros los documentos confidenciales a onedrive?
A efectos de este artículo, entendemos como documentos confidenciales los materiales que contienen información de identificación personal (PII), información de salud personal (PHI), información financiera o datos cubiertos por los requisitos de cumplimiento de FISM y GLBA. Este tipo de documentos se pueden guardar de dos maneras: una persona los puede alojar en una cuenta personal de onedrive o cargar en una cuenta comercial. Incluso si su empresa no se suscribe a una cuenta empresarial de onedrive, las empresas deben saber que los empleados pueden enviar documentos por correo electrónico o compartirlos a sus carpetas personales de onedrive para acceder fácilmente, lo que ha pasado especialmente en los últimos meses desde que la mayoría de los empleados trabajan desde casa.
Para los usuarios personales, onedrive dispone de una función llamada Personal Vault (PV). ¿Qué nivel de seguridad tiene onedrive Personal Vault? Es una caja fuerte situada en la carpeta «Archivos» diseñada explícitamente para información confidencial.
Al usar PV, sus archivos se cifran hasta que se verifica la identidad. Tiene varios métodos de verificación que los usuarios pueden configurar: ya sea una huella digital, una identificación facial o un código único enviado por correo electrónico o SMS. La carpeta PV también tiene un sistema de ahorro de pantalla en tiempo de inactividad. La pantalla es bloqueja si està inactiva durant 3 minuts en l’aplicació mòbil o 20 minuts al web. Para recuperar el acceso, el usuario debe volver a verificar.
Curiosamente, la función PV no está disponible en el paquete onedrive for Business. Por lo tanto, si su organización no tiene otra forma de almacenar datos confidenciales que no sea onedrive, se deben tomar medidas de seguridad adicionales.
Onedrive no es una solución de soporte
Onedrive no es una herramienta de apoyo. Onedrive proporciona almacenamiento en la nube. Hay una gran diferencia entre la copia de seguridad en la nube y el almacenamiento en la nube. Tienen algunas cosas en común, como almacenar los archivos en hardware remoto, pero no es suficiente hacerlos intercambiables.
En resumen, el almacenamiento en la nube es un lugar en la nube donde se cargan (manual o automáticamente) y se guardan todos los archivos de un usuario. El almacenamiento en la nube le permite acceder a archivos desde cualquier dispositivo en cualquier momento, lo que lo convierte en una opción atractiva para los trabajadores en movimiento y por aquellos que trabajan desde diferentes ubicaciones. También permite al usuario restaurar manualmente archivos desde el almacenamiento en caso de eliminación no deseada, y escalar el almacenamiento para sus necesidades. Si bien «restaurar archivos» suena inquietantemente similar a la protección de apoyo, tiene algunas fallas fundamentales. Por ejemplo, si el usuario borra accidentalmente un archivo almacenado o ha sido atacado por ransomware y cifrado, se puede considerar que el archivo se ha perdido. Esto hace que el almacenamiento de onedrive por sí solo sea una solución débil para las empresas. Si ocurre un desastre y la información se ve comprometida, la empresa no tendrá forma de restaurar grandes volúmenes de datos.
La copia de seguridad en la nube, por otra parte, es un servicio que utiliza el almacenamiento en la nube para guardar archivos, pero su funcionalidad no acaba aquí. Los servicios de copia de seguridad en la nube copian automáticamente sus datos en el área de almacenamiento y las restauran relativamente rápido después de un desastre. También puede restaurar varias versiones de un archivo soportado archivos específicos y protege los datos de la mayoría de las amenazas generalizadas, incluida la eliminación accidental, los ataques de fuerza bruta y el ransomware.
En resumen: el almacenamiento en la nube brinda acceso, mientras que la copia de seguridad en la nube brinda protección.
¿Cuáles son los riesgos más comunes deOneDrive?
Todos los problemas de seguridad relacionados con el uso de onedrive son comunes para la mayoría de los servicios de almacenamiento en la nube. Tanto onedrive individual como onedrive for Business tienen múltiples riesgos, incluido el robo de datos, la pérdida de datos, los datos dañadas y el intercambio involuntario de información crítica. Dada la facilidad de acceso a los documentos a onedrive, las infracciones de cumplimiento también son una de las principales preocupaciones de las empresas que tratan con datos confidenciales.
Como se puede maximizar la seguridad de onedrive?
Para minimizar los problemas de seguridad anteriores, las empresas deben seguir un conjunto de protocolos estrictos, que incluyen:
1. Protocolos de seguridad de dispositivo:se deben implementar varios protocolos de seguridad generales con los dispositivos que utilizan onedrive. Algunos de los más básicos incluyen la descarga obligatoria de software antivirus y asegurarse de que éste esté actualizado en todos los dispositivos de los empleados. Otros pasos incluyen el uso de cortafuegos, que bloquearán todo el tráfico entrante cuestionable, y la activación de contraseñas de salvapantallas durante el tiempo de inactividad. A medida que los empleados vuelven de ubicaciones de trabajo remotas y devuelven sus dispositivos en las instalaciones, es fundamental garantizar que todos los dispositivos tengan la seguridad actualizada y cumplan con los requisitos de cumplimiento más recientes.
2. Protocolos de seguridad de red: además de utilizar dispositivos protegidos, los trabajadores deben tener especial cuidado a la hora de conectarse a redes no seguras. Antes de que se conecten a un punto de acceso, indique a sus empleados que se aseguren de que la conexión esté encriptada y que nunca abran onedrive si no conocen el vínculo. Desactivar la funcionalidad que permite que el ordenador se conecte a las redes automáticamente es una manera fácil de añadir una capa de protección.
3. Protocolos para compartir de forma segura: asegúrese de cancelar el acceso a onedrive Business para cualquier usuario que ya no esté en la empresa. Tener un proceso de baja del empleado que incluya este paso reduce el riesgo de que un ex trabajador robe documentos o información. Garantiza sesión de permitir el acceso sólo a los espectadores invitados por onedrive. Si comparte un archivo o una carpeta con «Todos» o habilitar el acceso con el enlace, se abren nuevos riesgos, ya que cualquier persona en internet puede encontrar y acceder a su documento. También es útil tener reglas delimitadas para descargar y compartir documentos dentro y fuera de la corporación.
4. Proteja los datos confidenciales: evitar de almacenar datos de pago en cualquier producto de Office 365. Para otros documentos confidenciales, los usuarios individuales pueden usar PV. Las organizaciones pueden almacenar datos confidenciales sólo mediante el uso de un servicio de apoyo en la nube seguro en las instalaciones o encriptado de terceros que cumpla con las regulaciones de datos obligatorios para su empresa.
5. Utilice una solución de copia de seguridad en la nube: para proteger mejor su empresa desde todos los lados es esencial utilizar una solución de copia de seguridad en la nube. Asegúrese de que cualquier solución de soporte que elija tenga capacidades de nube a nube con soporte diario automático. Además, un servicio de protección contra ransomware que analice onedrive y otros servicios de Office 365 en busca de ransomware y bloquee automáticamente los ataques es su mejor defensa contra adquisiciones costosas.
Ya sea que te esté preparando para las próximas regulaciones obligatorias o lidiando con tener que gestionar empleados que trabajan en remoto de un día para otro, debe ser conscientes de que el panorama de la seguridad está en constante cambio. Mantenerse al día con los métodos más recientes de protección para tener su empresa protegida es un desafío que requiere atención constante. Con unos pocos pasos críticos y la utilización de nueva tecnología, los usuarios comerciales pueden protegerse y reducir el riesgo de pérdida o sustracción de sus datos.