BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Protección de datos en las empresas: Guía esencial
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Cómo prevenir la amenaza de los servicios de respaldo en línea para su red

Cada vez más empleados están utilizando servicios de respaldo en línea para copiar datos que están en sus equipos de trabajo. Aprenda cómo prevenir esta amenaza de seguridad.

Lo que aprenderá en este consejo: Los servicios de respaldo en línea o en la nube son vistos como una forma rápida y fácil de realizar copias de seguridad de archivos personales. Pero cada vez más empleados están utilizando estos servicios para realizar respaldos de sus datos personales que están en los equipos de trabajo. Aprenda cómo prevenir estas amenazas de seguridad de los respaldos en línea para su organización.

Los servicios de respaldo de cómputo en línea como Carbonite, Mozy y Dropbox están de moda en estos días. Estos servicios son atractivos porque resuelven los problemas de tener copias de seguridad dentro de las instalaciones corporativas, o de simplemente de no contar con los recursos necesarios para gestionar las copias de seguridad.

Puede pensar que estos servicios de respaldo en línea no afectan a su negocio. Pero podría no saber que los usuarios están ejecutando estos programas en sus computadoras de trabajo para respaldar sus "sistemas", incluyendo datos personales y de negocios. Y hasta que sepa con certeza que estos programas no se están utilizando en su entorno, existen numerosos riesgos de seguridad y de cumplimiento.

Los servicios de respaldo de datos en línea en sí no son el problema. Es el simple hecho de que están siendo utilizados en su red sin el consentimiento de nadie. A menudo el área de TI está al margen. Lo mismo ocurre con auditoría interna. Incluso he hablado con administradores de respaldo que han dicho que no tenían idea que sus usuarios estaban realizando copias de seguridad en su nombre. Tal vez lo peor de todo es que la gerencia suele estar ajena a los riesgos de negocio que incluyen el mal manejo de datos confidenciales de los clientes, la exposición de la propiedad intelectual, y muy posiblemente violaciones de contrato y cumplimiento.

Servicios de respaldo en línea: Preguntas importantes que hacer

Aquí hay algunas preguntas para reflexionar con respecto al uso personal de los servicios de respaldo en línea en su entorno:

  • ¿Tiene su empresa una política de uso aceptable, que cubra la instalación y uso de ese tipo de software/servicios?

  • ¿Están sus empleados calificados para revisar las políticas de privacidad, y otros términos y condiciones, con respecto al manejo de su información de negocio que, sin duda, se ha enviado fuera de su control?

  • ¿Está su equipo legal suficientemente conectado a la seguridad y privacidad de la información como para saber que la información de negocios cubierta bajo contrato, o por regulaciones de cumplimiento, está siendo manejada de esta manera?

  • ¿Cómo entra en todo esto el etiquetado de datos, la retención de datos y la destrucción de datos?

  • ¿Ofrecería una alternativa ? ¿Respalda archivos almacenados localmente, especialmente para los trabajadores móviles o remotos?

Saco estos temas a colación para mostrarle los riesgos asociados con que los usuarios compartan información confidencial de la empresa con estos servicios de terceros para respaldo de datos y uso compartido de archivos. Tiene que considerar la situación de una fuga de datos y la investigación subsiguiente. Los buenos abogados y peritos sabrán hacer preguntas en torno a cómo se maneja la información en su organización, y las medidas específicas que ha tomado para mantenerla razonablemente segura.

Gane el control de la seguridad de los respaldos en línea

No puede asegurar lo que no reconoce. Como la persona a cargo de gestionar el respaldo de datos, y garantizar el paradero y la integridad de esos datos, va a tener que conectarse a estos servicios de respaldo en nube e intercambio de archivos. Incluso si se trata de un problema centrado en la seguridad, todavía afecta la manera cómo gestiona las copias de seguridad. Aquí hay cuatro cosas que puede hacer ahora mismo para obtener el control de la seguridad de los respaldos en línea:

  1. Trabaje con su administrador de red para monitorear los patrones de tráfico que van hacia los sitios de estos proveedores.

  2. Trabaje con su administrador de escritorio para realizar una auditoría de software, para ver cuáles de estas aplicaciones se están ejecutando en cada uno de sus sistemas informáticos y sus dispositivos móviles (Dropbox, por ejemplo, funciona en iPhone, iPad, Blackberry y Android).

  3. Trabaje con la gerencia y el área legal –idealmente un comité formal de seguridad que incluya a estas personas– y determine cómo se va a manejar esto.

  4. Con base en los riesgos, ponga las políticas apropiadas y utilice las tecnologías necesarias para mantener las cosas bajo control.

La solución que puede parecer obvia sería simplemente bloquear estas aplicaciones en el perímetro de la red o en el escritorio. Sin embargo, si alguna vez ha ido por el camino de bloquear este tipo de aplicaciones,  sabe lo dolorosamente difícil es. Incluso si proporciona servicios de respaldo a nivel de estación de trabajo (algo que rara vez se hace, debido a los requisitos de almacenamiento y las dificultades inherentes de hacerlo con una fuerza de trabajo móvil) los usuarios aún van a utilizar tales servicios de respaldo e intercambio de archivos. Después de todo, en muchos casos están haciendo esto para sí mismos, y no para la mejora del negocio.

Algunas personas pueden argumentar que muchas de estas aplicaciones son para uso personal, y que en realidad no afectan a la empresa. Yo creo que si estos servicios se están ejecutando en las computadoras que almacenan o procesan información de negocios (incluidos los smartphones personales y las computadoras en casa), entonces es un problema de negocios, que debe caer bajo el paraguas de la supervisión y control de la compañía. De lo contrario, tendrá un ambiente estilo “lejano oeste” que estará pisando sobre hielo delgado. Como dijo Ayn Rand: "Podemos evadir la realidad, pero no podemos evadir las consecuencias de evadir la realidad”. Se debe hacer algo antes de que algo malo ocurra.

Sobre el autor: Kevin Beaver es un consultor de seguridad de la información, perito , autor y conferencista de Principle Logic, LLC . Con más de 21 años de experiencia en la industria , Kevin se especializa en la realización de evaluaciones de seguridad independientes, que giran alrededor de cumplimiento y minimizar los riesgos de la información. Es autor y co-autor de ocho libros sobre seguridad de la información, incluyendo el recientemente actualizado Hacking for Dummies, tercera edición. Además, es el creador de los audiolibros y blog de seguridad de la información Security On Wheels,proporcionando educación de seguridad para profesionales de TI sobre la marcha. Puede encontrarlo a través de su página web www.principlelogic.com, y seguirlo en Twitter en @kevinbeaver.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close