Con infracciones de alto perfil relativamente recientes como el caso de iCloud aún en nuestras mentes, es hora de analizar detenidamente los riesgos que plantean las soluciones de sincronización y uso compartido de archivos (FSS) de SaaS. Se ha dicho muchas veces que tales soluciones no son seguras, pero vamos más allá de los eslóganes, analizamos qué es exactamente lo que están haciendo tan indecoroso y qué conclusiones deberían sacar las empresas de todo esto..

Para entender el patrón, volví durante el último año para examinar varios incidentes, y mágicamente terminé con siete de ellos, por lo que te traigo los siete pecados mortales de la sincronización y el intercambio de archivos..

Lujuria

Los piratas informáticos están codiciando sus datos de FSS: según lo informado por un estudio de Google a principios del año pasado, y demostrado también por una revelación de Dropbox en 2012, el secuestro de cuentas es una amenaza común.

Las posibilidades para los piratas informáticos son infinitas: en muchos casos, simplemente utilizaron las cuentas para atacar a los usuarios con correo no deseado, pero dado que los servicios del FSS sincronizan archivos en su computadora, el acceso a las cuentas se puede usar fácilmente para insertar malware en las PC de los usuarios, o incluso para cualquier cosa, desde registro de teclas hasta sistemas empresariales infiltrados. Naturalmente, es más probable que los hackers utilicen los servicios más utilizados..

Tu penitencia Hay formas de mitigar dichos riesgos, incluida la autenticación de usuarios mediante la integración de Active Directory, los frecuentes cambios de contraseña, así como los métodos de autenticación de dos o múltiples factores, todos pueden hacer mucho para evitar el secuestro de cuentas..

Glotonería

Big Brother se tragará sus datos: como lo reveló Edward Snowden, el programa PRISM de la Agencia de Seguridad Nacional aprovecha los datos de los usuarios de una variedad de proveedores de servicios con sede en EE. UU., Incluidos Apple, Google y otros. Dropbox también ha recibido solicitudes de divulgación, y solo se puede adivinar cuántos datos se recopilan por otros medios que no involucran a la NSA preguntando amablemente..

Tu penitencia Si desea hacer que sus archivos sean menos atractivos y menos accesibles para las agencias de inteligencia, puede volverse completamente privado en su propia infraestructura o usar un servicio en la nube que le permita cifrar sus datos en la fuente y ser el único propietario del cifrado. llaves.

Codicia

Clave de encriptación global, la deduplicación en todas las cuentas equivale a más dinero: mire a cualquier proveedor de FSS y le dirán que sus datos están encriptados con encriptación de grado militar. Eso es tan útil como saber que su casa tiene una puerta y está cerrada con llave. ¿Pero quién tiene la llave? ¿Y cuántas otras puertas usan la misma llave??

Dropbox fue demandado en 2011 por engañar a los usuarios en materia de seguridad y, como resultado, cambió su declaración de seguridad. Pero la verdad es que ellos (y muchos otros proveedores) continúan desduplicando todos los archivos en todas las cuentas de usuario para aumentar la utilización del espacio de almacenamiento y optimizar sus márgenes de beneficio, puro y simple..

Con compañías como Box perdiendo casi $ 170 millones (alrededor de £ 110 millones, AU $ 220 millones) en solo 12 meses, no es de extrañar que los proveedores de SaaS estén sintiendo la presión de obtener ganancias a costa de su seguridad. Eso puede estar bien para los consumidores, a quién le importa si su foto de la Torre Eiffel está duplicada en comparación con las variaciones casi idénticas que cargan millones de otras personas, pero para las empresas esto es inaceptable en términos de estándares de seguridad y privacidad, y también podría aumentar problemas serios de cumplimiento.

Tu penitencia Verifique que su proveedor le dé el control de las claves de cifrado.

Perezoso

La comodidad triunfa sobre la seguridad: esta es nuestra, amigos, los usuarios. Casi todos los proveedores de FSS tienen opciones para la autenticación de dos factores y contraseñas seguras que habrían evitado las infracciones como la fuga de la foto de la celebridad de iCloud, pero por lo general no las aplican. Por lo tanto, los usuarios toman el camino de menor resistencia y se dejan vulnerables a las brechas..