¿Por qué Docs.com es un riesgo para la seguridad de su empresa?

Aunque Microsoft no ha respondido, medios han expuesto a Docs.com como poco privado, Trabajar con los usuarios su seguridad es esencial para el CIO.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

¿Cuánta gente que trabaja en su compañía cree que sepa que si carga información confidencial de la compañía o privada en Docs.com comparte peligrosamente archivos e información con el mundo?

Es la opción predeterminada. Pero eso no ha impedido que la gente cargue sus estados de cuenta bancarios.

Sabemos que, seguramente, ha diseñado una cuidadosa política de aplicaciones permitidas o no en su compañía y en los equipos CYOD de la misma pues esta práctica es más segura que el BYOD.

Pero, probablemente no cuenta con un inventario privado de todas las apps que usa el personal.

Y esto no debería ser así en lo que se refiere a quienes manejan información sensible.

Cuando la vida personal no se queda en casa

Si alguno de sus líderes, jefes o gerentes maneja “en sus equipos personales” Docs.com es probable que algún documento de su compañía termine en esta aplicación. A menos que le informe en forma precisa de los riesgos.

Microsoft establece todos los documentos cargados en el sitio de intercambio de documentos como públicos de forma predeterminada.

Esto significa que cualquiera puede buscar en Docs.com información personal confidencial que no se establezca manualmente como privada.

Y si quiere convencerlo de los riesgos, dígale que haga una búsqueda. Probablemente encontrará números de seguro social, de identificación de seguro de salud, registros bancarios, solicitudes de empleo, detalles de contacto personal, correspondencia legal y números de licencia de conducir. Mínimo.

Durante un breve periodo de tiempo, Microsoft eliminó la función de búsqueda del sitio de Docs.com, pero la funcionalidad está de vuelta.

Distintos medios han usado técnicas básicas de búsqueda para detectar numerosos documentos que contenían datos extremadamente personales, encontrando información más que suficiente en muchos de los documentos para exponer a los usuarios a robos de identidad y ataques de ingeniería social.

Compartiendo su trabajo con el mundo

El lema de Docs.com es “Comparta su trabajo con el mundo”. Es una manera de poner documentos de Office en la web sin alojarlos en su propio sitio web.

Como tal, los archivos se establecen como públicos de forma predeterminada, aunque puede ajustar la configuración de privacidad DE CADA documento.

La mayoría de los servicios de documentos y productividad en línea, como Microsoft Office Online y Google Docs, mantienen los archivos privados de forma predeterminada, lo cual hace necesario que usted autorice explícitamente aquellos documentos que desee publicar.

Por eso decimos que esta es una falla de diseño de Microsoft. Una, además, perfectamente corregible.

Veamos el proceso actual:

  • La configuración de “visibilidad” que informa a los usuarios de sus documentos serán públicos requiere que los usuarios se desplacen lejos en la columna de navegación de la izquierda durante el proceso de carga.
  • Hay pocas razones para desplazarse hacia abajo, sin embargo, ya que el botón Guardar está visible inmediatamente.
  • Cuando va a hacer esto, en el escrito, Microsoft coloca un cuadro de advertencia después de hacer clic en Guardar, dejando que los usuarios sepan que cualquier información que suben será pública.
  • Pero el cuadro de advertencia se encuentra en la misma columna que el botón Guardar y muchos usuarios probablemente haga clic en Guardar una segunda vez sin leerlo.

Ninguna precaución es suficiente

Como hemos dicho anteriormente, si alguien de su equipo o del cuadro de dirección de su compañía está utilizando Docs.com en todos los documentos, recomiéndele que compruebe lo que tiene allí y elimine cualquier cosa con información personal.

También insista en que es una mala idea guardar documentos con información personal en cualquier servicio en línea, ya sea Docs.com, Google Docs o servicios de almacenamiento en la nube como Dropbox o OneDrive.

Finalmente, recomiende que, si tiene que subir información personal, entonces también deberá aprender a utilizar el cifrado fuerte para sus documentos antes de ponerlos en línea.

De esta forma, si los hackers acceden a esa cuentas, no podrán leer sus datos personales. Repita hasta la ronquera que es preferible usar las nubes de la compañía (que son más seguras) para trabajar fuera de la oficina y, además, lo conectan con sus equipos de trabajo, ahorran tiempo, etc. Para eso están.

Además, es por seguridad. Quizás no sea suficiente pero evangelizar siempre deja algo. Siga insistiendo.