La colaboración se encuentra en la esencia de las aplicaciones SaaS. La palabra, o alguna forma de ella, aparece en los dos títulos superiores de la página de inicio de Google Workspace. Se puede encontrar seis veces en la página de inicio de Microsoft 365, tres veces en Box y una vez en Workday. Visite casi cualquier sitio SaaS y lo más probable es que la «colaboración» aparezca como parte del punto de venta clave de la aplicación.
Al estar en la nube, el contenido dentro de las aplicaciones se puede compartir de inmediato, lo que hace que sea más fácil que nunca trabajar con otros.
Sin embargo, esa compartibilidad es una moneda de dos caras. Por otro lado, a menudo hay enlaces confidenciales que se encuentran en sitios web públicos a los que se puede acceder fácilmente. La exposición causada por documentos filtrados puede causar un daño tremendo, desde competidores que intentan recopilar secretos corporativos hasta denunciantes que comparten información interna con reporteros o legisladores. Tan integral como la colaboración es para SaaS, compartir enlaces crea una situación de alto riesgo e infracciones de la vida real, que pueden mitigarse a través de los procesos correctos.
Aprenda cómo puede ayudarlo a obtener visibilidad en toda su pila de SaaS.
Compartir archivos y documentos
Básicamente, existen dos formas de compartir archivos y documentos fuera de una aplicación SaaS, aunque la terminología utilizada por M365, Salesforce, Google Workspace y Box es ligeramente diferente. El propietario del archivo puede poner el recurso a disposición de usuarios específicos o ponerlo a disposición de «cualquiera que tenga un enlace».
Compartir el archivo con usuarios específicos puede ser engorroso y llevar mucho tiempo. A medida que el archivo se pasa a las diferentes partes interesadas, el propietario del archivo debe agregar a cada usuario que lo necesite. Cuando se trabaja con un proveedor externo, se requiere coordinación con el contacto del proveedor para comprender quién trabajará con el archivo. La dirección de correo electrónico de cada usuario debe agregarse individualmente y, si se pierde a alguien, el propietario del archivo debe volver a la configuración de uso compartido y agregarlo.
Compartir un archivo con cualquier persona que tenga el enlace es mucho menos engorroso. El propietario del documento puede copiar el enlace, enviarlo al proveedor y no tener que pensar más en la gestión de documentos. Además, a menudo las personas solicitan acceso desde una cuenta privada (por ejemplo, su correo electrónico de Gmail) en lugar de una cuenta de correo electrónico supervisada por la empresa. Esto podría deberse al hecho de que, a veces, los proveedores externos solo tienen un dominio privado, o podría ser que también hayan iniciado sesión en su cuenta privada y, por lo tanto, soliciten acceso accidentalmente.
Sin embargo, por muy tentador que sea compartir el enlace libremente, hacerlo hace que el documento se filtre. No se puede controlar lo que sucede con el archivo una vez que se comparte el enlace, y los usuarios pueden acceder al archivo desde cualquier cuenta. El grado de riesgo de que el archivo se pueda filtrar aumenta exponencialmente.
Google Drive, Microsoft Sharepoint y escolares de la ciudad de Nueva York
Los funcionarios escolares de la ciudad de Nueva York aprendieron los peligros de compartir enlaces de la manera más difícil. En 2021, los funcionarios escolares confirmado una fuga de datos que contenía información confidencial de más de 3000 estudiantes y 100 miembros del personal del sistema de escuelas públicas de la ciudad de Nueva York. Los datos quedaron expuestos cuando un estudiante obtuvo acceso a Google Drive.
Esa historia llegó inmediatamente después de un Sharepoint de Microsoft. incumplimiento, durante el cual un estudiante que hacía la tarea se topó con un borrador de documento que discutía cuándo reabrirían las escuelas durante COVID-19. La carta incluía detalles de las políticas de evaluación, políticas de cuarentena y otra información que el sistema escolar no estaba listo para publicar. Estos datos quedaron expuestos debido a configuraciones no seguras para compartir documentos.
Formularios de Google en las Fuerzas Armadas
No son solo los funcionarios escolares los que deben tener cuidado con sus enlaces compartidos. En 2021, una unidad de las fuerzas armadas pidió a los soldados que completaran un formulario de Google relacionado con sus vacunas contra el COVID-19. Cada soldado ingresó su nombre y número de identificación, y respondió preguntas relacionadas con el coronavirus.
Sin embargo, el autor del Formulario de Google permitió a los encuestados revisar los resultados. Cualquiera con el enlace tenía acceso a los nombres y números de identificación de los soldados. Los datos se enumeraron cronológicamente, lo que facilita agrupar soldados específicos por su unidad. Estos datos eran accesibles para cualquier persona con un navegador y un enlace.
Después de ser alertada, la unidad militar eliminó el formulario, pero es imposible saber hasta qué punto se filtraron los datos.
Archivos de caja expuestos al mundo
De acuerdo a TechCrunch, en 2019, los investigadores de seguridad descubrieron que docenas de empresas estaban filtrando datos corporativos y de clientes confidenciales que se guardaban en Box. Usando un script para buscar cuentas de Box, los investigadores encontraron más de 90 empresas, incluida Box, con datos que eran visibles para cualquier persona con el enlace.
Empresas, entre las que se encontraban Amadeus, Apple, Edelman y Herbalife, expusieron nombres de clientes e información de contacto, propuestas de proyectos, nombres de donantes, información de pacientes y más. Esta información podría haberse protegido fácilmente si las empresas hubieran utilizado los controles de acceso disponibles dentro de la plataforma.
Mejores prácticas para prevenir la fuga y pérdida de datos
Los datos contenidos en las aplicaciones SaaS viven en la nube, pero no es necesario que estén expuestos a nadie con un enlace. Las organizaciones preocupadas por la seguridad deben seguir estas pautas para garantizar que sus datos permanezcan seguros.
Comparta archivos con usuarios específicos: Requerir que los usuarios inicien sesión antes de que puedan acceder a los datos reduce drásticamente la probabilidad de que los datos caigan en las manos equivocadas.
Agregue fechas de vencimiento a los enlaces compartidos – La mayoría de los documentos y archivos se comparten y finalmente se olvidan, lo que coloca a las empresas en una posición en la que ni siquiera saben que están expuestas. Al agregar una fecha de vencimiento al enlace, ese descuido no volverá a perjudicar a la empresa.
Proteger con contraseña todos los enlaces – Agregue una capa adicional de seguridad de datos al requerir protección con contraseña en todos los archivos externos
Crear un inventario de recursos: Enumere todos los recursos corporativos en un solo lugar que incluye la configuración de uso compartido de cada archivo, brindando a los equipos de seguridad una vista única que les permite evaluar el riesgo y la exposición.
Cada enlace desprotegido tiene el potencial de exponer datos. Como quien comparte el enlace, es imposible conocer la higiene del dispositivo del destinatario, si compartirá el enlace con otros, o incluso si proporcionará a otros acceso a su cuenta de correo electrónico. Asegurar los enlaces es una de las principales formas de protección disponibles para limitar este riesgo.
Otro enfoque para la protección contra el uso excesivo de enlaces es el método automatizado, mediante el uso de una solución SSPM. Un SSPM, como Adaptive Shield, ayuda a las organizaciones a protegerse contra la pérdida de datos al identificar qué recursos se comparten públicamente y están en riesgo. También puede identificar los recursos que se comparten sin fecha de caducidad o que están configurados para permitir que los invitados compartan el elemento. Una vez que el equipo de seguridad es consciente de la superficie de ataque, puede remediar y asegurar el enlace según sea necesario.
