Header Ads Widget

Ticker

6/recent/ticker-posts

¿El uso compartido de carpetas de iCloud de Apple es un problema de TI en la sombra?

Apple se está preparando para introducir iCloud Folder Sharing en sus plataformas Mac e iOS. Esta es una gran bendición para la colaboración, pero ¿es segura?


Después de un largo retraso, Apple se está preparando para introducir iCloud Folder Sharing en sus plataformas Mac e iOS. Parece que es una gran bendición para la colaboración, pero ¿es seguro?

¿Qué es el uso compartido de carpetas de iCloud?
El uso compartido de carpetas de iCloud se anunció por primera vez en la WWDC 2019, pero se retrasó hasta que... bueno, en la actualidad todavía está retrasado y solo recientemente estuvo disponible dentro de las últimas versiones beta para desarrolladores de iOS y macOS. Lo que significa que debería estar en camino.

Probablemente.

Entonces, ¿cómo funciona? Es similar al uso compartido de archivos de iCloud, excepto que puede definir carpetas compartidas y archivos compartidos.

En uso, puede optar por hacer posible compartir una carpeta con cualquier persona que tenga un enlace específico u optar por limitar el acceso únicamente a las partes nombradas. También puede elegir si las personas con las que comparte elementos pueden editarlos o simplemente echar un vistazo.

Es razonable asumir que estos elementos / carpetas también estarán disponibles para quienes usen iCloud para Windows. También se mejoró recientemente la compatibilidad con dispositivos móviles en otras plataformas.

Un poco.


En teoría, iCloud Folder Sharing significa que Apple ahora ofrece una herramienta relativamente multiplataforma con la que los equipos pueden compartir y colaborar en proyectos, aunque no es tan fluida, rica en funciones o compatible multiplataforma como Dropbox o Box.

Su empresa ya usa iCloud
La cuestión es que, con decenas de millones de usuarios de iPhone y Mac en el mercado empresarial, parece bastante claro que la mayoría de sus empleados probablemente ya estén usando iCloud. La nueva función solo hace que sea más probable que la usen más, incluso para colaborar en proyectos. Después de todo, uno de los grandes beneficios del servicio es que es tan fácil de usar como cualquier otra cosa que haga Apple, y la facilidad de uso es uno de los grandes impulsores de Shadow IT.

Ahí es donde iCloud puede convertirse en un problema mayor para los jefes de seguridad empresarial que intentan manejar el desafío del uso no autorizado de aplicaciones por parte de sus empleados móviles.

iCloud y cifrado
Por supuesto, es cierto decir que iCloud es un sistema relativamente seguro. Los dispositivos Mac e iOS no solo son mucho más seguros que cualquier otra plataforma (aunque ninguna plataforma es perfecta), sino que la autenticación de dos factores de iCloud (2FA), la integración profunda de la plataforma y la forma en que el cifrado protege la información a medida que se transmite hacia y desde el Todos los servicios brindan una buena protección.

El problema con iCloud es (y siempre es) el usuario.

Si bien es posible proteger su iCloud con códigos de acceso alfanuméricos complejos, la mayoría de las personas simplemente no lo hacen. De hecho, recuerdo haber leído un informe reciente que afirma que alrededor de un tercio de los usuarios de iCloud aún no han habilitado 2FA en sus sistemas.

Eso depende de ellos, supongo, pero cuando un usuario de iCloud altamente seguro con contraseñas complejas y 2FA habilitado elige compartir documentos relacionados con la empresa altamente confidenciales dentro de una carpeta con otro usuario, ¿cómo van a saber qué tan bien asegurado el acceso a iCloud de ese otro usuario? ¿en realidad es?

No lo hacen.

Este es un problema que los equipos de seguridad empresarial deberán abordar con bastante rapidez ahora que sabemos que se acerca el uso compartido de carpetas de iCloud.

Actualice la política de seguridad empresarial hoy
Estoy seguro de que algunas empresas pueden prohibir el uso de iCloud, al igual que muchas ya intentan prohibir el uso de cualquier servicio de documentos basado en la nube para consumidores. Pero no creo que las prohibiciones funcionen, solo crean una cultura de culpa en la que los empleados se muestran reacios a buscar ayuda cuando las cosas van mal.

Parece mucho más sensato asumir que se utilizarán estas cosas y tomar medidas para gestionarlo, en lugar de emitir memos concisos que prohíben los servicios, usted, como jefe del departamento, probablemente también esté haciendo uso de usted mismo.

Lo que sí funciona es la política.

En este caso, parece sensato que los jefes de seguridad empresarial aconsejen a los empleados que eligen usar iCloud para el trabajo que protejan su cuenta con complejas contraseñas alfanuméricas. 

Esa no es la única protección que debe implementarse. Se debe alentar a los empleados a usar 2FA y mantener sus dispositivos actualizados (a menos que usted los controle con una solución MDM).

Este es el por qué. Las páginas de seguridad de iCloud de Apple nos dicen :

“ICloud protege su información cifrándola cuando está en tránsito, almacenándola en iCloud en un formato cifrado y utilizando tokens seguros para la autenticación. Para cierta información confidencial, Apple utiliza un cifrado de extremo a extremo. Esto significa que solo usted puede acceder a su información y solo en los dispositivos en los que haya iniciado sesión en iCloud. Nadie más, ni siquiera Apple, puede acceder a información cifrada de extremo a extremo ".

La cuestión es, y esto es importante, para que el cifrado de extremo a extremo funcione, es necesario que la  autenticación de dos factores  esté activada para el ID de Apple.

La diferencia entre cómo Apple protege su información en iCloud y en su dispositivo es el cifrado. Los datos de iCloud Drive están protegidos por "un mínimo de cifrado AES de 128 bits", según Apple.

Supongo que es bastante fuerte, pero puede que no sea tan seguro como lo que define en su política de seguridad, y es importante tener en cuenta que los datos almacenados en la unidad no están protegidos por cifrado de extremo a extremo mientras están allí, aunque sí están cifrados. En tránsito.

Si desea que los datos se mantengan de forma segura en sus unidades o en las de sus empleados, tiene sentido cifrar esa información antes de cargarla. Si bien esto agrega fricción al proceso de uso compartido / colaboración, también significa que los datos confidenciales de su empresa (o su información personal) tienen una mejor protección.

( Buscaré buenas soluciones de cifrado para esta tarea en las próximas semanas, así que síganme en las redes sociales para saber lo que descubro).

También puede implementar soluciones MDM como Jamf para controlar iCloud y el acceso a los datos en su red. Aunque la mejor protección siempre será ofrecer espacios de colaboración seguros aprobados que sean tan fáciles de usar como iCloud o cualquier otro servicio para el consumidor.

Pensamientos finales
Incluso con toda la protección implementada: políticas, herramientas de colaboración aprobadas, incluso seguridad de dispositivos periféricos, la verdad incómoda es que los datos se perderán, los empleados con servicios al consumidor mal protegidos como iCloud usarán esos servicios y surgirán problemas de seguridad.

Por eso es tan importante asegurarse de que todos en su organización se sientan lo suficientemente protegidos como para que, en caso de que algo salga mal, no pierdan el tiempo antes de informar a la seguridad de TI que existe un problema. Porque no saber que existe un problema suele ser un problema mayor que el problema en sí.

Resumiendo: los empleados usarán iCloud Drive, ya lo hacen y ahora lo usarán para colaborar en algunas tareas. Se les debe animar a:

  • Utilice 2FA.
  • Utilice contraseñas alfanuméricas complejas.
  • Mantenga el software actualizado.
  • Confirme que las personas con las que comparten datos son igualmente conscientes de la seguridad.
  • Cifre los datos antes de cargarlos al servicio.
  • Pida ayuda si las cosas salen mal.
Me interesaría escuchar cualquier otro buen consejo sobre este asunto.


Publicar un comentario

0 Comentarios