¿Qué es Secure File Transfer?

agosto 08, 2021 Seguridad y Cumplimiento, MOVEit

La transferencia segura de archivos es tan simple como suena, la transferencia segura de archivos. Pero las preguntas reales giran en torno a por qué necesita transferir archivos de forma segura, qué sucede si no lo hace y cómo diablos podemos hacerlo correctamente.

Afortunadamente, este blog no se trata de responder qué es Secure File Transfer en un nivel tan simplista. En su lugar, hablaremos sobre cómo hacer que las transferencias de archivos sean seguras y abordaremos estas preguntas:

  • ¿Por qué necesita transferir archivos de forma segura?
  • ¿Qué sucede si no transfiere archivos de forma segura?
  • ¿Qué archivos deben transferirse de forma segura?
  • ¿Y cómo diablos lo hago?

¿Por qué necesita una transferencia segura de archivos?

La propiedad intelectual es el alma de las empresas innovadoras de hoy. Al mismo tiempo, la competencia es más feroz que nunca y a tus rivales les encantaría saber qué está pasando en tu empresa. Pero el mayor problema es que los ciberdelincuentes están creciendo en número y sofisticación. Muchos ciberataques, como el ransomware, se ofrecen como servicio para que en estos días cualquier maniquí pueda lanzar un ataque de ransomware exitoso o violar sus datos. Finalmente, la prevención de pérdida de datos (DLP) es un área clave porque los datos perdidos se pierden en última instancia en el negocio, y potencialmente están sujetos a multas masivas de cumplimiento y publicidad aplastante para el negocio.

Muchos datos a menudo corren el mayor riesgo cuando están en movimiento, como cuando se transfiere un archivo. Esta es la razón por la que Secure File Transfer es una necesidad absoluta para cualquier empresa consciente de la seguridad.

EDI no es la respuesta

Secure File Transfer ciertamente no es nuevo y las principales empresas, especialmente aquellas que caen bajo las regulaciones de cumplimiento, han tenido sus propios enfoques durante muchos años. Para las empresas más grandes con muchos socios, el intercambio electrónico de datos (EDI) ha sido la respuesta. Esta tecnología de larga data ha sido clave para compartir elementos como facturas con socios comerciales. EDI puede manejar grandes volúmenes con muchos socios, y ha estado orientado en gran medida a las transacciones. EDI resuelve un conjunto diferente de problemas que las soluciones de Secure File Transfer. De hecho, lo que los intercambios EDI no son realmente archivos per se.

Los archivos son diferentes. Los archivos no son transacciones, sino piezas más grandes de contenido, que pueden venir en una variedad de formatos, como documentos de Word, hojas de cálculo, PDF, registros de bases de datos y todo tipo de datos no estructurados, incluidos archivos de imagen. Son estos datos no estructurados con los que EDI lucha y falla en la seguridad. De hecho, los expertos creen que EDI, limitado a transportar solo datos estructurados, maneja solo el 20% de los datos que las empresas necesitan compartir, dejando el otro 80% en manos de soluciones de transferencia segura de archivos y otras herramientas.

EDI también requiere que los socios comerciales acuerden un formato de datos. En muchos casos, el socio comercial no admite un formato en particular, por lo que requiere traducción. Aquí es donde entra en juego una solución de transferencia de archivos administrada (MFT) como MOVEit de Progress. MOVEit puede manejar estas traducciones e incorporar las transferencias de archivos en la solución MOVEit MFT y los flujos de trabajo.

Así que ahora me tienes. Pero aún no hemos definido qué es Managed File Transfer (MFT). Como su nombre lo indica, MFT es un método de transporte y transferencia de archivos y documentos de muchos tipos. A diferencia de las soluciones de bajo nivel como Dropbox, las soluciones MFT pueden incluir automatización para facilitar la transferencia de un gran volumen de archivos, auditoría para rastrear si los archivos se han enviado con éxito y seguridad para que los archivos no sean manipulados o comprometidos. Más sobre MFT más adelante.

Otra forma incorrecta (e insegura) de transferir archivos

Correo electrónico: Comencemos con quizás la forma más común de transferir archivos: el correo electrónico antiguo. Los archivos adjuntos de correo electrónico una vez hicieron la vida más fácil, y para las fotos de su recién nacido, todavía funciona bien. Pero los ciberdelincuentes no son exactamente jonesin para las fotos del pequeño Johnny. Pero cuando el archivo adjunto contiene finanzas de la compañía no anunciadas, el correo electrónico simplemente no puede cortarlo.

Al mismo tiempo, el correo electrónico no siempre es confiable. ¿Cuántas veces ha rebotado su mensaje o se ha atascado en la carpeta de correo no deseado? ¿Qué pasa si ingresa la dirección incorrecta? Ahora alguien que ni siquiera conoces tiene esas finanzas de la compañía no anunciadas y bien puede enviarlas a la competencia. Un correo electrónico para transferencias de archivos no es escalable en absoluto, y en estos días cada vez más clientes de correo electrónico tienen limitaciones de tamaño de archivo, por lo que no puede enviar archivos más grandes de todos modos. ¿Y cómo se asegura de que su correo electrónico y el archivo adjunto lleguen al destinatario? ¿Realmente confía en los recibos de devolución? ¿Cuándo fue la última vez que funcionó?

Unidades de memoria USB y discos: Vamos a retroceder mucho en el tiempo y hablar sobre el uso de unidades USB e incluso discos para transportar archivos. Te estás preguntando en qué siglo estoy, pero la verdad es que algunas personas todavía usan este método de transporte físico para transferir archivos, y es muy aterrador e inseguro. Casi ninguna unidad de memoria USB está protegida o encriptada, y cualquiera en cuyo regazo caiga puede verlo todo. Peor aún, las unidades USB siguen siendo un portador de virus común. ¿Quieres un poco de ransomware con ese archivo? Supongo que nadie en su empresa utiliza este enfoque, pero si lo hacen, ¡haz que se detengan de inmediato!

Sincronización y uso compartido de archivos: Hay dos tipos de sincronización y uso compartido de archivos: clase empresarial y nivel de consumidor. A menudo, estas son la misma solución: una gratuita y con límites de almacenamiento, la otra pagada con más almacenamiento y un poco(solo un poco) más de seguridad.

Hay muchas cuestiones y preocupaciones aquí. En primer lugar, la autenticación es a menudo rudimentaria y fácil de hackear, siendo la autenticación multifactor la excepción en lugar de la regla. La noción de que estos sistemas se sincronizan entre los dispositivos del usuario final es otro agujero de seguridad. Si un iPhone se sincroniza con Dropbox o Google Drive, cualquiera que agarre ese teléfono puede ver los archivos.

No me malinterpretes, estas son excelentes soluciones para los tipos comunes de intercambio de archivos, y los datos no críticos se pueden intercambiar de esta manera sin mucha preocupación. Pero los datos críticos, los datos confidenciales y los datos cubiertos por las reglas de cumplimiento nunca deben establecerse de esta manera.

Protocolo de transferencia de archivos (FTP): Cuando hablamos de términos como ETI y FTP,te das cuenta de que las soluciones y tecnologías de transferencia de archivos han existido por un tiempo, décadas de hecho. FTP coincide con esa definición y ha sido durante mucho tiempo una forma en que TI, usuarios avanzados y empresarios mueven archivos grandes de una manera que creen que es segura. Ha sido una tecnología excelente y todavía tiene sentido para una gran cantidad de casos de uso. Es solo que Secure File Transfer no es uno de ellos.

FTP no mide la seguridad y no es recomendable para datos confidenciales o cualquier cosa que caiga bajo las reglas de cumplimiento. Hay otras graves deficiencias de FTP. Cuando necesita mover muchos archivos, TI a menudo se basa en scripts para automatizar el proceso. Los guiones vienen con sus propias complicaciones. Primero, alguien debe escribir los scripts, lo que lleva tiempo, y alguien debe probar el script para asegurarse de que funcione según lo previsto. Pero los guiones son complicados de administrar y muy a menudo solo son entendidos por la persona que los escribió: ¿qué sucede si esa persona deja su empresa?

Si bien los scripts ofrecen un bajo nivel de automatización, realmente no está a la altura del volumen de archivos que su empresa necesita enviar o los diferentes tipos de transferencias que probablemente necesite. En resumen, FTP es difícil de asegurar, difícil de automatizar y no puede rastrear y auditar adecuadamente sus transferencias de archivos.

La peor situación es tener una amplia gama de métodos para transferir archivos. Aquí, las copias de los archivos se guardan por todas partes sin supervisión central ni seguridad. Es un desastre a la espera de suceder.

¿Qué es realmente Secure File Transfer? La respuesta de MFT

Para ser seguro, una transferencia de archivos debe estar completamente protegida, lo que significa que está encriptada en reposo y que la transferencia en sí se rastrea para garantizar que haya ocurrido correctamente. Además, cualquier persona que acceda al sistema de transferencia de archivos debe autenticarse, preferiblemente a través de la autenticación multifactor. Mencionamos el seguimiento, y esto debe llevarse a un nivel superior donde todas sus transferencias de archivos se auditan y registran para que haya un registro completo de todos los movimientos y cualquier problema relacionado con estas transferencias.

Estos problemas son exactamente la razón por la que se inventó la tecnología de transferencia de archivos administrados (MFT) en primer lugar. De hecho, acabamos de definir en gran medida qué es una solución MFT, es todo lo anterior.

Con todos estos atributos, MFT puede reemplazar todos o la mayoría de los métodos que utiliza hoy en día para transferir archivos. Es una solución automatizada única, segura y manejable con un solo panel de vidrio para ver todas las actividades, lo que reduce en gran medida el riesgo de que las transferencias de archivos salgan mal. Al mismo tiempo, sus usuarios finales y TI son más productivos a través de la automatización y ese único panel de vidrio, creando un retorno de la inversión (ROI) positivo en comparación con el uso de una variedad de diferentes y generalmente inseguros y problemáticos

soluciones de transferencia.

La necesidad de cifrar no siempre se cumple

Muchas de las herramientas de transferencia de archivos "seguras" reclaman seguridad porque no están completamente abiertas, lo que requiere que se configure una cuenta y una contraseña para acceder a ellas. Eso es como decir que sus joyas son seguras porque hay una sola cerradura en la puerta, pero la ventana está abierta. Sin MFA, casi cualquier cosa puede ser pirateada, y así es con estas ofertas supuestamente seguras.

Sus datos deben estar protegidos incluso si un ciberdelincuente invade el sistema de transferencia de archivos, y la única forma de hacerlo es asegurando los datos en sí mismos a través del cifrado.

Incluso las soluciones de TI protegidas de otra manera, como las bases de datos detrás de un firewall con acceso restringido del usuario final, pueden ser violadas cuando esos archivos de base de datos salen del DBMS y se exportan o transfieren. Esto puede suceder durante la transferencia o cuando el archivo se mueve, digamos a un servidor, y está en reposo allí.

Las buenas soluciones MFT siempre pueden cifrar datos.

Obtenga más información sobre MOVEit Managed File Transfer u obtenga una prueba gratuita.

Doug Barney

Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.

Read next Transferencia de Archivos Administrada (MFT) frente al Protocolo de Transferencia de Archivos (FTP)