viernes, 13 de agosto de 2021

El Esquema Nacional de Seguridad y la reducción de riesgos en Office 365

Algunas de las herramientas más comúnmente utilizadas hoy en día, en el ámbito de la gestión e intercambio de información, son las proporcionadas por el conjunto de programas de Microsoft Office 365. Dependiendo del plan contratado por el usuario u organización (hogar o empresa), el conjunto de programas ofrecido es distinto, no obstante, en este artículo se analizarán los riesgos de seguridad asociados a algunos de los servicios ofrecidos por el plan empresarial.
 
Siendo Internet Security Auditors una empresa dedicada especialmente a la seguridad de la información, este artículo pretende analizar el nivel de seguridad ofrecido por Microsoft Office 365 y las opciones ofrecidas para ser configuradas por parte del usuario según necesidades organizativas.

El artículo se centrará en el análisis de las dimensiones de confidencialidad, integridad y disponibilidad de la información, a través de las principales herramientas de intercambio de información que ofrece el plan empresarial, como lo son Microsoft Teams, SharePoint, Exchange y la propia plataforma de administración de Office 365, de acuerdo a los parámetros de seguridad analizados por el Esquema Nacional de Seguridad (ENS).

El esquema nacional de seguridad está regulado en el RD 3/2010 (y modificado en el RD 951/2015), teniendo por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Las medidas de seguridad establecidas por el ENS pretenden cubrir todas las dimensiones de seguridad de la información, pero teniendo en cuenta los daños que pueden ocasionar acciones malintencionadas por parte de usuarios, al utilizar las herramientas o servicios que se detallan a lo largo del artículo, la fuga de datos confidenciales, la integridad y la disponibilidad de estos, ocupan el primer puesto en cuanto a dimensiones vulnerables.

Microsoft y la seguridad aplicada a Office365

Hoy en día, Microsoft es conocida como uno de los lideres tecnológicos a nivel mundial, proveyendo a los usuarios y empresas de servidores, dispositivos electrónicos y servicios. Microsoft Office 365 cuenta con varias certificaciones que avalan la seguridad y cumplimiento de la empresa en buenas prácticas, siendo algunas de ellas: ISO27001:2013, PCI-DSS y el nivel Alto de implantación del Esquema Nacional de Seguridad.

Comúnmente, tendemos a asociar que, si un servicio o herramienta dispone de un certificado o se somete a auditorías por entidades reguladoras, garantiza la seguridad del servicio, olvidando que puede haber otros factores que afecten a la confidencialidad, integridad y disponibilidad de la información que no esté en manos del proveedor gestionar o proteger y estén bajo la responsabilidad del cliente contratante del servicio. Es cierto que los servicios de Office365, desde el punto de vista de servicio SaaS, disponen de métodos de protección, siendo estos responsabilidad de su fabricante, como por ejemplo la protección frente a ataques DDoS y el cifrado de los datos en reposo. Pero, si queremos reducir en medida de lo posible, riesgos asociados a fuga de datos confidenciales o modificaciones no autorizadas sobre estos ¿es suficiente con la contratación del servicio? Tal y como veremos a lo largo del artículo, existen un conjunto de parámetros que, de no ser configurados correctamente, elevan el riesgo sobre la seguridad de los datos, especialmente de su confidencialidad, integridad y disponibilidad.

El ENS y la configuración segura de Office365

Según el Centro Criptológico Nacional (CCN), el proceso de implantación del Esquema Nacional de Seguridad supone, entre otros, el establecimiento de medidas de seguridad (75) de tipo Organizativas (4), Operacionales (31) o Protección (40) y condicionadas a la categorización previa de los sistemas y su análisis de riesgos, así como la valoración de las dimensiones de seguridad (disponibilidad, autenticidad, integridad, confidencialidad, trazabilidad).

De acuerdo con las medidas establecidas por el ENS, algunas de estas sólo son aplicables al Perfil de Seguridad y Cumplimiento de Office365 (es decir, controles globales de Office 365), mientras que otras se focalizan en la parametrización de la herramienta o servicio como Microsoft Teams, SharePoint, Exchange, entre otros (controles exclusivos).

La fuga de datos en Office365

La información ha ocupado uno de los puestos más importantes en cuanto al valor de las distintas empresas u organizaciones. Aunque existen numerosas medidas para prevenir y reducir el impacto de posibles ataques malintencionados sobre los sistemas y dispositivos que albergan información confidencial, los daños causados por un usuario o varios al compartir o divulgar información no autorizada comúnmente no reciben la misma atención.

La fuga de datos, o la facilidad con la que un usuario pueda divulgar o compartir información de forma no autorizada o no intencionada, puede reducirse a través de Office365 y la correcta configuración de sus servicios.

En primer lugar, Office365 pone a disposición de la organización la creación de Directivas de Data Loss Prevention (DLP) a través del Panel de Seguridad y Cumplimiento. Las herramientas de DLP, tienen como finalidad prevenir la fuga de información corporativa de forma continua. Las directivas DLP configurables a través de Office365, examinan los mensajes de correo electrónico y los archivos enviados; estas directivas cuentan con plantillas, con las cuales podemos asociar el comportamiento que queremos detectar y bloquear, siendo algunas de estas de carácter Financiero, Médico o de Privacidad. De acuerdo a las necesidades organizativas, podemos prevenir a través de la creación de estas directivas, la divulgación no autorizada de información confidencial, según el tipo de información que es tratada por la entidad.

Cuando pensamos en el término fuga de datos, generalmente tendemos a asociarlo a la divulgación de información desde dentro, es decir, por usuarios legítimos de la organización, a terceros no autorizados. Sin embargo, cualquier irrupción en los sistemas de información por usuarios externos, ocasionaría una fuga de datos como tal y en el peor de los casos, podrían derivarse daños frente a la integridad de estos y su disponibilidad. A través del Panel de Seguridad y Cumplimiento pueden establecerse medidas que permiten reducir el riesgo a sufrir daños derivados de estas situaciones.

Office 365 cuenta con la posibilidad de crear directivas para la detección de amenazas en tiempo real, diferenciándose en tres tipos de amenazas: phishing, correo spam y malware. Estas directivas ayudan a prevenir posibles puertas de entrada, ocasionadas por una mala actuación de los usuarios, como la revelación de credenciales a través de métodos de phishing o la introducción de software dañino “malware” en los sistemas de la organización, entre otras. Obviamente, Office365 incluye de serie un conjunto de directivas y reglas predeterminadas, pero es necesario que cada organización ajuste cada una de las capacidades de protección frente a amenazas, de acuerdo a sus necesidades, con el fin de poder dotar a la entidad de una capa adicional de seguridad. Por ejemplo, si la organización decide llevar a cabo métodos de protección contra phishing mediante Office365, deberá crear directivas personalizadas. Para ello, a través del Panel de Seguridad y Cumplimiento, en la sección “Administración de amenazas”, es posible crear estas directivas. Cada directiva de phishing, permite asociar condiciones (como, por ejemplo, que la directiva se aplique si el dominio del destinatario coincide con el especificado) y acciones a llevar a cabo, en caso de que el mensaje cumpla con la condición (por ejemplo, mover el mensaje a la carpeta de correo no deseado).

Adicionalmente, Office365 presenta la posibilidad de contratar servicios de protección frente a amenazas avanzadas, a través de Microsoft ATP Defender (Azure Thread Protection). Entre algunos de estos servicios, se pueden observar mecanismos de prevención contra ransomware y detección de contenido malicioso y patrones de ataque. Microsoft ATP, está incluido como servicio en la licencia Office365 E5, aunque también puede contratarse de forma adicional, si la licencia no lo incluye.

Las medidas de seguridad analizadas a lo largo de esta sección permiten reducir el riesgo de forma global para todos los servicios que ofrece la plataforma de Office365. Sin embargo, cada servicio ofrecido por Office365, cuenta con una funcionalidad y parametrización de seguridad diferente entre cada uno de ellos. Algunos de estos servicios permiten compartir información en repositorios o en tiempo real, estableciendo la necesidad de llevar a cabo una correcta configuración de sus parámetros de seguridad, con el fin de reducir los riesgos asociados, tal y como veremos a continuación.

Microsoft SharePoint y el acceso a las bibliotecas de archivos

Uno de los servicios de Office365 más utilizados para la gestión, almacenamiento, sincronización y transmisión de archivos es SharePoint. SharePoint cuenta con la posibilidad de compartir información con varios usuarios, permitiéndoles modificar o tan solo poder visualizar el contenido, según los permisos asignados. Comúnmente, los usuarios corporativos pueden intercambiar información con el exterior, dando acceso a un archivo que ha sido cargado previamente en la plataforma SharePoint, o bien, puede facilitarse el acceso completo a una biblioteca de archivos. Denominamos bibliotecas de archivos a los lugares en los que se almacenan crean, actualizan y se comparten archivos con otros miembros.

El principal riesgo que se puede asociar a este modelo de servicio se da cuando no se dispone de una correcta parametrización sobre qué usuarios pueden compartir información y con quién pueden hacerlo. Si se asignan accesos de lectura a una biblioteca o archivo confidencial de forma errónea o malintencionada a un usuario no autorizado, esto puede suponer la fuga de datos sensibles/confidenciales. Así mismo, si el acceso tuviese asignados permisos para modificar el contenido, podría provocar la modificación o eliminación de su contenido de forma no autorizada, afectando gravemente la integridad o disponibilidad de los datos.

¿Cómo podemos mitigar estos riesgos? SharePoint cuenta con la posibilidad de restringir los permisos para compartir contenido o dar acceso a las bibliotecas de archivos, a través del parámetro de configuración “Uso compartido”. Cada entidad debe analizar la permisividad para compartir información, tratando siempre de ser lo más restrictiva posible.

Además, para reducir  los riesgos asociados a la disponibilidad de los datos, SharePoint cuenta con la posibilidad de crear copias temporales en la Papelera de Reciclaje por defecto, para aquellos elementos que sean eliminados. Sin embargo, tras 93 días, los elementos que se encuentren en la papelera de reciclaje serán eliminados de forma permanente.

Office365 dispone de más servicios para el intercambio de información entre usuarios, en los que la confidencialidad e integridad de los datos y su disponibilidad, pueden verse amenazadas, siendo el caso de Microsoft Exchange y Teams, tal y como veremos a continuación.

El intercambio de información en tiempo real y Microsoft Teams

Microsoft Teams es por excelencia el servicio para el intercambio de información en tiempo real. Al tratarse de una plataforma de intercambio de información entre usuarios en tiempo real, a través del chat, videollamadas o envío de archivos por el mismo, se identifica una forma sencilla en la que los usuarios pueden divulgar información confidencial de la organización.

Los archivos enviados o compartidos a través de Teams, son almacenados en carpetas de OneDrive. Por lo tanto, un método sencillo para prevenir el envío no autorizado a través de Teams, es desactivar las licencias de OneDrive de los usuarios que no las necesiten o no estén autorizadas a compartir información en ese momento. En el caso de que se requiera la activación de OneDrive sobre los usuarios, siendo este un sitio personal de SharePoint, será necesario que se ajusten los privilegios de acceso y compartición de la información, tal y como se ha mencionado en “Microsoft SharePoint y el acceso a las bibliotecas de archivos”.

Con el fin de minimizar el riesgo de que la información compartida o transmitida no esté disponible, Microsoft Teams presenta una funcionalidad básica: la creación y asignación de “Equipos” con varios usuarios. Cuando se crea un “Equipo”, se asocia por defecto un canal “General” con tres pestañas disponibles: Publicaciones, Archivos y Wiki. Los archivos compartidos en un canal se almacenan en primer plano en la pestaña de “Archivos”, pero realmente, estos están siendo almacenados en la carpeta de SharePoint de su “Equipo” de Teams. Por lo tanto, es necesario que los miembros del equipo dispongan de una licencia activa de SharePoint, ya que cada vez que se crea un “Equipo”, se crea un nuevo sitio de SharePoint dedicado para el almacenamiento, en el que se guardaran todos los archivos transferidos por el canal.

La gestión de buzones y Microsoft Exchange

Hoy en día, uno de los servicios esenciales para establecer contacto con distintos usuarios e intercambiar información de forma continua, es mediante el uso del correo electrónico. En esta sección daremos a conocer qué parámetros de configuración, propios del servicio Microsoft Exchange, permiten reducir los riesgos de seguridad contra la confidencialidad, integridad y disponibilidad de los datos.

En primer lugar, Exchange cuenta entre otros con los siguientes métodos de protección del correo, los cuales pueden habilitarse y configurarse a través de reglas, filtros o directivas:

  • Filtros de malware: Los mensajes que se transportan a través del servicio de Exchange  se  analizan  en  busca  de  malware.  Si se  detecta algún tipo de malware,  el mensaje se elimina. Este control coincide con los métodos de protección frente a malware, mencionados en “La fuga de datos en Office365”.
  • Filtros de conexión: A través de estos filtros, es posible configurar listas de IPs permitidas y bloqueadas, con el fin de permitir o bloquear correos, según el destinatario o remitentes especificado.
  • Filtros de correo no deseado: Esta configuración permite establecer que acción se llevará a cabo cuando se detecte un correo como “no deseado”.
  • Proceso de autenticación DKIM (DomainKeys  Identified  Mail):  Este proceso puede  ayudar  a  proteger tanto a los remitentes como a los destinatarios, de correos electrónicos falsificados y de suplantación de identidad. Para obtener más información sobre los procesos de autenticación, ver el siguiente artículo.


Por otro lado, Exchange permite reducir los riesgos asociados a la disponibilidad de la información a través de distintos métodos de retención sobre los buzones entre los cuales se destacan:

  • Archivado de buzones. Activar esta opción, permite a los usuarios, que aquellos archivos eliminados sean retenidos durante 14 días o hasta que estos sean eliminados manualmente. Para evitar que un usuario pueda eliminar por completo el archivo, deberá configurarse la retención de elementos eliminados a través del Centro de Administración de Exchange y seleccionar la opción “No elimine permanentemente elementos hasta que se haga una copia de seguridad de la base de datos”.
  • Retención por juicio. La retención por juicio que permite conservar todo el correo electrónico de un buzón incluso los elementos eliminados y las versiones originales de los elementos modificados.

Una seguridad pasada por alto: Controles adicionales para una mayor seguridad

Generalmente, la gran mayoría de medidas de protección que ofrece Office365 y sus servicios son conocidas por los usuarios, algunas de ellas mencionadas anteriormente. Las medidas explicadas anteriormente son en general bastante intuitivas y cualquier herramienta que ofrezca funcionalidades similares debería a su vez disponer de mecanismos de seguridad parecidos. En esta sección, Internet Security Auditors pretende dar a conocer aquellas funcionalidades que, por defecto, pasan desapercibidas y permiten dotar a las organizaciones y  sus activos, de una capa adicional de seguridad de la información.

Anteriormente, hemos visto las capacidades que puede ofrecer SharePoint a nivel de intercambio de información, especialmente con usuarios externos a la organización, pero este servicio también permite limitar y salvaguardar la confidencialidad de los datos sobre usuarios organizativos a través de lo siguiente:

  • Information Rights Management. Aplicando IRM a las bibliotecas o archivos de SharePoint, pueden limitarse las acciones que los usuarios pueden realizar sobre ellos, como evitar que puedan imprimir copias de los archivos o copiar texto de estos. Adicionalmente, cifra los archivos descargados y limita el conjunto de usuarios y programas que pueden descifrarlos. Este control se complementa con mecanismos DLP para la prevención de fuga de datos.
  • Evitar la búsqueda de bibliotecas confidenciales. Si la organización dispone de bibliotecas con información sensible/confidencial, existe la posibilidad de configurar dicha biblioteca para que no aparezca en los resultados de búsqueda a través de la configuración del parámetro “Permitir que esta biblioteca aparezca en los resultados de búsqueda”.
  • Evitar que se descarguen archivos sin conexión: Si la organización dispone de “sites” de SharePoint con contenido confidencial y está permitido que los usuarios modifiquen y descarguen contenido del “site” sin conexión, es posible que, frente a un hurto del dispositivo de trabajo, usuarios no autorizados tengan acceso a esta información. SharePoint permite bloquear este comportamiento a través de la opción “Disponibilidad de cliente sin conexión”.


El servicio de Microsoft Teams permite limitar el comportamiento de los usuarios sobre las reuniones y el uso del aplicativo a través de directivas. Por defecto, Microsoft Teams dispone de directivas globales por defecto, pero es necesario que las organizaciones realicen un estudio y modifiquen las directivas, con el fin de asignar diferentes privilegios a los usuarios según lo requieran, tales como la posibilidad de eliminar contenido enviado, anclar aplicaciones no distribuidas por Microsoft, entre otras.

Por último, Office365 dispone de métodos de retención de datos, con los cuales podría reducirse los riesgos asociados a la disponibilidad de estos:

  •  La retención “eDiscovery” facilita la retención de correos y documentos electrónicos en buzones de usuario y de grupos de Office 365 a través de búsquedas por palabras clave.
  • La retención basada en políticas puede ser configurada sobre buzones de usuario o de grupos de Office 365. Permite la conservación o borrado de información de forma automática con el objetivo de cumplir tanto con las normativas y regulaciones del sector como para el cumplimiento de las políticas internas de la compañía.
  • La retención basada en etiquetas permite al usuario establecer manualmente la retención adecuada sobre correos y documentos, aunque también se pueden aplicar etiquetas automáticamente en función del contenido de correos y documentos electrónicos

Conclusión

En una sociedad en la que la información ha pasado a ser uno de los activos más importantes para las organizaciones, la seguridad sobre esta no es una opción, sino una necesidad u obligación.

Tras analizar las diferentes posibilidades que Office365 proporciona a sus usuarios, se concluye que es necesario llevar a cabo las configuraciones detalladas, en medida de lo posible, si se pretende reducir el riesgo de seguridad sobre los datos gestionados y transmitidos.

Pese a disponer de certificaciones que avalan las buenas prácticas y la seguridad de Office365 como plataforma, focalizar la seguridad en las garantías ofrecidas por el cumplimiento de estas certificaciones no es suficiente. Cada uno de los diferentes servicios utilizados de la plataforma Office365, se recomienda que estén configurados, siguiendo algunos de los métodos o configuraciones mostrados a lo largo del artículo o detallados en las guías de configuración segura del Esquema Nacional de Seguridad.
 

Referencias

Guías de Acceso Público CCN-STIC:

Informes de Auditoria de Microsoft:

Esquema Nacional de Seguridad



Autor: Eric Tormo
Dpto. Consultoría