¿Es seguro guardar información corporativa en Google Drive (o servicios similares)?
A la hora de almacenar información confidencial de la empresa y/o guardarla como copia de seguridad, suelen surgir varias dudas con respecto a la ubicación donde se va a realizar este almacenamiento. Los hay quienes apuestan a gestionarlo todo ellos mismos, proporcionando acceso remoto para que sus empleados puedan consultarla cuando la necesitan.
Otros, sin embargo, han abrazado la nube y sus ventajas, como el menor coste que supone elegir empresas dedicadas específicamente a estos menesteres y a la disponibilidad que se tiene de la información, independientemente de dónde nos encontremos (siempre que dispongamos de una conexión a Internet, claro está).
Pero cuando hablamos de seguridad en estas decisiones la cosa ya no está tan clara y no son pocos los recelosos de almacenar información confidencial fuera de su empresa. Todo esto a pesar del importante crecimiento que han tenido entre empresas de todo el mundo servicios como Google Drive o Dropbox en los últimos años.
Almacenamiento en la nube, ¿sí o no?
A la hora de decantarse por una u otra solución deberíamos hacernos varias preguntas, pero quizás una de la más importante sea: ¿puedo ofrecer un nivel de seguridad mayor que el que proporcionan estas empresas externas a la hora de proteger estos datos?.
Este punto es muy importante, puesto que la mayoría de empresas dedicadas a ofrecer estos servicios suelen contar con unas buenas medidas para evitar que los datos de sus usuarios se vean comprometidos.
Sin embargo, el principal problema no se encuentra en la seguridad que implementan en sus servidores. La gran mayoría de robos de información se producen por una mala política de control de acceso y gestión de credenciales por parte de los usuarios.
Medidas de seguridad adicionales
De nada nos sirve contar con el mejor y más seguro servicio de almacenamiento en la nube si luego los usuarios que acceden a esos recursos utilizan contraseñas fáciles de adivinar o que ya han sido utilizadas en otros servicios que han sido comprometidos. Hace falta implementar medidas adicionales y, si el servicio que vamos a contratar permite configurar un mecanismo de autenticación de doble factor, mejor que mejor.
Además, independientemente de lo seguro que sea el servicio de almacenamiento contratado, nunca está de más que los datos almacenados tanto dentro como fuera de nuestra empresa se encuentren cifrados. De esta forma evitaremos que, ante un posible incidente que permita a los atacantes acceder a esta información, esta no pueda ser leída de forma sencilla, minimizando así el impacto de la intrusión.
Por último, no debemos descuidar quién puede acceder a qué tipo de información y qué puede hacer con ella. Si dejamos que cualquier empleado pueda acceder a información confidencial y luego esta pueda filtrarse por otros medios, no habremos conseguido prácticamente nada.
Para evitarlo, es necesario adoptar herramientas de prevención de filtraciones de datos, usando para ello aplicaciones que detecten cuando ciertos usuarios sin permisos están intentando acceder a cierto tipo de información confidencial o se está enviando fuera de la empresa utilizando medios no autorizados.
Cumplimiento de normativas
Además de todo lo expuesto, hay que tener en cuenta algo muy importante que muchas empresas no toman en consideración… hasta que es demasiado tarde y empiezan a recibir multas por incumplimiento de normativa. Dependiendo de dónde tengamos la sede o sedes de nuestra empresa y dónde se encuentren nuestros clientes y proveedores, deberemos adaptarnos a la legislación vigente y cumplir con una serie de medidas.
Por ejemplo, si nuestra empresa está en la Unión Europea o hacemos negocios con usuarios de esa región, deberemos adaptar nuestros mecanismos de gestión y almacenamiento de datos según el GDPR, de obligado cumplimiento a partir del 25 de mayo de 2018. Este hecho plantea nuevas cuestiones y una de ellas es si los servicios de almacenamiento como Google Drive o Dropbox cumplen con la normativa.
Las empresas que gestionan estos servicios son conscientes de la necesidad de cumplir con todos los requerimientos en materia de gestión de la información almacenada por sus usuarios en sus servidores. Por eso, no tardaron en adoptar todas las medidas necesarias para ponerse al día.
A fecha de hoy tanto Google como Dropbox cumplen no solo con la normativa impuesta por el GDPR, sino también con el Escudo de Privacidad, acuerdo firmado entre los países miembros de la Unión Europea y Estados Unidos.
Conclusión
Podríamos decir que la utilización de soluciones de almacenamiento y compartición de archivos en la nube son seguras siempre y cuando se cumpla una serie de normas y reglamentos internacionales, y además apliquemos por nuestra parte ciertas políticas de seguridad adicional.
No obstante, nunca debemos de descuidar la seguridad de la información almacenada tanto dentro como fuera de nuestra empresa, ni creer que depende de otros. Debemos emplear todas aquellas medidas de seguridad adicionales que estén a nuestro alcance para protegerla de forma apropiada.
Fuente: welivesecurity.com