Soluciones para compartir archivos en la empresa: seguridad, control y colaboración.

Compartir archivos en la empresa parece sencillo: hacer llegar los archivos correctos a las personas adecuadas, rápidamente. En realidad, es donde la colaboración, la seguridad y el cumplimiento normativo chocan.

Las herramientas básicas para el consumidor pueden servir para compartir información de forma puntual. Pero cuando se trata de datos confidenciales, equipos multifuncionales, socios externos y requisitos de gobernanza reales, el simple hecho de "enviarme un enlace" empieza a desmoronarse y puede causar serios problemas de cumplimiento normativo.

En esta guía, aprenderá qué es el uso compartido de archivos empresariales, qué buscar en las soluciones de uso compartido de archivos empresariales y cómo el departamento de TI puede mantener el control, evitando al mismo tiempo que el uso compartido de archivos se convierta en una tarea diaria que genere incidencias de soporte técnico.

¿Qué es el intercambio de archivos empresariales?

El uso compartido de archivos empresariales es la forma segura y gestionada en que una organización comparte archivos interna y externamente. Normalmente incluye características como:

• Controles de acceso:configuración sobre quién puede ver, comentar, editar, descargar o compartir.
• Administración centralizada:formas de aplicar políticas a través de usuarios y grupos.
• Auditorías e informes:registros de quién compartió qué, con quién y cuándo.
• Medidas de seguridad,como autenticación, cifrado, controles de dispositivos y otras.
• Soporte de cumplimiento:controles para ayudar en la retención, la retención legal y la evidencia de garantía del proveedor.

Para un equipo pequeño, el intercambio básico de archivos para usuarios domésticos podría funcionar. Sin embargo, el intercambio de archivos empresariales es más adecuado para equipos grandes que necesitan soporte en cuanto a escalabilidad, gobernanza y gestión de riesgos.

¿Cuál es la diferencia entre compartir archivos y colaborar?

La gente usa estos términos indistintamente, pero no son exactamente lo mismo:

• Compartir archivos se trata de acceso y distribución:darle a alguien la capacidad de ver, descargar o editar un archivo.
• La colaboración es lo que sucede después de que se otorga el acceso:ciclos de retroalimentación, gestión de versiones, traspaso de tareas y mantener el trabajo en marcha sin confusiones.

Aquí tienes un desglose de las tareas comunes y la definición a la que pertenecen, que puedes usar como referencia rápida para diferenciarlas:

Compartir un archivo o carpeta con otros

• Compartir archivos: Sí
• Colaboración: A veces
• Soluciones de intercambio de archivos empresariales: Sí

Configurar permisos de acceso (ver/editar)

• Compartir archivos: A veces
• Colaboración: Sí
• Soluciones de uso compartido de archivos empresariales: Sí, con controles de políticas.

Seguimiento de versiones y cambios

• Compartir archivos: Rara vez
• Colaboración: Sí
• Soluciones de intercambio de archivos empresariales: Sí, a menudo con una gobernanza más sólida.

Comenta, solicita comentarios, resuelve ediciones.

• Compartir archivos: No
• Colaboración: Sí
• Soluciones de intercambio de archivos empresariales: Sí

Informes administrativos y registros de auditoría

• Compartir archivos: No
• Colaboración: No
• Soluciones de intercambio de archivos empresariales: Sí

Políticas de todo el equipo para compartir información externamente

• Compartir archivos: No
• Colaboración: No
• Soluciones de intercambio de archivos empresariales: Sí

Soporte para flujos de trabajo de cumplimiento

• Compartir archivos: No
• Colaboración: No
• Soluciones de intercambio de archivos empresariales: a menudo

Si su organización se pregunta cómo compartir archivos de forma segura y con rapidez, normalmente busca una solución para compartir archivos a nivel empresarial, no una simple transferencia de archivos.

Qué buscar en las soluciones de intercambio de archivos empresariales

Las mejores soluciones empresariales para compartir archivos no te obligan a elegir entre seguridad y facilidad de uso. Permiten que los equipos se muevan rápidamente dentro de límites claramente definidos. Al comparar proveedores, busque capacidades en las siguientes categorías:

Controles de seguridad y acceso

• Opciones de autenticación robusta (SSO, MFA)
• Permisos basados ​​en roles y acceso con privilegios mínimos
• Controles de enlace, como caducidad, contraseñas, restricciones de descarga y requisitos de inicio de sesión.

Gobernanza administrativa

• Consola de administración central para políticas y gestión de usuarios.
• Registros de auditoría e informes
• Capacidad para gestionar el uso compartido externo, incluidos los controles de dominio.

Soporte de cumplimiento

• Controles de retención y eliminación de datos
• Flujos de trabajo compatibles con retención legal o eDiscovery, según sus necesidades.
• Documentación que puede entregar a los auditores, no solo afirmaciones de marketing.

Flujos de trabajo de colaboración

• Control de versiones claro y funciones de recuperación de archivos
• Funciones de comentarios y anotaciones para revisar la retroalimentación en contexto.
• Formas sencillas de solicitar archivos a socios externos sin abrir brechas de seguridad.

Ajuste empresarial

• Integraciones que se ajustan a su pila de identidad y seguridad.
• Escalabilidad entre departamentos y regiones geográficas
• Funcionalidades de adopción que ayudan a los equipos a realizar la transición sin problemas.

Dropbox ofrece soporte para el intercambio de archivos y la colaboración empresarial en un solo lugar, con controles de uso compartido y herramientas de colaboración diseñadas para agilizar el trabajo al tiempo que brindan a los administradores formas de establecer políticas y mantener la supervisión. Obtén más información sobre la colaboración de contenido en Dropbox.

¿Cómo puede el departamento de TI supervisar y auditar las actividades de intercambio de archivos entre usuarios?

Si no puedes ver cómo se comparten los archivos, no puedes gestionar el riesgo. La monitorización y la auditoría son uno de los elementos que más diferencian las herramientas de consumo de las soluciones de intercambio de archivos empresariales.

Así es como se ven unas buenas capacidades de monitorización en un entorno empresarial:

• Registros de auditoría centralizados que rastrean eventos clave como el acceso a archivos, las acciones de uso compartido, los cambios de permisos y la actividad de los enlaces.
• Visibilidad de usuarios y contenido, para que los administradores puedan responder preguntas como:
  • ¿Quién compartió este archivo externamente?
  • ¿Qué enlaces son públicos y cuáles restringidos?
  • ¿Qué carpetas se comparten fuera de la organización?
• Informes y exportación de datos para revisiones internas, investigaciones de seguridad y auditorías de cumplimiento.
• Alertas y señales de riesgo: así, el departamento de TI no tiene que leer los registros manualmente.
• Acciones administrativas para solucionar problemas rápidamente, como deshabilitar enlaces, revocar el acceso o actualizar permisos a gran escala.

Desde el punto de vista operativo, muchos equipos de TI establecen un ritmo sencillo:

1. Defina qué significa "compartir información de forma arriesgada" para su organización: enlaces públicos, dominios desconocidos, carpetas confidenciales, etc.
2. Supervise esas señales semanal o mensualmente.
3. Revise las excepciones con los responsables de cada departamento.
4. Estandarizar los pasos de remediación para que la solución de un problema sea predecible y rápida.

Aquí también resulta útil que su plataforma para compartir archivos esté diseñada para controles empresariales, y no que se le hayan añadido posteriormente.

Si estás creando un programa de monitoreo desde cero, comienza con las preguntas que tu equipo de seguridad ya formula después de los incidentes. Luego, elige las herramientas que te ayuden a responder esas preguntas rápidamente.

¿Cómo puedo restringir el uso compartido de archivos por dominio?

Las restricciones de dominio son una de las formas más prácticas de reducir la exposición accidental, especialmente cuando los equipos comparten información con proveedores, agencias, contratistas o clientes.

Dependiendo de la plataforma, restringir por dominio generalmente significa crear reglas en torno a:

• ¿Quién puede ser invitado a las carpetas compartidas?Permite incluir dominios de socios de confianza, bloquea dominios de correo electrónico personales o restringe el acceso a direcciones de correo electrónico corporativas.
• ¿Quién puede acceder a los enlaces compartidos?—requerir inicio de sesión, limitar el acceso a ciertos dominios o impedir el acceso anónimo.
• Donde se permite compartir—por ejemplo, permitir compartir externamente solo desde carpetas de equipo aprobadas—

Un enfoque eficaz consiste en combinar política y usabilidad. Este es un proceso típico para hacerlo:

1. Comience con una postura predeterminada: para muchas organizaciones, esta podría ser "el intercambio interno debe ser fácil y el intercambio externo está permitido, pero debe estar controlado".
2. Establezca reglas de dominio para las relaciones con socios comunes: si sus equipos trabajan habitualmente con una lista corta de dominios asociados, una lista de permitidos reduce la fricción y el riesgo.
3. Añadirmedidas de seguridad a los enlaces: exigir el inicio de sesión para los enlaces compartidos externamente y utilizar fechas de caducidad para las tareas con plazos definidos.
4. Defina un proceso para excepciones: Los equipos siempre tendrán casos excepcionales. Es importante que las excepciones sean rastreables y tengan un plazo limitado, en lugar de ser puntuales, lo que ayudará a reducir la dependencia de los equipos de soporte.

Si va a implementar esto, una prueba de fuego útil es determinar si un empleado con buenas intenciones puede compartir accidentalmente contenido confidencial con la dirección equivocada. Un control estricto de dominios y enlaces ayuda a prevenir ese escenario.

Aquí es donde destacan las soluciones de intercambio de archivos empresariales. Te proporcionan los controles de políticas, además de los informes que necesitas para aplicarlos sin ralentizar el negocio.

¿Qué certificaciones de seguridad debo buscar en el intercambio de archivos?

Las certificaciones no te dirán todo sobre la seguridad de un proveedor, pero sí te brindan una forma estandarizada de validar que existen controles de seguridad, que se prueban y que se auditan.

Estas son algunas certificaciones y acreditaciones comunes que debe buscar al evaluar herramientas empresariales:

• SOC 2 Tipo II:se centra en los controles a lo largo del tiempo, no solo en una instantánea puntual.
• ISO/IEC 27001— Sistema de gestión de la seguridad de la información
• ISO 27017 e ISO 27018:seguridad en la nube y protección de datos personales en la nube.
• ISO 27701:gestión de la información sobre privacidad, a menudo relevante si se manejan datos personales.
• CSA STAR:garantía de seguridad en la nube, que se utiliza a menudo junto con ISO/SOC.
• FedRAMP:más relevante para casos de uso gubernamentales y contratistas.

Tan importante como la etiqueta son los detalles. Cuando revises la documentación, pregúntate:

• ¿Cuál es el alcance? ¿Qué servicios y regiones abarca?
• ¿Qué tan reciente es el informe o la certificación?
• ¿Se han detectado excepciones y cuál es el plan de remediación?
• ¿Qué subprocesadores o terceros están incluidos?

Si su organización tiene necesidades regulatorias específicas, también deberá confirmar cómo la plataforma ofrece soporte adicional más allá de las certificaciones, como controles de retención, capacidad de auditoría y gobernanza de acceso.

Dropbox publica información sobre seguridad, privacidad y cumplimiento normativo como parte de una amplia gama de recursos de confianza, lo que puede ayudar a los equipos de compras y seguridad a revisar los requisitos con mayor facilidad.

¿Cuál es la mejor plataforma para compartir archivos cumpliendo con la normativa?

La mejor plataforma para compartir archivos que cumpla con la normativa es aquella que se adapta a sus obligaciones específicas de cumplimiento y las hace operativas en el día a día.

En lugar de empezar por los nombres de los proveedores, empiece por sus requisitos. Una solución de intercambio de archivos empresariales que cumpla con las normativas debe ser compatible con:

• Control de acceso claro y aplicaciónde políticas: configuración administrada por el administrador para el uso compartido externo, el acceso a enlaces y los permisos.
• Auditabilidad:registros e informes que pueden responder quién accedió o compartió el contenido y cuándo.
• Controles de retención y ciclo de vida:la capacidad de retener, eliminar o archivar contenido de forma que se ajuste a sus políticas.
• Colaboración segura con terceros:intercambio de información que no depende del reenvío de archivos adjuntos ni de cuentas personales no gestionadas.
• Integraciones de seguridad:compatibilidad con proveedores de identidad (SSO) y, cuando sea necesario, con herramientas de su conjunto de seguridad.

Una forma rápida de evaluar la preparación para el cumplimiento normativo es realizar una prueba de escenario simple, como por ejemplo:

• ¿Podemos compartir un archivo confidencial con un socio, limitar el acceso a las personas adecuadas y, posteriormente, demostrar lo sucedido?
• ¿Podemos revocar el acceso rápidamente si la relación cambia?
• ¿Podemos generar registros de auditoría y evidencia de políticas sin recurrir a soluciones manuales?

Si una plataforma facilita esas situaciones, vas por buen camino.

Cómo implementar el uso compartido de archivos empresariales sin ralentizar a los equipos.

La implementación tiene éxito cuando resulta fácil para los equipos adoptarla y fácil de gestionar para el departamento de TI. Si bien cada empresa es diferente, un plan de implementación práctico suele tener este aspecto:

1. Mapea tus principales flujos de trabajo para compartirarchivos, como la colaboración interna, la entrega a clientes externos y la recopilación de archivos de proveedores.
2. Establezca políticas predeterminadas que se ajusten al trabajo real,incluyendo la configuración de enlaces y las reglas para compartir con terceros.
3. Realiza un proyecto piloto con un equipo que comparte mucha informacióny documenta qué es lo que les ralentiza.
4. Migre por fases, por departamento o tipo de proyecto, enlugar de intentar trasladar todo a la vez.
5. Publique una guía práctica de una páginapara que los empleados sepan cómo compartir de forma eficaz.
6. Analizar la actividad de compartición y realizar ajustes después del lanzamiento,basándose en los patrones de uso reales.

Este enfoque permite que los equipos sigan avanzando mientras se refuerza la gobernanza con el tiempo. Obtén más información sobre las capacidades especializadas de gobernanza de datos empresariales de Dropbox.

Controla el uso compartido de archivos empresariales con Dropbox.

El intercambio de archivos en la empresa funciona mejor cuando las personas pueden colaborar rápidamente y el departamento de TI puede tener plena confianza en la seguridad, las políticas y la visibilidad.

Si está listo para pasar del intercambio ad hoc a un enfoque empresarial, aquí tiene algunos pasos a seguir:

• Revise sus requisitos
• Estandarizar las políticas de uso compartido
• Elige una plataforma

Dropbox ayuda a los equipos a compartir contenido y colaborar en él, al tiempo que proporciona a los administradores herramientas para gestionar el acceso y mantener la supervisión a gran escala. Descubre más sobre las soluciones empresariales de Dropbox.