Usar Google Drive o Dropbox en la empresa pueden provocar un grave problema de distribución de los archivos. La información de la empresa puede quedar a disposición de cualquiera y además se vulneran leyes de protección de datos.
Se puede hacer un mal de manera intencionada o inconsciente. La mayoría de empresas que se han lanzado a usar Google Drive o Dropbox, pueden hacer un mal a sus clientes de forma inconsciente o irreflexiva, explicamos el porqué.
Con la crisis ocasionada por el Coronavirus son muchas las empresas que se están viendo forzadas a implementar rápidamente el teletrabajo para poder dar continuidad a su actividad y a la nueva situación que se presenta.
La distribución de archivos con Drive o Dropbox
Entendemos que lo más conocido a nivel mundial son aplicaciones como Google Drive y Dropbox, y por ello, es probable que sea lo primero que venga a la mente cuando en situaciones como la actual pandemia, necesitemos acceder y trabajar con los documentos de la empresa desde casa u otro lugar.
No debemos olvidar que en la empresa existen muchos documentos con datos privados y sensibles. En todos los casos hay datos de clientes, presupuestos, números de cuentas, datos de empleados, contratos, facturas, información de contabilidad, etc.
Todos estos archivos se pueden estar distribuyendo de forma inconsciente por dos motivos:
- El mecanismo de sincronización de estos discos virtuales.
- El mal uso de los enlaces públicos a los ficheros.
La sincronización como modus operandi.
El uso de la sincronización a nivel particular, es muy útil y práctico, pero su utilización en la empresa tiene varios inconvenientes.
En la actualidad, muchas personas están realizando trabajo remoto desde casa o teletrabajo. Pues bien, cuando los empleados se conectan y en muchos casos lo hacen con sus portátiles propios, abren su cuenta de Drive o Dropbox, y automáticamente se sincronizan todos los archivos en cada uno de los dispositivos.
Esto significa que si la empresa tiene 10 empleados que se conectan a estos discos virtuales, los archivos de la compañía se verán repartidos por todos los dispositivos desde los que sus empleados se conecten.
Es decir, que si cada empleado, se conecta desde su portátil un día, desde la tablet en otra ocasión y desde el móvil en otro momento, los archivos de tu empresa estarán copiados al menos en 3 dispositivos distintos de los cuales ninguno pertenece a la empresa, por lo que no puede tener control sobre ellos de esta manera.
¿Qué es lo que ocurre con esto?
Independientemente de que a la empresa le importe un pimiento el cumplimiento RGPD y las sanciones que conlleva.
El problema es que todos esos ordenadores y dispositivos llevan copias de los archivos de la empresa que está repartiendo datos confidenciales en dispositivos que no tienen seguridad. Esos ficheros son accesibles por prácticamente cualquiera.
Yo, desde luego, si fuera cliente de esa empresa no estaría muy feliz sabiendo que mis datos andan por cualquier lugar, un contrato, un presupuesto e incluso mi número de cuenta bancaria, cosa buscada por los hackers, están en múltiples lugares que incluso la empresa desconoce.
Si fuera el empresario, tampoco estaría muy tranquilo repartiendo datos de mi actividad, mis clientes y cualquier cosa guardada en Drive o Dropbox.
Además, otro problema de la sincronización es que propaga el efecto de los virus ransomware o cryptolocker.
Compartir archivos mediante enlaces públicos.
Compartir documentos mediante enlaces es muy cómodo y práctico pero ¿como que públicos?.
Como su nombre indica si algo es público significa que todos pueden tener acceso a la cosa en cuestión, en este caso a un documento.
Como todos sabemos, es bastante fácil enviar un enlace a alguien. Basta con copiar y pegar, ¿verdad?. Pues seguramente sea esto lo que nos ha conquistado, la facilidad, pero hay que pararse un segundo a pensar si el documento que estamos enviando puede comprometer a algo o alguien si se convierte en público, ¿no creen?
Aquí va una demostración:
Esto es un documento compartido a modo de ejemplo mediante enlace público y como podréis comprobar, cualquiera puede ver el archivo en cuestión.
Hay miles de ellos en la red, por cuestiones obvias no los podemos publicar.
Si lo que se envía es un fichero sin relevancia, vale, pero al hablar de empresas y los documentos que manejan, la cosa cambia, pues siempre hay datos personales, confidenciales o sensibles que proteger.
Ejemplo real de distribución de archivos en inmobiliaria.
Miguel quiere comprar una vivienda. La inmobiliaria se encarga de todos los trámites, entre ellos el de acudir a varios bancos para solicitar la hipoteca. Miguel ha solicitado a su banco documentos que justifican sus ingresos y rentas. Esta es una información fundamental, privada y necesaria a la hora de solicitar un préstamo o hipoteca.
La inmobiliaria está utilizando Dropbox para almacenar y compartir los archivos.
Cuando todos los empleados de la inmobiliaria se conectan a esa cuenta de Dropbox, sincronizan los archivos en sus dispositivos, multiplicando la presencia de esos documentos en multitud de lugares sin seguridad ni control.
Si el señor de la inmobiliaria tiene tres ordenadores entonces los documentos terminarán triplicados, y si este señor tiene 4 compañeros, entonces quizás los documentos estén copiados en 12 lugares diferentes.
¿Puede el señor de la inmobiliaria garantizar la seguridad de acceso a documentos confidenciales en 12 lugares diferentes? la respuesta es claramente NO.
Si además este señor, le presta un día su portátil a su hijo, él podrá mirar con total tranquilidad los documentos privados de todos los clientes de la inmobiliaria o si comparte los documentos mediante enlaces públicos, cualquier curioso puede encontrarlo y utilizarlo para fines no deseados.
Cuidado con las recomendaciones que se están haciendo.
Esto lo comentamos porque a veces confiamos en las autoridades pensando que ellos solo quieren lo mejor para nosotros (los ciudadanos), y que velan por nuestra seguridad y bienestar lo cual no siempre es cierto.
Mientras unos indicaban tomar detergente o lejía, vemos como una entidad pública de Andalucía (Andalucía Compromiso Digital) recomienda en su blog el uso de Drive para Teletrabajo sin advertir nada de lo que explicamos. Es más grave aún, porque dependiendo de una institución, además no mencionan RGPD por ningún sitio y no publican ni responden a los comentarios del Blog.
Por una lado tenemos personas que han advertido sobre el tema.
En este artículo no abordamos la polémica de la diferencia entre RGPD (Reglamento General de Protección de Datos) y el pretendido equivalente Privacy Shield, esto ya lo comentamos en otro artículo del Blog.
Creo interesante hasta cierto punto tu publicación, sin embargo, recordemos que la mayoría de empresas que valoran su información no utilizan versiones gratuita, siempre habrá versiones empresariales que tengan control de doble factor de autenticación, administración centralizada y protección de datos.
Tal es el caso de Dropbox business, está solución permite que los archivos se rompan en bloques y da la seguridad que si un bloque llegara a ser hackeado no hay forma de leerlo o sacar información ya que no tiene el complemento restante para que la información esté visible.
Lo mismo pasa con las versiones de Microsoft 365, al compartir información mediante ligas de one drive o bien dar acceso a sus sitios de Sherepoint.
Creo que tú información es un parte aguas para que los usuarios busquen versiones de suscripción que garanticen mayor protección a su información y a la empresa.
Hola, gracias por comentar. Mucho antes de que la seguridad o la protección de datos tuviese la más mínima presencia en esas plataformas ya lo hacíamos nosotros con el almacenamiento de archivos en bloques y cifrado. De hecho somos una excepción firmando los contratos RGPD con nombres, entregados en PDF y firmados a todos nuestros clientes. Cumplimos punto por punto, pues la seguridad y protección de datos tiene sus directivas en el Reglamento General de protección de datos (Comprueba cumplimiento de otros) , incluye el cifrado de archivos, especifica que se deben declarar los proveedores de servicios (¿lo hacen otros?) Mira: https://dataprius.com/dataprius-proveedores.html. Documento de seguridad del sistema (¿lo hacen otros?) Mira: https://dataprius.com/dataprius-descripcion-de-seguridad-del-sistema.html
Si lo de Dropbox hubiese ocurrido aquí son 6 millones de multa, cierre de la empresa y causa penal: https://elpais.com/tecnologia/2018/07/27/actualidad/1532682876_776484.html
Saludos.
Al ver el comentario de Manuel Nava. Creo que lo básico no se ha entendido. Puedes usar Dropbox Business o cualquir otra plataforma. El cifrado de almacenamiento en servidor puedes tenerlo, pero no se trata de eso. Es fácil, cuando sincronizas tienes copias de los archivos de la Nube (cifrados) en tu ordenador (no cifrados). Los ficheros de tu ordenador no están cifrados, da igual la Nube, tu ordenador no tiene las mismas medidas de seguridad. Todos los que se coenctan a tu cuenta Dropbox business no tienen cifrado de esos archivos en sus ordenadores. Si tu tienes un fichero Excel con tus clientes y números de cuentas bancarias, lo que hace Dropbox será cifrarlo en su almacenamiento, los 6 usuarios que están conectados a tu cuenta de Dropbox, tendrán copias en sus ordenadores ¡Lo ves! Con un sistema que no sincroniza no tendrás ese problema. Es imposible cumplir RGPD cuando hay muchas copias de un ficheros en muchos ordenadores porque esos alamacenamientos particulares no pueden garantizar la seguridad.
PDTA: Da igual la versión bussines, no cumplen leyes europeas, venden datos: https://elpais.com/tecnologia/2020-03-30/muchas-aplicaciones-recopilan-y-venden-salvajemente-nuestros-datos-aprovechando-el-coronavirus.html
Gracias por comentar.
Claro que si es posible, implementa un sistema de compartición de archivos tipo Dropbox interno y aplica políticas de seguridad acordes, directorios activos centralizados, protocolos cifrados emplea validación de clientes por certificados para que aun cuando el usuario quiera entrar a su cuenta con un dispositivo no autorizado no se lo permita y listo; si requieres mayor seguridad implementa un dlp; formas de hacerlo posible hay, incluso sin invertir tanto dinero, hay muchas soluciones open source gratuitas o de bajo costo en comparación con las propietarias y te permite tener el control total del servicio; no hay pretexto para no cumplir con las disposiciones legales y seguir laborando y facilitando la movilidad y disponibilidad del servicio.
Pues hace tan solo unos días el Tribunal de Justicia de la Unión Europea ha anulado Privacy Shield. Esto siginifica que además de algunos problemas que se explican en este artículo es que son Ilegales. Todas las aplicaciones que hagan transferencias internacionales como Dropbox o Drive son ilegales, hay que buscar soluciones que cumplen RGPD. Saludos.
Este artículo explica muy bien la problemática de Dropbox al sincronizar. No se sabe cuantas copias de los archivos, en abierto y sin cifrar, está guardados en múltiples y diferentes ordenadores. No solo de los empleados de la empresa, también en varios discos duros de las personas con las que compartimos los ficheros. Evidentemente es incontrolable, carente de seguridad y privacidad.
Pero es que con Dropbox incluso versión Business hay problemas más graves. Lo primero es que es ilegal porque realiza transferencias de datos a los Estados Unidos (Recordar que Privacy Shield está anulado). A parte de esto, nadie que haya contratado Dropbox te puede enseñar su contrato RGPD, no está en nigún sitio su declaración de seguridad, no hay una web dónde declara los lugares de almacenamiento. Es ilegal, eso lo sabemos, pero es que además no hay la más mínima intención de que lo sea nunca. Más allá de hacer mucho marketing y hablar de RGPD en su web. Cosas extrañas que pasan en este mundo digital, es como si un atracador se defiende en un juicio repitiendo la ley sobre los atracos, no por saberla o mostrar que se la sabe es inocente.