Evitar fuga de datos en una empresa debe ser una prioridad . El impacto del robo o pérdida de información en una empresa se traduce en costes económicos, daños a la marca, aspectos legales y que el propio negocio siga a flote. La prohibición de Dropbox o Drive para los empleados de una empresa, así como los filtros que bloquean este tipo de aplicaciones son una realidad a nivel mundial.
Hace poco se cumplió un año de “Los Papeles de Panamá”. La fuga de datos más famosa a nivel internacional. Para muchos gobiernos esto supuso destapar a gran cantidad de evasores fiscales y por tanto una bendición. Para los que confiaron en Mossack Fonseca estamos seguros que el tema no fue muy agradable y andarán toda la vida lamentándose.
La cuestión, sin entrar en valoraciones morales, es si este incidente ha hecho reflexionar sobre la necesidad de que las empresas aporten garantías sobre la protección de los datos de sus clientes.
En todo el mundo las empresas prohiben a sus empleados el uso de Dropbox o Drive. Por un lado están las leyes de protección de datos, muy desarrolladas en Europa y en muchos países de América Latina. Estas leyes convierten en ilegales a Dropbox, a Drive y similares, las multas y las sanciones son cuantiosas, por ejemplo en España, la ley de protección de datos impone multas de hasta 600.000€ a las empresas. Por otro lado, las empresas serias comprenden que esas aplicaciones son un agujero por dónde se escapan los documentos. No hay control de quién comparte ni en cuantos dispositivos están replicados los documentos.
Costes Económicos por fuga de datos.
Uno de los casos más notables de los últimos años cuya resolución judicial se acordó hace tan solo unos meses fue el del St. Joseph Health System. Como resultado de “ajustes de seguridad mal configurados”, 31.000 registros de historiales médicos de los pacientes quedaron expuestos online por aproximadamente un año. ¿Cuál fue el costo financiero de este error, que se podría haber evitado? La enorme suma de 28 millones de dólares.
Exponemos un caso en Estados Unidos, el salvaje oeste de los datos. Si este caso se hubiese producido en Europa, el cierre de la empresa sería un hecho y no podemos ni calcular el alcance de las sanciones.
Daños en a la marca.
Los daños a la marca por un incidente de fuga de datos son irreparables. Se pierde la confianza en la empresa y queda sin reputación. El consumidor y el usuario dan por sentado que una determinado servicio cuenta con las medidas adecuadas de protección de la información.
Aspectos legales.
El descuido en el manejo de la información de los clientes tiene importantes consecuencias. Cuando alguien denuncia a la empresa, ésta tiene todas las de perder. Por ejemplo, si un abogado usara Dropbox para enviar archivos a un cliente. Se comete un delito penado en todos los países que cuentan con normativas de protección de datos. Cualquier cliente está en su derecho de denunciarlo. Además es de gran bajeza moral colocar los documentos de los clientes en lugares que manejarán esa información con propósitos ocultos.
Ésta última forma negligente de manejar la información, la de usar aplicaciones en la nube ilegales, es algo que es fácilmente evitable. No estamos hablando de hackeos a tu empresa o empleados que hacen de espías industriales. Hablamos de negligencia por desconocimiento o pereza al usar herramientas de consumo masivo en un entorno empresarial. Esto antes de llamaba “Rogue Cloud”. Aunque ya ha quedado un poco en desuso el término. Sin embargo, el que te roben tu información usando servicios no adecuados está a la orden del día.
Las grandes empresas con acertado criterio, prohíben usar Drive, o Dropbox. Incluso algunas, desarrollan software para detectar que en sus ordenadores esté instalado y dar una llamada de atención al empleado.
En definitiva, se trata de evitar por todos los medios que los empleados de las empresas almacenen archivos sensibles y los compartan con Dropbox, Whatsapp, Drive o similares sin que la empresa tenga conocimiento de ello. Las fugas de información, la exposición de información confidencial o suplantación de identidad son algunos de los problemas que puede acarrear a las empresas estas prácticas de sus empleados.
La Barra Libre de los datos
Nosotros siempre hemos llamado a este problema “Compartir Barra Libre”. Se produce cuando no hay control alguno sobre los archivos. Cualquier empleado de la empresa, puede hacer click sobre un archivo y enviar información de algún cliente directamente al comercial de otra empresa.
Ese individuo, a su vez, podrá hacer lo mismo repetidas veces. No pasa nada si los archivos son las canciones favoritas del trabajador, el problema comienza cuando se decide introducir archivos de la empresa, la brecha de seguridad ya está abierta.
El uso de nubes sin autorización ni control puede traer problemas a la hora de hacer backups y recuperación de datos. Un 43% dijo haber perdido datos y un 68% han sufrido fallos a la hora de intentar recuperar. A ello se suma además que, como ya hemos mencionado, esas nubes sin autorización no siempre cumplen las diferentes normativas que regulan el almacenamiento de datos.
Las características de control para evitar fugas de datos que tienen sistemas como Dataprius son muy valoradas. Nuestra propuesta, desde su nacimiento, unifica el control de los archivos y los permisos de los usuarios. La empresa, mediante un administrador, otorga los permisos de acceso a los archivos y carpetas. Existe una trazabilidad que permite saber en todo momento que ocurre con los archivos.
Hasta hace bien poco, nos costaba mucho explicar que para compartir archivos con Dataprius los usuarios deben ser dados de alta en el sistema. Es algo más engorroso que compartir en modo barra-libre, pero en un entorno empresarial existen documentos sensibles y la información que ha de controlarse. Con Dataprius todas las acciones quedan registradas.
Lo que hay que hacer
A mi parecer, el problema de fondo es confundir los productos lúdicos como DropBox, que son estupendos para compartir archivos con los amigos y familiares, con las herramientas empresariales. En el entorno empresarial ha de controlarse la información y el uso que se hace de ella.
La solución en todos los casos consiste en establecer un Cloud Privado dónde todos los miembros de la empresa almacenen sus archivos de una forma ordenada, controlada y centralizada. Además de impedir que existan instalaciones no autorizadas de otros programas.
Recordar que si se produce una fuga de datos en la empresa, en última instancia la propia empresa es la responsable.
En mi empresa están prohibido Dropbox o drive, incluso está prohibido meter pendrives en los ordenadores.
Pérdidas o que entren virus es el peligro que tienen sobre todo.
Hola, es un tema muy actual e interesante.
A la compañia que trabajo todo esta con standares de seguridad cibernetica.
Todo es autorizado por este equipo y asi no hay fugas de informacion.