Con el cambio drástico hacia la fuerza de trabajo remota en los últimos tres meses, muchas organizaciones confían más en las herramientas y los conjuntos de aplicaciones en la nube. Uno de los más populares es OneDrive de Microsoft.
Aunque OneDrive puede parecer una solución segura de almacenamiento en la nube para empresas que buscan utilizar el conjunto de herramientas empresariales de Microsoft, muchos problemas de seguridad evidentes pueden exponer datos confidenciales e información de identificación personal (PII) si se ignoran los protocolos de protección adecuados. El robo de datos, la pérdida de datos, el ransomware y las infracciones de cumplimiento son solo algunas de las cosas que las organizaciones deben vigilar a medida que sus empleados confían cada vez más en esta aplicación para guardar más y más documentos en la nube.
Aunque OneDrive proporciona almacenamiento en la nube, no tiene funcionalidad de copia de seguridad en la nube, una distinción fundamental que debe hacerse al elegir qué información cargar y compartir. Los datos son accesibles, pero no están protegidos. ¿Cómo pueden las empresas asegurarse de que están mitigando los riesgos de seguridad, al tiempo que permiten el acceso de los empleados? A continuación, analizaremos algunas de las brechas de seguridad más importantes asociadas con OneDrive y destacaremos los pasos que las organizaciones pueden seguir para proteger mejor sus datos.
Visibilidad de documentos
Un área que a menudo genera confusión para los usuarios de OneDrive es quién puede acceder a los archivos de la empresa una vez que se cargan en la nube. Para los empleados que guardan documentos en sus cuentas personales, todos los archivos creados o agregados fuera de una carpeta «Compartida conmigo» son privados hasta que el usuario decida lo contrario. En este punto, los archivos se cifran para cualquier persona, excepto para el creador y el personal de Microsoft con derechos administrativos. Para que otra persona vea sus datos, debe compartir la carpeta o un archivo separado.
La misma regla se aplica a los archivos compartidos en una cuenta de OneDrive for Business, con una excepción: una directiva establecida por un administrador determina la visibilidad de los datos que se crean en la carpeta «Compartida».
¿Los documentos confidenciales están seguros en OneDrive?
Para los fines de este artículo, los documentos confidenciales se refieren a materiales que contienen información de identificación personal( PII), información de salud personal (PHI), información financiera o datos cubiertos por los requisitos de cumplimiento de FISMA y GLBA. Como establecimos anteriormente, estos tipos de documentos se pueden guardar de una de dos maneras: por un individuo en una cuenta personal de OneDrive o cargarse en una cuenta Comercial. Incluso si su empresa no se suscribe a una cuenta de OneDrive Business, las organizaciones deben tener en cuenta que los empleados pueden enviarse documentos por correo electrónico o compartirlos en sus carpetas personales de OneDrive para facilitar el acceso, especialmente en los últimos meses, ya que la mayoría de los empleados trabajan desde casa.
Para usuarios personales, OneDrive tiene una función llamada Bóveda personal (PV). ¿Qué tan seguro es el Almacén Personal de OneDrive? Es una caja fuerte ubicada en su carpeta de archivos diseñada explícitamente para información confidencial.
Al usar PV, sus archivos se cifran hasta que se verifique su identidad. Tiene varios métodos de verificación diferentes que los usuarios pueden configurar, ya sea una huella digital, una identificación facial o un código de una sola vez enviado por correo electrónico o SMS. La carpeta PV también tiene un protector de pantalla en tiempo de inactividad que se bloquea si está inactivo durante 3 minutos en la aplicación móvil y 20 minutos en la web. Para recuperar el acceso, debe volver a verificarse.
Curiosamente, la función PV no está disponible en el paquete OneDrive for Business. Por lo tanto, si su organización no tiene otra forma de almacenar datos confidenciales que en OneDrive, se deben tomar medidas de seguridad adicionales.
OneDrive no es una solución de copia de seguridad
OneDrive no es una herramienta de copia de seguridad. OneDrive proporciona almacenamiento en la nube, y hay una gran diferencia entre la copia de seguridad en la nube y el almacenamiento en la nube. Tienen algunas cosas en común, como almacenar sus archivos en hardware remoto. Pero no basta con que sean intercambiables.
En resumen, el almacenamiento en la nube es un lugar en la nube donde se cargan (manual o automáticamente) y se guardan todos los archivos. El almacenamiento en la nube le permite acceder a los archivos desde cualquier dispositivo en cualquier momento, lo que lo convierte en una opción atractiva para los trabajadores que viajan y los que trabajan desde diferentes ubicaciones. También le permite restaurar manualmente los archivos del almacenamiento en caso de eliminación no deseada y escalar el almacenamiento para sus necesidades. Si bien «restaurar archivos» suena extrañamente similar a la protección de copia de seguridad, tiene algunos fallos fundamentales. Por ejemplo, si elimina accidentalmente un archivo en el almacenamiento, o fue golpeado por ransomware y cifrado, puede considerar que el archivo se perdió. Esto hace que el almacenamiento de OneDrive por sí solo sea una solución débil para las empresas. Si ocurre un desastre y la información se ve comprometida, la organización no tendrá forma de restaurar grandes volúmenes de datos.
Cloud backup, por otro lado, es un servicio que utiliza almacenamiento en la nube para guardar archivos, pero su funcionalidad no termina ahí. Los servicios de copia de seguridad en la nube copian automáticamente sus datos en el área de almacenamiento y los restauran con relativa rapidez después de un desastre. También puede restaurar varias versiones de un archivo de copia de seguridad, buscar archivos específicos y proteger los datos de la mayoría de las amenazas generalizadas, como la eliminación accidental, los ataques de fuerza bruta y el ransomware.
En resumen: el almacenamiento en la nube proporciona acceso, la copia de seguridad en la nube proporciona protección.
¿Cuáles son los riesgos más comunes de OneDrive?
Todos los problemas de seguridad relacionados con el uso de OneDrive son comunes para la mayoría de los servicios de almacenamiento en la nube. Tanto OneDrive individual como OneDrive para empresas tienen múltiples riesgos, como el robo de datos, la pérdida de datos, los datos dañados y el intercambio involuntario de información crítica. Dada la facilidad de acceso a los documentos en OneDrive, las infracciones de cumplimiento también son una de las principales preocupaciones de las organizaciones que se ocupan de datos confidenciales.
¿Cómo puede maximizar la seguridad de OneDrive?
Para minimizar los problemas de seguridad anteriores, las organizaciones deben seguir un conjunto de protocolos estrictos, que incluyen:
1. Protocolos de seguridad de dispositivos: Se deben implementar varios protocolos de seguridad generales con dispositivos que utilicen OneDrive. Algunos de los más básicos incluyen la descarga obligatoria de software antivirus y garantizar que esté actualizado en todos los dispositivos de los empleados. Otros pasos incluyen el uso de un firewall, que bloqueará todo el tráfico entrante cuestionable, y la activación de contraseñas de salvapantallas en tiempo de inactividad. A medida que los empleados regresan de lugares de trabajo remotos y traen sus dispositivos de vuelta en las instalaciones, es crucial garantizar que todos los dispositivos tengan seguridad actualizada y cumplan con los requisitos de cumplimiento más recientes.
2. Protocolos de seguridad de red: Además de usar dispositivos protegidos, los empleados deben tener especial cuidado al conectarse a redes no seguras. Antes de conectarse a un punto de acceso, indique a los empleados que se aseguren de que la conexión esté cifrada y que nunca abran OneDrive si el enlace no les resulta familiar. Desactivar la funcionalidad que permite a su computadora conectarse a redes de alcance automático es una forma fácil de agregar una capa de protección.
3. Protocolos para compartir de forma segura: asegúrese de terminar el acceso de OneDrive para Empresas para cualquier usuario que ya no esté con la empresa. Tener un proceso de separación de empleados que incluya este paso reduce el riesgo de que un ex empleado robe documentos o información. Asegúrate de permitir el acceso solo a los espectadores invitados en OneDrive. Si comparte un archivo o carpeta con «Todos» o habilita el acceso con el enlace, se abren nuevos riesgos, ya que cualquier persona en Internet puede encontrar y acceder a su documento. También es útil tener reglas detalladas para descargar y compartir documentos dentro y fuera de la corporación.
4. Datos confidenciales seguros: evite almacenar datos de pago en cualquier producto de Office 365. Para otros documentos confidenciales, los usuarios individuales pueden usar PV. Las organizaciones solo pueden almacenar datos confidenciales mediante el uso de un servicio de copia de seguridad en la nube seguro local o cifrado de terceros que cumpla con las regulaciones de datos obligatorias para su organización.
5. Utilice una solución de copia de seguridad en la nube: para proteger mejor a su empresa desde todos los lados, es esencial utilizar una solución de copia de seguridad en la nube al guardar información valiosa en OneDrive. Asegúrese de que cualquier solución de copia de seguridad que elija tenga capacidades de nube a nube con copia de seguridad diaria automática. Además, un servicio de protección contra ransomware que analiza OneDrive y otros servicios de Office 365 en busca de ransomware y bloquea automáticamente los ataques es su mejor defensa contra adquisiciones costosas.
Ya sea que se trate de prepararse para las próximas regulaciones obligatorias o de lidiar con la administración repentina de empleados que trabajan fuera del sitio, el panorama de la seguridad está en constante cambio. Mantenerse al día con los últimos métodos para mantener a su empresa protegida y en cumplimiento es un desafío que necesita atención constante. Con unos pocos pasos críticos y la utilización de nuevas tecnologías, los usuarios empresariales pueden protegerse y reducir el riesgo para sus datos.