Se você tiver senhas configuradas para serem de tamanho e complexidade decentes, o RDP é criptografado, de forma que a maior parte é seguro. Eu pessoalmente não faria isso, preferindo usar algo como um cliente Cisco VPN em estações de trabalho, em seguida, VPN para a estação de trabalho, em vez de deixá-lo aberto para os webbertubes. O RDP pode ser suscetível a ataques MITM e você provavelmente terá bots e scans que os investigarão.
Também defini sua política para bloquear contas se elas forem tentadas 3 vezes com senhas incorretas para evitar / minimizar ataques de força bruta.
Resumo: é provavelmente seguro o suficiente para fazer isso, mas é uma prática ruim e deve ser evitado.
EDIT: existem worms que atacam o RDP, então você deve estar ciente disso ao impor suas políticas. Ou seja, Morto.