Los riesgos ocultos de las plataformas virtuales para compartir archivos

La ciberseguridad representa una parte esencial de la agenda mundial en el tiempo actual. Nadie está libre de recibir un ciberataque, tanto empresas como gobiernos, hospitales, instituciones financieras, pymes y usuario final están expuestos a las diversas amenazas que se tejen en la red.

De ahí que resulte tan relevante comprender el valor de la seguridad informática. En esa línea, resulta crucial componer estrategia, tácticas y buenas prácticas que permitan implementar una mayor seguridad en las organizaciones, que favorezcan el trabajo en remoto y la colaboración online. Se trata de dinámicas que se han acelerado en los últimos tiempos, en virtud del desarrollo de la pandemia generada por la covid-19.

El riesgo cibernético en términos empresariales

La seguridad informática es un asunto clave para favorecer la protección y gestión de la información de cualquier organización. Esta área de seguridad contempla cuatro dimensiones principales: confidencialidad, que se concreta en que sólo los usuarios autorizados pueden acceder a determinados recursos, datos e información. La integridad hace referencia a que solo los usuarios autorizados pueden modificar datos cuando sea requerido. La disponibilidad, según la cual los datos deben de estar disponibles para los usuarios cuando sea necesario. Mientras que la autenticación se centra en verificar que realmente se está en contacto con quien uno quiere comunicarse.

El riesgo cibernético está vinculado al esquema operativo de las empresas. Este concepto hace referencia tanto a las pérdidas patrimoniales generadas por terceros como a los propios eventos que se desarrollan dentro de nuestra organización. Este riesgo queda particularmente de manifiesto en las plataformas digitales para compartir archivos, que son espacios en Internet que permiten la ejecución de diversas aplicaciones o programas en un mismo lugar, para así satisfacer diversas necesidades que tienen los usuarios que las emplean.

A raíz de la pandemia prima el trabajo en remoto y mitigar los riesgos de exponerse a un ciberataque es una prioridad. De manera que es importante elaborar una estrategia que, por un lado, ofrezca formación a los trabajadores de cómo emplear diligentemente las plataformas virtuales para compartir archivos y por otro se centre es suministrar un enfoque integral, estructurado a través de un software eficiente, que permite a las organizaciones abordar proactivamente los retos cibernéticos.

Cuáles son los principales riesgos que comporta el uso de las plataformas virtuales para compartir archivos

En esa línea, resulta relevante analizar específicamente los peligros que representa el riesgo cibernético de las plataformas virtuales para compartir archivos. El caso es que son muchos los Consejos que usan estas plataformas para compartir la documentación con el Consejo y, a pesar de que son muy útiles para incentivar la colaboración de los empleados en remoto, no deberían usarse para compartir documentos tan confidenciales como los que se comparten en el Consejo.

Los principales motivos por los que hay que ser precavidos con el uso que se hace de las plataformas virtuales para compartir archivos, si se comparten archivos confidenciales, son:

1) Incentivan el error humano, porque no tienen ningún tipo de permisos que eviten que alguien comparta los documentos con la persona equivocada.

2) Pueden ser atacadas fácilmente por hackers, y poner así en riesgo la reputación del Consejo y la responsabilidad jurídica de los consejeros.

3) Estas plataformas virtuales para compartir archivos comportan insuficiente velocidad de carga o descarga en la colaboración, lastre acentuado si se añaden además las videoconferencias. Para evitar dichos riesgos lo mejor es contar con soluciones diseñadas específicamente para optimizar el funcionamiento del Consejo.

Las soluciones de Diligent, alineadas con la Estrategia Nacional de Ciberseguridad

Para solventar con garantías esa necesidad, Diligent ofrece software que responde a todas las sugerencias mencionadas en la nueva Estrategia Nacional de Ciberseguridad en España. Entre otras funcionalidades, nuestras herramientas ofrecen autenticación de doble factor, tests de penetración regulares, herramientas seguras en la nube, restricción de acceso y, además, un servicio de formación a los diferentes usuarios de la herramienta. Se trata de un factor clave para evitar que los usuarios acaben por utilizar herramientas que comprometen la seguridad de los documentos, como son el correo electrónico o el whatsapp.

También resulta muy interesante incorporar las recomendaciones que ha elaborado la consultora Deloitte en relación a la aplicación y desarrollo de la ciberseguridad en medio de una pandemia global. Conforme las organizaciones incrementan el trabajo en remoto, crece el empleo de dispositivos móviles y el acceso a los sistemas empresariales centrales. Ante esta dinámica, se recomienda fortalecer la gestión de acceso a la identidad organizacional, así como el monitoreo y correlación de eventos.

En esta dinámica, los dispositivos que no dispongan de la protección adecuada podrán generar pérdida de datos, violaciones de privacidad y sistemas víctimas de ransomware (secuestro de datos, un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción).

Los consejos de la consultora Deloitte para minimizar el ciber riesgo

Las recomendaciones de Deloitte para paliar y diluir estos riesgos se centran, entre otras acciones, en: disponer de una visión integral de la identidad y describir los entornos de TI (hardware y sistemas operativos), incluido un procedimiento para identificar, prevenir y eliminar las cuentas huérfanas. También refinar la granularidad del monitoreo de seguridad y enriquecer el sistema de vigilancia en escenarios de operación remota. Así mismo, se recomienda realizar seguimiento para asegurar las funciones de recepción de ciberseguridad. En suma, ante un mayor riesgo de fuga de datos confidenciales o privados, posibilitado por la exposición de estos en entornos seguros, se aconseja manejar con la mayor eficiencia posible las conexiones remotas. En cualquier caso, la transformación digital favorece que las organizaciones desarrollen sistemas y medidas de seguridad, para así evitar la intrusión y el acceso a sistemas críticos. Ante esta realidad se recomienda disponer de un plan de recuperación cibernética.

En un contexto como el actual resulta esencial que las estrategias cibernéticas estén alineadas a las funciones de negocio: las operaciones, la continuidad comercial, la residencia técnica y la gestión de la crisis. Por estos motivos, los planes de las organizaciones deben contemplar métodos únicos, que les permitan conocer los riesgos a los que están expuestas, mientras detectan amenazas avanzadas y descubren brechas sistémicas en el proceso de respuesta ante posibles incidentes.

La importancia de emplazar la protección contra un ciberataque como una prioridad

Resulta relevante también citar el manual de supervisión de riesgos cibernéticos para Consejos de Administración, elaborado por la Organización de los Estados Americanos (OEA) donde se advierte de que no es responsabilidad del Consejo convertirse en expertos en TI, pero sí que deben saber qué preguntas deben formular a los departamentos de TI. Además, los consejeros deben desplegar liderazgo y compromiso con esta faceta de la ciberseguridad, de manera que la supervisen de manera proactiva, al tiempo que conciencia y motiva a la dirección de la entidad para que se marque la protección de la organización contra el ciberataque como una prioridad. En esa dirección, resulta vital que los Consejos comprendan y aborden la ciberseguridad como un problema de gestión de riesgos en toda la empresa, no solo como un problema de TI. Finalmente, los consejeros deberen liderar con el ejemplo y proteger sus comunicaciones.

También es muy relevante que los consejeros entiendan las implicaciones legales de los riesgos cibernéticos, de acuerdo a las circunstancias específicas de su empresa. También se debe implementar un marco de gestión de riesgo cibernético para toda la empresa, con personal y presupuestos adecuados.