Usar Google Drive o Dropbox en la empresa pueden provocar un grave problema de distribución de los archivos. La información de la empresa puede quedar a disposición de cualquiera y además se vulneran leyes de protección de datos.
Se puede hacer un mal de manera intencionada o inconsciente. La mayoría de empresas que se han lanzado a usar Google Drive o Dropbox, pueden hacer un mal a sus clientes de forma inconsciente o irreflexiva, explicamos el porqué.
Con la crisis ocasionada por el Coronavirus son muchas las empresas que se están viendo forzadas a implementar rápidamente el teletrabajo para poder dar continuidad a su actividad y a la nueva situación que se presenta.
La distribución de archivos con Drive o Dropbox
Entendemos que lo más conocido a nivel mundial son aplicaciones como Google Drive y Dropbox, y por ello, es probable que sea lo primero que venga a la mente cuando en situaciones como la actual pandemia, necesitemos acceder y trabajar con los documentos de la empresa desde casa u otro lugar.
No debemos olvidar que en la empresa existen muchos documentos con datos privados y sensibles. En todos los casos hay datos de clientes, presupuestos, números de cuentas, datos de empleados, contratos, facturas, información de contabilidad, etc.
Todos estos archivos se pueden estar distribuyendo de forma inconsciente por dos motivos:
- El mecanismo de sincronización de estos discos virtuales.
- El mal uso de los enlaces públicos a los ficheros.
La sincronización como modus operandi.
El uso de la sincronización a nivel particular, es muy útil y práctico, pero su utilización en la empresa tiene varios inconvenientes.
En la actualidad, muchas personas están realizando trabajo remoto desde casa o teletrabajo. Pues bien, cuando los empleados se conectan y en muchos casos lo hacen con sus portátiles propios, abren su cuenta de Drive o Dropbox, y automáticamente se sincronizan todos los archivos en cada uno de los dispositivos.
Esto significa que si la empresa tiene 10 empleados que se conectan a estos discos virtuales, los archivos de la compañía se verán repartidos por todos los dispositivos desde los que sus empleados se conecten.
Es decir, que si cada empleado, se conecta desde su portátil un día, desde la tablet en otra ocasión y desde el móvil en otro momento, los archivos de tu empresa estarán copiados al menos en 30 dispositivos distintos de los cuales ninguno pertenece a la empresa, por lo que no puede tener control sobre ellos de esta manera.
¿Qué es lo que ocurre con esto?
Independientemente de que a la empresa le importe un pimiento el cumplimiento RGPD y las sanciones que conlleva.
El problema es que todos esos ordenadores y dispositivos llevan copias de los archivos de la empresa que está repartiendo datos confidenciales en dispositivos que no tienen seguridad. Esos ficheros son accesibles por prácticamente cualquiera.
Yo, desde luego, si fuera cliente de esa empresa no estaría muy feliz sabiendo que mis datos andan por cualquier lugar, un contrato, un presupuesto e incluso mi número de cuenta bancaria, cosa buscada por los hackers, están en múltiples lugares que incluso la empresa desconoce.
Si fuera el empresario, tampoco estaría muy tranquilo repartiendo datos de mi actividad, mis clientes y cualquier cosa guardada en Drive o Dropbox.
Además, otro problema de la sincronización es que propaga el efecto de los virus ransomware o cryptolocker.
Compartir archivos mediante enlaces públicos.
Compartir documentos mediante enlaces es muy cómodo y práctico pero ¿como que públicos?.
Como su nombre indica si algo es público significa que todos pueden tener acceso a la cosa en cuestión, en este caso a un documento.
Como todos sabemos, es bastante fácil enviar un enlace a alguien. Basta con copiar y pegar, ¿verdad?. Pues seguramente sea esto lo que nos ha conquistado, la facilidad, pero hay que pararse un segundo a pensar si el documento que estamos enviando puede comprometer a algo o alguien si se convierte en público, ¿no creen?
Aquí va una demostración:
Esto es un documento compartido a modo de ejemplo mediante enlace público y como podréis comprobar, cualquiera puede ver el archivo en cuestión.
Hay miles de ellos en la red, por cuestiones obvias no los podemos publicar.
Si lo que se envía es un fichero sin relevancia, vale, pero al hablar de empresas y los documentos que manejan, la cosa cambia, pues siempre hay datos personales, confidenciales o sensibles que proteger.
Ejemplo real de distribución de archivos en inmobiliaria.
Miguel quiere comprar una vivienda. La inmobiliaria se encarga de todos los trámites, entre ellos el de acudir a varios bancos para solicitar la hipoteca. Miguel ha solicitado a su banco documentos que justifican sus ingresos y rentas. Esta es una información fundamental, privada y necesaria a la hora de solicitar un préstamo o hipoteca.
La inmobiliaria está utilizando Dropbox para almacenar y compartir los archivos.
Cuando todos los empleados de la inmobiliaria se conectan a esa cuenta de Dropbox, sincronizan los archivos en sus dispositivos, multiplicando la presencia de esos documentos en multitud de lugares sin seguridad ni control.
Si el señor de la inmobiliaria tiene tres ordenadores entonces los documentos terminarán triplicados, y si este señor tiene 4 compañeros, entonces quizás los documentos estén copiados en 12 lugares diferentes.
¿Puede el señor de la inmobiliaria garantizar la seguridad de acceso a documentos confidenciales en 12 lugares diferentes? la respuesta es claramente NO.
Si además este señor, le presta un día su portátil a su hijo, él podrá mirar con total tranquilidad los documentos privados de todos los clientes de la inmobiliaria o si comparte los documentos mediante enlaces públicos, cualquier curioso puede encontrarlo y utilizarlo para fines no deseados.
Cuidado con las recomendaciones que se están haciendo.
Esto lo comentamos porque a veces confiamos en las autoridades pensando que ellos solo quieren lo mejor para nosotros (los ciudadanos), y que velan por nuestra seguridad y bienestar lo cual no siempre es cierto.
Mientras unos indicaban tomar detergente o lejía, vemos como una entidad pública de Andalucía (Andalucía Compromiso Digital) recomienda en su blog el uso de Drive para Teletrabajo sin advertir nada de lo que explicamos. Es más grave aún, porque dependiendo de una institución, además no mencionan RGPD por ningún sitio y no publican ni responden a los comentarios del Blog.
Por una lado tenemos personas que han advertido sobre el tema.
En este artículo no abordamos la polémica de la diferencia entre RGPD (Reglamento General de Protección de Datos) y el pretendido equivalente Privacy Shield, esto ya lo comentamos en otro artículo del Blog.
¿Están seguros los datos de mi empresa con Privacy Shield?
La entrada Google Drive o Dropbox en la empresa.Peligro de distribución de archivos. se publicó primero en Blog de Dataprius..