Algunas de las herramientas más comúnmente utilizadas hoy en día, en el ámbito de la gestión e intercambio de información, son las proporcionadas por el conjunto de programas de Microsoft Office 365. Dependiendo del plan contratado por el usuario u organización (hogar o empresa), el conjunto de programas ofrecido es distinto, no obstante, en este artículo se analizarán los riesgos de seguridad asociados a algunos de los servicios ofrecidos por el plan empresarial.
Siendo Internet Security Auditors una empresa dedicada especialmente a la seguridad de la información, este artículo pretende analizar el nivel de seguridad ofrecido por Microsoft Office 365 y las opciones ofrecidas para ser configuradas por parte del usuario según necesidades organizativas.
El artículo se centrará en el análisis de las dimensiones de confidencialidad, integridad y disponibilidad de la información, a través de las principales herramientas de intercambio de información que ofrece el plan empresarial, como lo son Microsoft Teams, SharePoint, Exchange y la propia plataforma de administración de Office 365, de acuerdo a los parámetros de seguridad analizados por el Esquema Nacional de Seguridad (ENS).
El esquema nacional de seguridad está regulado en el RD 3/2010 (y modificado en el RD 951/2015), teniendo por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
Las medidas de seguridad establecidas por el ENS pretenden cubrir todas las dimensiones de seguridad de la información, pero teniendo en cuenta los daños que pueden ocasionar acciones malintencionadas por parte de usuarios, al utilizar las herramientas o servicios que se detallan a lo largo del artículo, la fuga de datos confidenciales, la integridad y la disponibilidad de estos, ocupan el primer puesto en cuanto a dimensiones vulnerables.
Hoy en día, Microsoft es conocida como uno de los lideres tecnológicos a nivel mundial, proveyendo a los usuarios y empresas de servidores, dispositivos electrónicos y servicios. Microsoft Office 365 cuenta con varias certificaciones que avalan la seguridad y cumplimiento de la empresa en buenas prácticas, siendo algunas de ellas: ISO27001:2013, PCI-DSS y el nivel Alto de implantación del Esquema Nacional de Seguridad.
Comúnmente, tendemos a asociar que, si un servicio o herramienta dispone de un certificado o se somete a auditorías por entidades reguladoras, garantiza la seguridad del servicio, olvidando que puede haber otros factores que afecten a la confidencialidad, integridad y disponibilidad de la información que no esté en manos del proveedor gestionar o proteger y estén bajo la responsabilidad del cliente contratante del servicio. Es cierto que los servicios de Office365, desde el punto de vista de servicio SaaS, disponen de métodos de protección, siendo estos responsabilidad de su fabricante, como por ejemplo la protección frente a ataques DDoS y el cifrado de los datos en reposo. Pero, si queremos reducir en medida de lo posible, riesgos asociados a fuga de datos confidenciales o modificaciones no autorizadas sobre estos ¿es suficiente con la contratación del servicio? Tal y como veremos a lo largo del artículo, existen un conjunto de parámetros que, de no ser configurados correctamente, elevan el riesgo sobre la seguridad de los datos, especialmente de su confidencialidad, integridad y disponibilidad.
Según el Centro Criptológico Nacional (CCN), el proceso de implantación del Esquema Nacional de Seguridad supone, entre otros, el establecimiento de medidas de seguridad (75) de tipo Organizativas (4), Operacionales (31) o Protección (40) y condicionadas a la categorización previa de los sistemas y su análisis de riesgos, así como la valoración de las dimensiones de seguridad (disponibilidad, autenticidad, integridad, confidencialidad, trazabilidad).
De acuerdo con las medidas establecidas por el ENS, algunas de estas sólo son aplicables al Perfil de Seguridad y Cumplimiento de Office365 (es decir, controles globales de Office 365), mientras que otras se focalizan en la parametrización de la herramienta o servicio como Microsoft Teams, SharePoint, Exchange, entre otros (controles exclusivos).
La información ha ocupado uno de los puestos más importantes en cuanto al valor de las distintas empresas u organizaciones. Aunque existen numerosas medidas para prevenir y reducir el impacto de posibles ataques malintencionados sobre los sistemas y dispositivos que albergan información confidencial, los daños causados por un usuario o varios al compartir o divulgar información no autorizada comúnmente no reciben la misma atención.
La fuga de datos, o la facilidad con la que un usuario pueda divulgar o compartir información de forma no autorizada o no intencionada, puede reducirse a través de Office365 y la correcta configuración de sus servicios.
En primer lugar, Office365 pone a disposición de la organización la creación de Directivas de Data Loss Prevention (DLP) a través del Panel de Seguridad y Cumplimiento. Las herramientas de DLP, tienen como finalidad prevenir la fuga de información corporativa de forma continua. Las directivas DLP configurables a través de Office365, examinan los mensajes de correo electrónico y los archivos enviados; estas directivas cuentan con plantillas, con las cuales podemos asociar el comportamiento que queremos detectar y bloquear, siendo algunas de estas de carácter Financiero, Médico o de Privacidad. De acuerdo a las necesidades organizativas, podemos prevenir a través de la creación de estas directivas, la divulgación no autorizada de información confidencial, según el tipo de información que es tratada por la entidad.
Cuando pensamos en el término fuga de datos, generalmente tendemos a asociarlo a la divulgación de información desde dentro, es decir, por usuarios legítimos de la organización, a terceros no autorizados. Sin embargo, cualquier irrupción en los sistemas de información por usuarios externos, ocasionaría una fuga de datos como tal y en el peor de los casos, podrían derivarse daños frente a la integridad de estos y su disponibilidad. A través del Panel de Seguridad y Cumplimiento pueden establecerse medidas que permiten reducir el riesgo a sufrir daños derivados de estas situaciones.
Office 365 cuenta con la posibilidad de crear directivas para la detección de amenazas en tiempo real, diferenciándose en tres tipos de amenazas: phishing, correo spam y malware. Estas directivas ayudan a prevenir posibles puertas de entrada, ocasionadas por una mala actuación de los usuarios, como la revelación de credenciales a través de métodos de phishing o la introducción de software dañino “malware” en los sistemas de la organización, entre otras. Obviamente, Office365 incluye de serie un conjunto de directivas y reglas predeterminadas, pero es necesario que cada organización ajuste cada una de las capacidades de protección frente a amenazas, de acuerdo a sus necesidades, con el fin de poder dotar a la entidad de una capa adicional de seguridad. Por ejemplo, si la organización decide llevar a cabo métodos de protección contra phishing mediante Office365, deberá crear directivas personalizadas. Para ello, a través del Panel de Seguridad y Cumplimiento, en la sección “Administración de amenazas”, es posible crear estas directivas. Cada directiva de phishing, permite asociar condiciones (como, por ejemplo, que la directiva se aplique si el dominio del destinatario coincide con el especificado) y acciones a llevar a cabo, en caso de que el mensaje cumpla con la condición (por ejemplo, mover el mensaje a la carpeta de correo no deseado).
Adicionalmente, Office365 presenta la posibilidad de contratar servicios de protección frente a amenazas avanzadas, a través de Microsoft ATP Defender (Azure Thread Protection). Entre algunos de estos servicios, se pueden observar mecanismos de prevención contra ransomware y detección de contenido malicioso y patrones de ataque. Microsoft ATP, está incluido como servicio en la licencia Office365 E5, aunque también puede contratarse de forma adicional, si la licencia no lo incluye.
Las medidas de seguridad analizadas a lo largo de esta sección permiten reducir el riesgo de forma global para todos los servicios que ofrece la plataforma de Office365. Sin embargo, cada servicio ofrecido por Office365, cuenta con una funcionalidad y parametrización de seguridad diferente entre cada uno de ellos. Algunos de estos servicios permiten compartir información en repositorios o en tiempo real, estableciendo la necesidad de llevar a cabo una correcta configuración de sus parámetros de seguridad, con el fin de reducir los riesgos asociados, tal y como veremos a continuación.
Uno de los servicios de Office365 más utilizados para la gestión, almacenamiento, sincronización y transmisión de archivos es SharePoint. SharePoint cuenta con la posibilidad de compartir información con varios usuarios, permitiéndoles modificar o tan solo poder visualizar el contenido, según los permisos asignados. Comúnmente, los usuarios corporativos pueden intercambiar información con el exterior, dando acceso a un archivo que ha sido cargado previamente en la plataforma SharePoint, o bien, puede facilitarse el acceso completo a una biblioteca de archivos. Denominamos bibliotecas de archivos a los lugares en los que se almacenan crean, actualizan y se comparten archivos con otros miembros.
El principal riesgo que se puede asociar a este modelo de servicio se da cuando no se dispone de una correcta parametrización sobre qué usuarios pueden compartir información y con quién pueden hacerlo. Si se asignan accesos de lectura a una biblioteca o archivo confidencial de forma errónea o malintencionada a un usuario no autorizado, esto puede suponer la fuga de datos sensibles/confidenciales. Así mismo, si el acceso tuviese asignados permisos para modificar el contenido, podría provocar la modificación o eliminación de su contenido de forma no autorizada, afectando gravemente la integridad o disponibilidad de los datos.
¿Cómo podemos mitigar estos riesgos? SharePoint cuenta con la posibilidad de restringir los permisos para compartir contenido o dar acceso a las bibliotecas de archivos, a través del parámetro de configuración “Uso compartido”. Cada entidad debe analizar la permisividad para compartir información, tratando siempre de ser lo más restrictiva posible.
Además, para reducir los riesgos asociados a la disponibilidad de los datos, SharePoint cuenta con la posibilidad de crear copias temporales en la Papelera de Reciclaje por defecto, para aquellos elementos que sean eliminados. Sin embargo, tras 93 días, los elementos que se encuentren en la papelera de reciclaje serán eliminados de forma permanente.
Office365 dispone de más servicios para el intercambio de información entre usuarios, en los que la confidencialidad e integridad de los datos y su disponibilidad, pueden verse amenazadas, siendo el caso de Microsoft Exchange y Teams, tal y como veremos a continuación.
Microsoft Teams es por excelencia el servicio para el intercambio de información en tiempo real. Al tratarse de una plataforma de intercambio de información entre usuarios en tiempo real, a través del chat, videollamadas o envío de archivos por el mismo, se identifica una forma sencilla en la que los usuarios pueden divulgar información confidencial de la organización.
Los archivos enviados o compartidos a través de Teams, son almacenados en carpetas de OneDrive. Por lo tanto, un método sencillo para prevenir el envío no autorizado a través de Teams, es desactivar las licencias de OneDrive de los usuarios que no las necesiten o no estén autorizadas a compartir información en ese momento. En el caso de que se requiera la activación de OneDrive sobre los usuarios, siendo este un sitio personal de SharePoint, será necesario que se ajusten los privilegios de acceso y compartición de la información, tal y como se ha mencionado en “Microsoft SharePoint y el acceso a las bibliotecas de archivos”.
Con el fin de minimizar el riesgo de que la información compartida o transmitida no esté disponible, Microsoft Teams presenta una funcionalidad básica: la creación y asignación de “Equipos” con varios usuarios. Cuando se crea un “Equipo”, se asocia por defecto un canal “General” con tres pestañas disponibles: Publicaciones, Archivos y Wiki. Los archivos compartidos en un canal se almacenan en primer plano en la pestaña de “Archivos”, pero realmente, estos están siendo almacenados en la carpeta de SharePoint de su “Equipo” de Teams. Por lo tanto, es necesario que los miembros del equipo dispongan de una licencia activa de SharePoint, ya que cada vez que se crea un “Equipo”, se crea un nuevo sitio de SharePoint dedicado para el almacenamiento, en el que se guardaran todos los archivos transferidos por el canal.
Hoy en día, uno de los servicios esenciales para establecer contacto con distintos usuarios e intercambiar información de forma continua, es mediante el uso del correo electrónico. En esta sección daremos a conocer qué parámetros de configuración, propios del servicio Microsoft Exchange, permiten reducir los riesgos de seguridad contra la confidencialidad, integridad y disponibilidad de los datos.
En primer lugar, Exchange cuenta entre otros con los siguientes métodos de protección del correo, los cuales pueden habilitarse y configurarse a través de reglas, filtros o directivas:
Por otro lado, Exchange permite reducir los riesgos asociados a la disponibilidad de la información a través de distintos métodos de retención sobre los buzones entre los cuales se destacan:
Generalmente, la gran mayoría de medidas de protección que ofrece Office365 y sus servicios son conocidas por los usuarios, algunas de ellas mencionadas anteriormente. Las medidas explicadas anteriormente son en general bastante intuitivas y cualquier herramienta que ofrezca funcionalidades similares debería a su vez disponer de mecanismos de seguridad parecidos. En esta sección, Internet Security Auditors pretende dar a conocer aquellas funcionalidades que, por defecto, pasan desapercibidas y permiten dotar a las organizaciones y sus activos, de una capa adicional de seguridad de la información.
Anteriormente, hemos visto las capacidades que puede ofrecer SharePoint a nivel de intercambio de información, especialmente con usuarios externos a la organización, pero este servicio también permite limitar y salvaguardar la confidencialidad de los datos sobre usuarios organizativos a través de lo siguiente:
El servicio de Microsoft Teams permite limitar el comportamiento de los usuarios sobre las reuniones y el uso del aplicativo a través de directivas. Por defecto, Microsoft Teams dispone de directivas globales por defecto, pero es necesario que las organizaciones realicen un estudio y modifiquen las directivas, con el fin de asignar diferentes privilegios a los usuarios según lo requieran, tales como la posibilidad de eliminar contenido enviado, anclar aplicaciones no distribuidas por Microsoft, entre otras.
Por último, Office365 dispone de métodos de retención de datos, con los cuales podría reducirse los riesgos asociados a la disponibilidad de estos:
En una sociedad en la que la información ha pasado a ser uno de los activos más importantes para las organizaciones, la seguridad sobre esta no es una opción, sino una necesidad u obligación.
Tras analizar las diferentes posibilidades que Office365 proporciona a sus usuarios, se concluye que es necesario llevar a cabo las configuraciones detalladas, en medida de lo posible, si se pretende reducir el riesgo de seguridad sobre los datos gestionados y transmitidos.
Pese a disponer de certificaciones que avalan las buenas prácticas y la seguridad de Office365 como plataforma, focalizar la seguridad en las garantías ofrecidas por el cumplimiento de estas certificaciones no es suficiente. Cada uno de los diferentes servicios utilizados de la plataforma Office365, se recomienda que estén configurados, siguiendo algunos de los métodos o configuraciones mostrados a lo largo del artículo o detallados en las guías de configuración segura del Esquema Nacional de Seguridad.
Referencias
Guías de Acceso Público CCN-STIC:
Informes de Auditoria de Microsoft:
Esquema Nacional de Seguridad