Alessandro Porro.
Nuevamente Dropbox está en las noticias como una de las principales preocupaciones de inseguridad informática. A pesar de que la violación de datos en cuestión data de 2012, la empresa no se había percatado de la magnitud del problema, es decir, el robo de contraseñas de 68 millones de clientes.
Según el portal Hacker News, “Dropbox inicialmente había divulgado la violación de datos en 2012, notificando a los usuarios que una de las contraseñas de sus empleados fue adquirida y usada para acceder a un archivo con direcciones de correo electrónico de los usuarios. Pero la compañía no informó que los hackers también podían obtener las contraseñas”.
La preocupación fue tan grande que Dropbox debió hacer públicas las acciones tomadas para garantizar a los usuarios que podrían estar expuestos a un riesgo mayor. Esto incluyó una acción “proactiva de restablecimiento de contraseña” que la compañía completó la semana pasada, en la cual esencialmente obligó a los usuarios a reconfigurar las contraseñas anteriores a la violación.
Interrogantes claves
Con la experiencia de Dropbox como disparador, existen cuatro preguntas que usted debe considerar, además de cuatro zonas para asegurarse de que sus datos están protegidos:
1. ¿Tiene una política establecida con sus empleados sobre el uso de los servicios de intercambio de archivos?Si no la tiene, entonces es muy probable que sus empleados estén transfiriendo datos de la forma que mejor les funciona a ellos. Si alguna porción de estas transferencias es externa, usted tiene un riesgo de seguridad significativo en sus manos.
Una vez que los empleados recurran a servicios externos, es probable que algunos de ellos, que ya están luchando para recordar una amplia gama de contraseñas que utilizan a diario, usen sus claves de acceso de la empresa con un proveedor externo. Ahora usted está expuesto a violaciones de datos que el vendedor externo puede encontrar. O usted podría perder contraseñas de acceso corporativo a través de ataques de phishing. (Por cierto, las estafas de phishing de Dropbox son tácticas muy productivas para los cibercriminales).
2. ¿Usted recoge, transmite o almacena datos sensibles protegidos por las normas?Si usted trabaja en servicios financieros, gobierno, seguros, salud o retail, no tiene que hacer ninguna investigación para encontrar la respuesta; esta es “sí”. Si su compañía es de comercio público o perteneciente a la industria manufacturera sensible (como proveedora de las centrales eléctricas), la respuesta, también muy probablemente, será “sí”. En ese caso, no tener una buena respuesta a las dos primeras preguntas realmente podría generar enormes multas si hay pérdida de datos. Tener empleados que utilizan los servicios de terceros no autorizados aumenta el riesgo de una eventual violación de datos.
3. ¿Tiene un medio seguro para la ejecución de las transferencias de archivos?Si ya está en el negocio de compartir los datos con los clientes externos, socios, proveedores o agencias de informes gubernamentales, usted debe utilizar una solución de transferencia de archivos segura.
Algunas resoluciones recientes han impactado fuertemente en empresas que dependían de las normas de cumplimiento de un proveedor de terceros. El hecho es que usted solo es compatible si su empresa ha puesto en práctica las disposiciones de seguridad y de gestión adecuadas. El cumplimiento es su responsabilidad.
4. ¿Tiene un fácil acceso, alternativa segura a las transferencias de archivos ad hoc realizadas por los empleados?Si usted ya dispone de un protocolo FTP seguro o una solución de transferencia de archivos monitoreada, debe investigar la disponibilidad de características del usuario ad hoc. Muchos proveedores ofrecen navegadores fáciles de usar o “plug-ins de Outlook”. Distribuir estos software en los escritorios de los empleados puede ser un largo camino para mitigar la necesidad de buscar en otra parte una fácil transferencia de archivos.