El hecho de que una herramienta se llame a sí misma Secure File Transfer no lo hace así. Muchas de las llamadas soluciones seguras son, de hecho, solo parcialmente seguras, y a veces apenas seguras. Entonces, ¿cuáles son los mejores métodos para transferir archivos de forma segura?
Hay muchas soluciones de transferencia de archivos que no necesariamente necesitan ser seguras: si tiene mucho cuidado y nunca envía o recibe ningún archivo que tenga algún tipo de información confidencial o personal, entonces algo como DropBox probablemente esté bien. Pero cuando lo piensas, eso limita en gran medida lo que puedes enviar. Además, no siempre sabes lo que los hackers encuentran útil. Solo piense en toda la información que pueden recopilar de nuestras cuentas de redes sociales. ¿Quién sabe lo que encontrarán de valor en sus archivos, o en los de su empresa?
Si tiene una solución de transferencia de archivos que cree que es segura y necesita que sea segura, probablemente debería hacerse algunas preguntas reveladoras. Este blog lo guiará a través de los principales enfoques para la transferencia de archivos y discutirá los problemas de seguridad involucrados con cada uno. Al final presentaremos un software de transferencia segura de archivos totalmente seguro y fácil de usar. Y en realidad, en lugar de mantenerlo esperando, le diremos ahora mismo que este enfoque se llama Managed File Transfer (MFT), y es un enfoque decididamente seguro y disciplinado para las necesidades de transferencia de archivos ad hoc y a escala empresarial.
EDI, aunque seguro, no es la respuesta
Estamos comenzando con una solución que es segura, pero inmensamente difícil de configurar, costosa y solo puede transferir una pequeña parte de los datos y archivos que su empresa y usted como usuario final pueden necesitar enviar.
Secure File Transfer ciertamente no es nuevo y las principales empresas, especialmente aquellas que caen bajo las regulaciones de cumplimiento, han tenido sus diferentes enfoques durante muchos años. Para la mayor de las empresas con muchos socios, el intercambio electrónico de datos (EDI) ha sido la respuesta. Esta tecnología de larga data ha sido clave para compartir elementos como facturas con socios comerciales. EDI puede manejar grandes volúmenes con muchos socios y está orientado en gran medida a las transacciones.
EDI resuelve un conjunto diferente de problemas que las soluciones de Secure File Transfer. Pero lo que los intercambios EDI no son realmente archivos per se. Los archivos son diferentes. Los archivos no son transacciones, sino piezas más grandes de contenido, que pueden venir en una variedad de formatos, como documentos de Word, hojas de cálculo, PDF, registros de bases de datos y todo tipo de datos no estructurados, incluidos archivos de imagen. Son estos datos no estructurados con los que EDI lucha y falla en la seguridad. De hecho, los expertos creen que EDI, limitado a transportar solo datos estructurados, maneja solo el 20% de los datos que las empresas necesitan compartir, dejando el otro 80% en manos de soluciones de transferencia segura de archivos y otras herramientas.
EDI también requiere que los socios comerciales acuerden un formato de datos. En muchos casos, el socio comercial no admite un formato en particular, por lo que requiere traducción. Aquí es donde entra en juego una solución de transferencia de archivos administrada (MFT) como MOVEit de Progress. MOVEit puede manejar estas traducciones e incorporar las transferencias de archivos en la solución y los flujos de trabajo de MOVEit Managed File Transfer.
Así que ahora me tienes. Pero aún no he definido qué es Managed File Transfer. Como su nombre lo indica, Managed File Transfer es un método de transporte y transferencia de archivos y documentos de muchos tipos. A diferencia de las soluciones de bajo nivel como Dropbox, las soluciones de transferencia de archivos administrados pueden incluir automatización para facilitar la transferencia de un gran volumen de archivos, auditoría para rastrear si los archivos se han enviado con éxito y seguridad para que los archivos no se alteren o se vean comprometidos. Más información sobre la transferencia de archivos administrada más adelante. Mucho más.
Otra forma incorrecta (e insegura) de transferir archivos
Correo electrónico: Comencemos con quizás la forma más común de transferir archivos: el correo electrónico antiguo. Los archivos adjuntos de correo electrónico facilitaron la vida de las imágenes de su recién nacido, y para otra información no confidencial todavía funciona bien. Los ciberdelincuentes no son exactamente jonesin para las fotos del pequeño Johnny. Pero cuando el archivo adjunto contiene finanzas de la empresa no anunciadas, el correo electrónico simplemente no lo corta.
Al mismo tiempo, el correo electrónico no siempre es confiable. ¿Cuántas veces se ha recuperado su mensaje o se ha atascado en la carpeta de correo no deseado? ¿Qué pasa si te claves la dirección equivocada? Ahora alguien que ni siquiera conoces tiene esas finanzas de la compañía no anunciadas y bien puede enviarlas a la competencia. Un correo electrónico para transferencias de archivos no es escalable en absoluto, y en estos días cada vez más clientes de correo electrónico tienen limitaciones de tamaño de archivo, por lo que no puede enviar archivos más grandes de todos modos. ¿Y cómo se asegura de que su correo electrónico y el archivo adjunto vayan al destinatario? ¿Realmente confía en los recibos de devolución? ¿Cuándo fue la última vez que funcionó?
Unidades de memoria USB y discos: Vamos a retroceder en el tiempo y hablar sobre el uso de unidades de memoria USB e incluso discos para transportar archivos. Te estás preguntando en qué siglo estoy, pero la verdad es que algunas personas todavía usan este método de transporte físico para transferir archivos, y es muy aterrador e inseguro. Casi ninguna unidad de memoria USB está protegida y encriptada, y cualquiera que esté en la vuelta puede verlo todo. Peor aún, las unidades USB siguen siendo un portador de virus común. ¿Quieres un poco de ransomware con ese archivo? Supongo que nadie en su empresa usa este enfoque, ¡pero si lo hacen, detenerse de inmediato!
Sincronización y uso compartido de archivos: hay dos tipos de sincronización y uso compartido de archivos: clase empresarial y nivel de consumidor. A menudo, estas son la misma solución, con una gratuita y con límites de almacenamiento, y la otra pagada con más almacenamiento y un poco (solo un poco) más de seguridad.
Hay muchas cuestiones y preocupaciones aquí. En primer lugar, la autenticación es a menudo rudimentaria y fácil de hackear, siendo la autenticación multifactor la excepción en lugar de la regla. La noción de que estos sistemas se sincronizan entre los dispositivos del usuario final es otro agujero de seguridad. Si un iPhone se sincroniza con Dropbox o Google Drive, cualquiera que agarre ese teléfono puede ver los archivos.
No me malinterpretes, estas son excelentes soluciones para tipos comunes de intercambio de archivos y los datos no críticos se pueden intercambiar de esta manera sin mucha preocupación. Pero los datos críticos, los datos confidenciales y los datos cubiertos por las reglas de cumplimiento nunca deben enviarse de esta manera.
Protocolo de transferencia de archivos (FTP): Cuando hablamos de términos como EDI y FTP, pronto se da cuenta de que las soluciones y tecnologías de transferencia de archivos han existido por un tiempo, décadas de hecho. FTP coincide con esa definición. Durante mucho tiempo ha sido una forma en que TI, los usuarios avanzados y la gente de la línea de negocios mueven archivos grandes de una manera que creen que es segura. Ha sido una tecnología excelente y todavía tiene sentido para una gran cantidad de casos de uso. Pero Secure File Transfer no es uno de ellos.
FTP no mide la seguridad y no es recomendable para datos confidenciales y cualquier cosa que caiga bajo las reglas de cumplimiento. Hay otras graves deficiencias de FTP. Cuando necesita mover muchos archivos, TI a menudo se basa en scripts para automatizar el proceso. Los guiones vienen con sus propias complicaciones. Primero, alguien debe escribir los scripts, lo que lleva tiempo, y alguien debe probar el script para asegurarse de que funcione según lo previsto. Pero los guiones son complicados de manejar y, a menudo, solo los entiende la persona que los escribió, y ¿qué sucede si abandonan su empresa?
Y aunque los scripts ofrecen un bajo nivel de automatización, realmente no está a la altura del volumen de archivos que su empresa necesita enviar o los diferentes tipos de transferencias que probablemente necesite. En resumen, FTP es difícil de asegurar, difícil de automatizar y no puede rastrear y auditar adecuadamente sus transferencias de archivos.
La peor situación es tener una amplia gama de métodos de transferencia de archivos. Aquí, las copias de los archivos se guardan por todas partes sin supervisión central ni seguridad. Es un desastre a la espera de suceder.
¿Qué es realmente Secure File Transfer? La respuesta de transferencia de archivos administrada (MFT)
Para ser seguro, una transferencia de archivos debe estar completamente protegida, lo que significa que está encriptada en reposo y que la transferencia en sí se rastrea para garantizar que haya ocurrido correctamente. Además, cualquier persona que acceda al sistema de transferencia de archivos debe autenticarse, preferiblemente a través de la autenticación multifactor. Mencionamos el seguimiento, y esto debe llevarse a un nivel superior donde todas sus transferencias de archivos se auditan y registran para que haya un registro completo de todos los movimientos y cualquier problema relacionado con estas transferencias.
Estos problemas son exactamente la razón por la que se inventó la tecnología de transferencia de archivos administrados (MFT) en primer lugar. De hecho, acabamos de definir en gran medida qué es una solución MFT: es todo lo anterior.
Con todos estos atributos, MFT puede reemplazar todos o la mayoría de los métodos que utiliza hoy en día para transferir archivos. Su solución automatizada única, segura y manejable con un solo panel de vidrio para ver todas las actividades reduce en gran medida el riesgo de que las transferencias de archivos se equivoquen. Al mismo tiempo, sus usuarios finales y TI son más productivos a través de la automatización y ese único panel de vidrio, creando un retorno de la inversión (ROI) positivo en comparación con el uso de una variedad de soluciones de transferencia diferentes y generalmente inseguras y problemáticas.
La necesidad de cifrar no siempre se cumple
Muchas de las herramientas de transferencia de archivos "seguras" reclaman seguridad porque no están completamente abiertas, lo que requiere que se configure una cuenta y una contraseña para acceder a ellas. Eso es como decir que sus joyas son seguras porque hay una sola cerradura en la puerta, pero la ventana está abierta. Sin MFA, casi cualquier cosa puede ser pirateada, y así es con estas ofertas supuestamente seguras.
Sus datos deben estar protegidos incluso si un ciberdelincuente invade el sistema de transferencia de archivos, y la única forma de hacerlo es asegurando los datos en sí mismos a través del cifrado de datos.
Incluso las soluciones de TI protegidas de otra manera, como las bases de datos detrás de un firewall con acceso restringido del usuario final, pueden ser violadas cuando esos archivos de base de datos salen del DBMS y se exportan o transfieren. Esto puede suceder durante la transferencia o cuando el archivo se mueve, digamos a un servidor, y está en reposo allí.
Un buen software MFT como MOVEit Transfer siempre puede cifrar fuertemente los datos.
FTP con esteroides - Sumergirse en MOVEit Automation
Piense en el servidor MOVEit Transfer como un servidor FTP con esteroides. Al igual que con FTP, los archivos se entregan al sistema de transferencia de archivos administrados y los usuarios se conectan, cargan o descargan sus archivos. A diferencia de FTP, con MOVEit los archivos se cifran en reposo para garantizar la integridad de esos datos y asegurarse de que no se haya modificado nada.
Además, los usuarios deben autenticarse a través del servicio MOVEit o a través de un proveedor de identidad externo antes de acceder a cualquier dato. Eso permite a MOVEit producir un registro de auditoría a prueba de manipulaciones, para que sepa todo lo que sucedió con sus transferencias de archivos y que los registros vitales no se han alterado.
Managed File Transfer puede usar cualquier combinación de hosts como orígenes o destinos. Hay innumerables tipos de host a los que SE CONECTA MOVEit, pero los más grandes son los recursos compartidos de red internos, los sistemas FTP y SFTP externamente. SharePoint Online se está volviendo cada vez más común, por lo que es una opción, al igual que el almacenamiento de blobs o S3, esos tipos de fuentes.
Doug Barney
Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.