Buena, segura y ¿barata?: Sincronización con Microsoft Azure Active Directory en plataformas SaaS

Tiempo atrás publicamos un post hablando sobre cómo utilizar Microsoft Azure Active Directory (a partir de ahora, Azure AD) para afrontar el problema del control de accesos de usuarios a aplicaciones o recursos dentro de una organización.

Actualmente nos encontramos con diferentes métodos para integrar plataformas en la nube con Azure AD, las cuales analizaremos a continuación.

El viejo e inseguro método del archivo ejecutable

Muchas plataformas SaaS brindan un archivo ejecutable que permite realizar la sincronización de usuarios con Azure AD. Este método podría ser considerado como legacy en la mayoría de los casos, y tiene algunos puntos importantes a considerar:

• Debemos confiar en un archivo ejecutable que no sabemos con certeza qué hace
• Debemos ingresar distintas credenciales y claves de aplicación durante el proceso de instalación
• Existe la posibilidad de que manipulen las credenciales de los usuarios finales y se vean comprometidas

Por estos motivos, actualmente no se recomienda seguir este método.

El método seguro, pero costoso: SCIM

Como indica la RFC 7644, SCIM es un estándar para automatizar el intercambio de información de identidad de usuarios entre sistemas informáticos.

Se trata de un método seguro pero costoso a la vez, ya que para sincronizar grupos y membresías de grupos, se necesita una suscripción a Azure Active Directory Premium P1 o P2.

Por este motivo, no es una opción viable para muchas organizaciones, y su adopción no termina de ser completa.

El método seguro y gratis: Microsoft Graph

Microsoft Graph es una alternativa escalable y segura, creada y provista por el mismo Microsoft que se ajusta a la perfección con Azure AD, incluso con licencias gratuitas.

Se trata de la puerta de entrada a los datos y la inteligencia en Microsoft 365. Proporciona un modelo estandarizado que permite acceder a los datos de diferentes sistemas de Microsoft.

Conclusiones

Por todas sus ventajas, Microsoft Graph es la alternativa segura y accesible para todas las organizaciones, es por eso que fue seleccionada por SMARTFENSE para la sincronización y autenticación de usuarios a través de Azure AD.

¿Con qué método sincroniza actualmente los usuarios de su organización con sus aplicaciones SaaS?

En próximos posts, hablaremos sobre las recomendaciones a tener en cuenta para estructurar su directorio activo de manera de obtener el mejor resultado a la hora de sincronizar sus usuarios con una plataforma SaaS.

Leer Más

La amenaza del Shadow IT

El Shadow IT es un problema al que se enfrentan todas las empresas del mundo y que puede suponer una amenaza más importante de la que aparenta ser. Cada empresa proporciona sus equipos y programas a sus colaboradores pero muchos de ellos, además, descargan e instalan otros programas que no están supervisados por el departamento de IT.  Según IBM Security, un tercio de los trabajadores comparten y suben datos corporativos a herramientas externas de la organización. Ahí es cuando aparece el Shadow IT o el IT en la sombra, principalmente a causa de aplicaciones de almacenamiento en la nube, redes no permitidas, ordenadores no controlados o aplicaciones de terceros tipos SaaS. Aproximadamente un 82% de las empresas, desconocen la totalidad de las aplicaciones utilizadas por sus trabajadores en su día a día.

Las consecuencias del Shadow IT para las organizaciones

Con el teletrabajo, los usuarios han debido utilizar dispositivos propios que no estaban supervisados por la empresa y han podido entrar en aplicaciones de terceros no controladas. Cabe destacar, que solo el 7% de las aplicaciones SaaS gratuitas de Internet cumplen con los estándares mínimos de seguridad por lo que las personas que las utilizan exponen a la organización sin saberlo.

Los bancos y las compañías de seguros son las organizaciones que mayor riesgo corren con el Shadow IT ya que, por ejemplo, no pueden enviar información sensible a través de plataformas como WeTransfer. Esta aplicación es una de las herramientas más utilizadas para la transferencia de archivos, pero lo que muchas personas pasan por alto es que todo lo que se envía queda publicado en la nube. La información queda totalmente accesible. Esta circunstancia puede provocar a las empresas y en particular al CISO, un rompecabezas para encontrar el origen de la fuga de información. Según estudios, aproximadamente las pérdidas anuales a causa del Shadow IT son de 1,7 billones de dólares.  

¿Cómo enfrentarlo? Buenas prácticas

Para evitar el Shadow IT existen buenas prácticas que el CISO puede aportar a la empresa, como identificación y monitoreo de todos los dispositivos y herramientas que los empleados vayan a utilizar. De esta manera, no solo se evita al máximo que pueda haber Shadow IT sino que en caso que lo haya, será más fácil encontrar el origen. No es tarea fácil pero sí necesaria.

Después, deberá seguir el análisis de riesgo y adecuación, es decir analizar las herramientas que tienen a su disposición los colaboradores y valorar si son las adecuadas. En caso de que no lo sean, buscar nuevas herramientas válidas acorde a la estrategia de IT y ciberseguridad. 

Además, es primordial concienciar a todos los trabajadores de manera continua, acerca de la importancia de la seguridad de la información. El error humano es cada vez más corriente en el mundo digital, pero también es subsanable con acciones de concienciación. Los usuarios son parte de la solución.

Cómo transferir archivos de manera segura

Para evitar que sus usuarios utilicen alternativas poco seguras para la transferencia de archivos, bríndeles una herramienta con políticas avanzadas de seguridad que cumpla con la regulación GDPR como Tranxfer.

Disfrute de un free trial totalmente gratuito en www.tranxfer.com

Fuentes

https://www.bbva.com/es/sin-wetransfer-otros-programas-gratis-no-trabajas

https://www.itdigitalsecurity.es/vulnerabilidades/2018/02/los-riesgos-del-shadow-it-para-las-empresas-de-servicios-financieros

https://www.elecelegal.com/es-seguro-usar-wetransfer-para-compartir-archivos

https://www.pandasecurity.com/es/mediacenter/seguridad/shadow-it/

Leer Más

¡Apunten hacia España! Las compañías carecen de una cultura de ciberseguridad

Según un estudio realizado por el área de Cyber Risk Culture (CRC) de PwC España entre junio y septiembre de 2020, el nivel de cultura de ciberseguridad en las compañías de España se sitúa en 2,8 puntos sobre un rango de valores de 1 a 5.

Qué es la cultura de ciberseguridad

La Agencia Europea de Seguridad de las Redes y de la Información (en inglés, «European Union Agency for Network and Information Security», ENISA), define la cultura de la seguridad de las organizaciones como el conjunto de conocimientos, hábitos, percepciones, actitudes, normas y valores de las personas en relación con la seguridad cibernética y la forma en que se manifiestan en su comportamiento con las tecnologías de la información.

Hasta ahora, las empresas y organizaciones habían dirigido sus acciones y esfuerzos a las medidas técnicas y acciones de concienciación aisladas, pero esto no es suficiente ante la realidad actual. De acuerdo con PwC, alrededor del 95% de los ciberataques que sufren las empresas tienen su origen en el factor humano, ya sea por desconocimiento o error. En este contexto, el desarrollo de una cultura de ciberseguridad es esencial para reducir los riesgos y ciberamenazas.

El estado de la cultura empresarial en España

El estudio realizado por PwC España involucró a 50 organizaciones en el ámbito nacional español a través de entrevistas a expertos, encuestas a responsables de ciberseguridad e investigación. La finalidad principal es conocer el estado en la cultura de ciberseguridad en el entorno empresarial en base a cuatro campos: estrategia, conocimiento, comportamiento, y perspectiva futura.  

Estrategia

Entre el 42% y el 48% de las organizaciones ya dispone de un rol o un comité ligado a la formación o concienciación en seguridad. No obstante, el 60% de las compañías no considera la seguridad como uno de sus valores principales o bien, no lo refleja claramente en sus políticas o prácticas generales.

Conocimiento

Muchas de las compañías ofrecen formación en ciberseguridad a sus empleados, así como ejercicios de simulación de ataques phishing o ransomware. Sin embargo, solo el 9% de las organizaciones disponen de un procedimiento para medir el conocimiento de los profesionales, lo que impide el establecimiento de planes de formación adecuados.

Comportamiento

El 84% de las organizaciones no puede medir el nivel de concienciación de los empleados; y el 70% tampoco mide el éxito de las campañas que realizan.

Por otro lado, el presupuesto medio aplicado a formación y concienciación equivale a un 9% del presupuesto total destinado a la seguridad de la información de la compañía.

Perspectiva futura

El 93% de los encuestados considera que la concienciación de los empleados es una medida muy relevante; y el 95% de las compañías ya disponen o tienen planificado generar un plan de concienciación para empleados.

Las principales conclusiones

De los resultados obtenidos, PwC España concluye que el nivel de cultura de ciberseguridad de media en las compañías de España se sitúa en un 2,8 sobre un rango de valores de 1 a 5. Esto significa que en el sector empresarial español:

• No existe un plan estratégico de cultura y las iniciativas de concienciación se despliegan al azar.
• El programa de concienciación cuenta con un apoyo limitado por parte de la Alta Dirección, y solo se invierten los recursos mínimos para cumplir con las normativas.
• La concienciación en seguridad no ocupa un lugar destacado en la estrategia de la organización.
• De forma generalizada, no existe una persona nombrada responsable de la ejecución y desarrollo de los planes de cultura y concienciación.
• Se realizan formaciones de ciberseguridad de forma aislada, sin un refuerzo constante ni un alcance generalizado.
• Hay poca participación de otros departamentos, como el de recursos humanos, comunicación o formación.

Todo ello implica que el panorama de cultura en ciberseguridad actual a nivel empresarial en España es inmaduro, con un alto margen de mejora.

Cómo construir una cultura de ciberseguridad

Acciones de capacitación aisladas no son suficientes para lograr hábitos seguros. Para desarrollar una cultura de ciberseguridad es necesario:

• Generar un plan de formación y transformación cultural, con objetivos específicos en el tiempo.
• Hacer seguimientos de las acciones y sus resultados, proporcionando indicadores que permitan medir el impacto y la evolución.

Es necesario destacar que las organizaciones no deben hacer todo esto solas, ya que las plataformas de concienciación en Seguridad de la Información ofrecen contenidos, herramientas y reportes que facilitan las tareas y generan indicadores de forma automática. Pero aún más fácil y efectivo para el responsable de seguridad puede ser apoyarse en partners integradores, delegando los aspectos operativos y tácticos de la transformación cultural en manos de especialistas.

Fuente: https://recursos.bps.com.es/files/986/73.pdf 

Leer Más

El cuidado de la privacidad de los datos, misión de todos

Como cada año, SMARTFENSE renueva su compromiso de generar conciencia sobre la importancia de proteger los datos al convertirse en un campeón del Día de la Privacidad de Datos de 2021.

La iniciativa hace hincapié en cultivar la confianza con los clientes al adoptar marcos de privacidad y promover la transparencia en torno a las prácticas de recopilación de datos.

Un día para la conciencia

El Día de la Privacidad de los Datos es un esfuerzo global que se lleva a cabo anualmente el 28 de enero para la concientización sobre la importancia de la privacidad. Se destacan formas fáciles de proteger la información personal y se recuerda a las organizaciones que la privacidad es saludable para los negocios.

En este 2021 animamos a las personas a "ser dueñas de su privacidad" aprendiendo más sobre cómo proteger los datos valiosos que están en línea y alentamos a las empresas a "respetar la privacidad", ser responsables por el resguardo de la información personal y dar garantías sobre la recopilación y procesamiento de datos justos, relevantes y legítimos.

A medida que la tecnología evoluciona y la pandemia continúa influyendo en la forma en que los consumidores interactúan con las empresas en línea, las prácticas de recopilación de datos se vuelven cada vez más inevitables, por lo que es imperativo que las empresas actúen de manera responsable.

“En los últimos años, hemos visto el impacto de una mayor conciencia global en torno al abuso de los datos del consumidor, gracias a amplias medidas de privacidad como el Reglamento General de Protección de Datos (GDPR) y la California Privacy Rights Act (CPRA)”, dijo Kelvin Coleman, Director Ejecutivo de la Alianza Nacional de Seguridad Cibernética (National Cyber ​​Security Alliance, NCSA). "Y si bien el respaldo legislativo es clave para reforzar la responsabilidad por las malas prácticas de privacidad de datos, uno de los principales objetivos del Día de la Privacidad de Datos es crear conciencia entre las empresas sobre los beneficios de un enfoque ético de las medidas de privacidad de datos independientes de los límites legales".

Nuestra misión con los usuarios

La esencia de SMARTFENSE es la concientización de usuarios finales en la Seguridad de la Información. En este sentido, durante todo el mes estamos brindando consejos que promueven el uso responsable de la información personal en Internet y buenas prácticas con herramientas y aplicaciones en línea.

También lanzamos un Nuevo Newsletter exclusivo para clientes con información indispensable a la hora de navegar por la web.

Además, nuestro equipo genera nuevos contenidos periódicamente y actualiza los temas según las novedades en la materia.

Algunos consejos

La National Cyber ​​Security Alliance (NCSA) ofrece los siguientes consejos para ayudar a guiar a las personas y las empresas hacia mejores prácticas de privacidad de datos:

Para individuos

• La información personal es como el dinero: protéjala. La información personal, como el historial de compras, dirección IP o ubicación, tiene un valor inmenso para las empresas. Antes de compartir sus datos con ciertas empresas, considere la cantidad de información personal que solicitan y compare con los beneficios que pueda recibir a cambio.
• Controle sus aplicaciones. Muchas aplicaciones solicitan acceso a información personal, como ubicación geográfica, lista de contactos y álbum de fotos, antes de habilitar sus servicios. Tenga cuidado con quién obtiene esa información y desconfíe de las aplicaciones que requieren acceso a información que no es necesaria o relevante para los servicios que ofrecen. Elimine las aplicaciones no utilizadas en sus dispositivos conectados a Internet y confirme las actualizaciones para aquellas que estén en uso.
• Administre su configuración de privacidad. Configure los niveles de privacidad y seguridad en los servicios web y las aplicaciones que utiliza a su nivel de comodidad. Cada dispositivo, aplicación o navegador tiene diferentes funciones para limitar cómo y con quién comparte información. Revise la página Administre su configuración de privacidad de NCSA.

Para empresas

• Si lo recolecta, protéjalo. Las filtraciones de datos no solo pueden provocar una gran pérdida financiera, sino también una pérdida de reputación y confianza del cliente. Siga las medidas de seguridad para mantener la información personal de las personas a salvo del acceso inapropiado y no autorizado. Asegúrese de que los datos personales se procesen de manera justa y solo se recopilen para fines relevantes y legítimos.
• Considere adoptar un marco de privacidad. Construya la privacidad en su negocio investigando y adoptando un marco de privacidad que ayude a administrar el riesgo y crear una cultura de privacidad en su organización.
• Realice una evaluación de sus prácticas de recopilación de datos. Comprenda qué leyes y regulaciones de privacidad aplican en su negocio. Eduque a sus empleados sobre sus obligaciones para proteger la información personal.
• Sea abierto y honesto acerca de cómo recopila, usa y comparte la información personal de sus clientes. La transparencia genera confianza. Comunique al público de manera clara y concisa qué significa la privacidad para su organización y los pasos que sigue para garantizar y mantener la privacidad.
• Supervise a socios y proveedores. Si alguien brinda servicios en su nombre, también eres responsable de cómo recopilan y utilizan la información personal de sus consumidores.

Conclusiones

La privacidad cobra mayor importancia cada día a medida que la tecnología, implacable, va conectando todo a Internet. Los esfuerzos por concientizar acerca del cuidado de los datos privados son entonces, fundamentales. Aprovechemos esta iniciativa mundial para promover un uso de Internet más seguro en casa, en el trabajo y en todos los ámbitos.

Para obtener más información sobre el Día de la Privacidad de los Datos 2021, visite https://staysafeonline.org/data-privacy-day/.

Leer Más

Buenas prácticas en la creación de campañas de concientización

A la hora de realizar nuestra planificación de campañas de concientización es conveniente tener en cuenta una serie de buenas prácticas en pos de crear una experiencia de relevancia para el usuario final.

¿Qué es una campaña de concientización?

Definimos campaña de concientización como una acción puntual de educación o refuerzo utilizando Módulos Interactivos, Newsletters, Exámenes, Encuestas, Videos o Momentos Educativos, que tiene como fin lograr un cambio de hábitos en los usuarios finales de la organización.

Fecha de inicio

El usuario final debe realizar una gran cantidad de actividades en su jornada laboral, siendo las campañas de concientización una voz más que compite por su atención. Además, cada campaña asignada a un usuario final significa al menos un correo electrónico en su bandeja de entrada y la responsabilidad de completar su lectura.

Es por eso que se recomienda distribuir en el tiempo las campañas deseadas. Esto implica seleccionar fechas de inicio diferentes para cada una y evitar que un usuario posea más de una campaña asignada a la vez.

Si se establecen varias campañas con la misma fecha de inicio y fin, el usuario final se encontrará con mucho trabajo por delante - lo cual puede ser desmotivador -, y por ende, correremos el riesgo de que desestime estas actividades.

Duración

La duración ideal de cada campaña de concientización asignada a un usuario final es de 1 a 3 semanas.

Una duración menor no deja margen a la persona para planificar el mejor momento de revisar el contenido asignado. Además, las campañas recolectan estadísticas únicamente mientras se encuentran vigentes, por lo que en una campaña con duración muy corta podemos perder información valiosa.

Una duración mayor a 3 semanas puede llevar a una situación opuesta, donde el usuario final se relaja demasiado y olvida leer los contenidos.

Notificaciones

Se recomienda notificar siempre a los usuarios sobre aquellas campañas a las que son asignados, tanto al inicio como a lo largo del período en que se mantienen activas, a través de recordatorios específicos.

Además, personalizar las notificaciones para adaptarlas a la imagen de la organización y estándar interno es una buena práctica para que el usuario vea al programa de concientización como parte integral de las comunicaciones y acciones de la organización.

Campañas de prueba

El correo electrónico es el medio principal de comunicación entre el programa de concientización y el usuario final. Por eso debemos asegurarnos que los mensajes sean recibidos siempre en su bandeja de entrada. Se recomienda seguir un proceso de implementación de listas blancas para que la plataforma utilizada conviva de manera amigable con las herramientas de seguridad de la organización.

Antes de lanzar una campaña real dentro de la organización, es recomendable agendar campañas de prueba. Esto nos permitirá garantizar que los usuarios reciban correctamente las notificaciones pertinentes y puedan realizar todo el ciclo de vida de cada campaña sin inconvenientes.

Período de concientización

A la hora de pensar una estrategia de concientización es recomendable planificar campañas por períodos entre seis meses a un año. Tal extensión permite organizar de manera clara en el tiempo los distintos tipos de campañas que deseamos asignar a los usuarios finales.

Cantidad de campañas en un año

Cada año los usuarios deben recibir una cantidad de campañas moderada, de manera que encuentren en las acciones de concientización un valor agregado y no una molestia o pérdida de tiempo.

Para determinar el número ideal de campañas a enviar, se debe tener en cuenta que las campañas de Módulos Interactivos, Encuestas y Exámenes suelen implicar más tiempo al usuario final que aquellas de Videos o Newsletters.

Teniendo esto en mente, las recomendaciones generales son:

Primer año

• 1 Módulo Interactivo mensual.
• 2 contenidos de Newsletters o Videos mensuales.
• Un Examen o Encuesta bimestral.

Segundo año

• Hacer ajustes a la programación en base a las opiniones de los usuarios finales durante el primer período, y a los reportes y analítica provista por el partner integrador.
• Cambiar el orden y tópicos de las campañas de formación y concientización.
• Enviar campañas específicas a usuarios que no cumplieron con los objetivos del período anterior.

Próximos años

• Segmentar a los usuarios por grupos, áreas funcionales y niveles jerárquicos.
• Realizar acciones granulares según los niveles de riesgo.
• Mantener el plan de concientización de mejora continua dentro de la organización en general.

Cierre

Al utilizar una plataforma flexible de concientización, tendremos a nuestra disposición muchas opciones de personalización para adaptar las campañas a nuestra organización. Dichas opciones, deben ser utilizadas sin perder de vista que debemos brindar al usuario final una experiencia agradable y positiva con el programa, lo que en definitiva nos permitirá alcanzar con éxito los objetivos del mismo.

Leer Más