La semana pasada impartí un seminario online en calidad de CEO de CyberBrainers para los miembros de una Cooperativa de Catalunya.
Como cabría esperar, en esas 2 horas hablamos de muchos temas relacionados con la ciberseguridad, la reputación online y la presencia digital, poniendo ejemplo de casos recientes (tanto de multinacionales, como de PYMES y personas de la calle), e intentando enfocarlo, como siempre hago con este tipo de formaciones ADHOC, a las necesidades reales que tenían estas cooperativas en particular.
Fueron algo más de dos horas de charla muy participativa (aunque luego el resto lo vean en diferido, online éramos poco más de 15, lo que permite que haya mucho diálogo entre todos los participantes), y al llegar al apartado de cómo protegernos de los fraudes digitales, y centrar el tiro en el uso de herramientas en la nube como GSuite, salió el tema de la privacidad.
¿Al subir los archivos de la empresa a Google Drive, no corremos también riesgo a que dicha información acabe en malas manos?
La pregunta, que venía de mano de uno de los participantes, se agravaba teniendo en cuenta que su organización estaba utilizando un archivo de documento de texto como herramienta para almacenar sus contraseñas…
Como le había comentado con anterioridad, eso era un riesgo presente y futuro, habida cuenta de que a ese documento tenían que acceder el resto de trabajadores, y que la solución pasaba por utilizar una cuenta corporativa de cualquier gestor de contraseñas.
Pero más allá de esto, es cierto, como le comenté, que siempre asumimos un riesgo.
En cualquier decisión que tomemos, de hecho.
Y para ejemplificarlo, le puse el siguiente escenario.
Escenario 1: Una empresa con todos sus activos almacenados en un servidor físico local
Así es como están la mayoría de organizaciones hoy en día, y esto conlleva asumir numerosos riesgos. A saber:
- El servidor se puede estropear: A fin de cuentas, es un hardware no replicado en otras ubicaciones, que bien sea por su propio desgaste interno, bien sea por problemas exógenos, podría dejar de funcionar en cualquier momento, perdiendo toda la información (o al menos la que no podamos recuperar con una forense a posteriori o con las copias de seguridad que quiero pensar se guardan en otro lugar).
- El servidor puede ser atacado: Lo más habitual, por un ransomware que entra por una campaña de phishing a cualquier trabajador de la compañía. Le cifran sus archivos, y de paso, los del servidor. Esto mismo de hecho nos lo hemos encontrado la semana pasada con una empresa de Andorra, que ha perdido, con la tontería, los registros de los últimos 10 años (facturación, clientes…). Ya te puedes imaginar el marrón que tienen encima…
Escenario 2: Una empresa con todos sus activos gestionados por una nube comercial
Es lo que en esencia solemos recomendar (y ayudamos a implementar) en CyberBrainers, por todos los motivos ya comentados una y otra vez (sistemas anti-phishing muchísimo más eficientes, ahorres de coste en mantenimiento, replicación y copias de seguridad automatizadas, mayores controles de seguridad…).
Pero, por supuesto, también conlleva asumir riesgos, y uno de ellos lo veíamos recientemente reflejado en la decisión de Google de cambiar la política de uso de su herramienta Google Drive para bloquear, si así lo veían oportuno, archivos alojados en su nube.
Que en la práctica, en efecto, lo que busca es eliminar contenido compartido que claramente infringe sus políticas de uso, como puede ser el contenido de pederastia o relacionado con el terrorismo.
Pero, y aquí viene el tema importante, es que ese sistema funciona automáticamente… Y lo que hay automáticamente implementado, puede fallar.
¿El mejor ejemplo? Pues el que hemos vivido estos días precisamente con la entrada en vigor de este sistema, y es que al parecer, a algunos usuarios de Google Drive se les ha alertado (EN) de que algunos archivos que tenían creados en sus carpetas contravenían su política de uso e iban a ser bloqueados.
Archivos de texto que simplemente tenían un 1 o un 0 de nombre, y que al parecer, infringían el copyright de vete tú a saber qué organización.
Por supuesto, se trata de un error puntual. Pero un error muy gordo, ya que aunque Google ya lo está solucionando, durante días puede que ese archivo crítico para tu negocio esté bloqueado por el sistema en la nube… Simplemente por un error.
Ya no hablemos casos menos claros, con archivos internos con contenido considerado ilegal que se usa, por ejemplo, con fines puramente estadísticos o académicos…
En fin, que en efecto, siempre vamos a asumir riesgos elijamos lo que elijamos.
Ahora bien, prefiero asumir el riesgo en mi organización de esa dependencia de un agente como Google o Microsoft… a asumir el riesgo de que mi servidor se joda un buen día, o de que cualquier trabajador de la compañía clique donde no debe y con ello nos metan un ransomware.