Dropbox

Debido al reciente suceso donde Dropbox confirmó la fuga de información, los controles sobre el mencionado servicio en la nube han sido mejorados. Sin embargo, cuando las empresas utilizan este servicio, es importante que se consideren ciertos aspectos relacionados al tipo de información que se va a alojar así como también que los empleados adquieran el concepto de que la mencionada plataforma debe ser tratada como un repositorio público.

Las organizaciones deben tener en cuenta las siguientes consideraciones a la hora de utilizar plataformas donde se aloja información sensible y crítica, cómo es el caso de Dropbox.

Monitorear el uso de Dropbox

Se debe considerar la calidad y cantidad de información que una organización está compartiendo en esta plataforma y similares. El riesgo posee una relación directa con la cantidad de información que se aloja en la nube teniendo en cuenta que mientras más información se albergue en la red más difícil será controlarla.

Considerar la seguridad del servicio en la nube

Existen estudios que han demostrado que un gran porcentaje de aquellas personas que utilizan este tipo de servicios para alojar información sensible consideran que el propio servicio es el responsable de la seguridad de la información que allí se aloja. Sin embargo, un número similar de esas personas no tiene conocimiento de qué tipo de seguridad implementa la plataforma. De esta manera, es necesario que la organización evalúe si la seguridad ofrecida por el servicio es acorde a las medidas de seguridad que necesita la propia organización.

Tratar a Dropbox como un repositorio de información pública

Es importante que la organización concientice a sus empleados y personal, que van a hacer uso de este tipo de servicio, sobre la información sensible que allí se alojará. En caso de que la información sea de criticidad alta, existe la alternativa de cifrar la misma antes de alojarla en un servicio en la nube de las características de Dropbox. Asimismo, existe la contracara de aquellas organizaciones que optan por no alojar ningún dato sensible en servidores de terceros. El objetivo es estar conscientes de la problemática y tomar la decisión más acorde a la organización.

Estar atentos a empleados infieles

La pregunta que debe hacerse la organización a la hora de autorizar la utilización de esta clase de servicios es: ¿Es posible detectar la información que un empleado puede filtrar a través de estos servicios? Si bien esta problemática puede ser difícil de controlar, Dropbox ofrece un servicio llamado Dropbox for teams el cual es idóneo para las organizaciones y ofrece algunas características tales como administración centralizada, seguridad mejorada, integración con Active Directory, entre otras opciones.

Todos los aspectos antes mencionados deben ser considerados por la organización antes de implementar la utilización de los servicios en la nube existentes en la actualidad. La seguridad de una organización debe gestionarse, y la información es uno de los activos que más relevancia tiene dentro de la misma. De esta manera será posible prevenir incidentes tales como fuga de información, entre otros, los cuales atentan contra el estado de la seguridad de la información corporativa.

Fernando Catoira
Analista de Seguridad