Pautas para un ecosistema de colaboración seguro, protegido y conforme a las normas
La Agencia de Seguridad Nacional (NSA, National Security Agency) publicó una serie de pautas para “Seleccionar y utilizar con seguridad los servicios de colaboración para el trabajo remoto”. Las pautas que evaluaron a 17 proveedores de servicios de colaboración identificaron una docena de criterios críticos para la funcionalidad de la ciberseguridad y la garantía de seguridad para ayudar a los empleados del gobierno y a las organizaciones a tomar decisiones informadas al seleccionar un servicio de colaboración para sus necesidades. El objetivo es ayudar a los usuarios a “reducir su exposición al riesgo” al realizar sus actividades durante su jornada laboral.
La pandemia ha traído aparejada una nueva naturaleza híbrida de forma de trabajo. Este cambio radical ha planteado nuevas cuestiones de cumplimiento que no necesariamente existían en el pasado cuando el trabajo se realizaba en el edificio de una organización y en redes internas seguras utilizando los dispositivos de la organización. Hoy en día, los administradores de TI deben preocuparse por la protección de los datos y el cumplimiento de la normativa, al tiempo que amplían la huella tecnológica e incluyen dispositivos personales y fuera de las instalaciones.
En un artículo publicado también hoy, mi colega Radhi Chagarlamudi analiza cómo las pautas de la NSA ponen de manifiesto por qué las organizaciones deben considerar la seguridad en todo el ecosistema de colaboración. La autora señala acertadamente por qué los líderes deben tener en cuenta los servicios de colaboración que emplean los usuarios a lo largo del día, si cada servicio es seguro y cómo los administradores de TI pueden gestionar el ecosistema y abordar los problemas a medida que surgen.
Amplitud y profundidad para la seguridad en los servicios de colaboración
Ya sea en la oficina, en casa o sobre la marcha, nuestro enfoque para proteger los dispositivos, los contenidos, las aplicaciones, los datos y los usuarios es holístico e integral. Ayudamos a autenticar a esos usuarios integrándonos fácilmente con los proveedores de servicios de identidad existentes que ya se utilizan en los entornos de muchas organizaciones para la aplicación uniforme de sus políticas.
Durante muchos años, los clientes han confiado a Cisco Webex su colaboración, reuniones, mensajes, llamadas y datos críticos. Esperan que Webex proteja sus datos, los ayude a cumplir las leyes y las reglamentaciones de privacidad, y reduzca el riesgo de exposición a la competencia, así como a evitar que los datos sensibles o registrados se hagan públicos, la prensa no deseada y una mala reputación. Webex proporciona una plataforma de colaboración reforzada que ayuda a mantener la seguridad de los datos de los clientes haciendo de la privacidad y la seguridad la máxima prioridad en el diseño, el desarrollo, la implementación y el mantenimiento de nuestras redes, plataformas y aplicaciones. Webex emplea múltiples tecnologías, procedimientos y equipos para garantizar que la plataforma de colaboración cumpla los requisitos de privacidad y seguridad, y ofrece a los clientes la posibilidad de elegir la región en la que almacenar el contenido de sus usuarios.
Webex cuenta con un proceso repetible y medible en su Ciclo de vida de desarrollo seguro. Esto incluye el modelado de amenazas, el diseño y la codificación seguros, las pruebas de vulnerabilidad, las evaluaciones del impacto en la privacidad y las evaluaciones de seguridad de terceros. Evaluamos y corregimos las vulnerabilidades de forma continua y monitoreamos las redes y los sistemas para detectar cortes, latencia del servicio, así como actividades y eventos inusuales y no autorizados. También tenemos un programa de privacidad sobre la base de la “privacidad por diseño” para proteger la información de identificación personal (PII, Personally Identifiable Information) de nuestros clientes. El programa incluye una evaluación del impacto sobre la privacidad (PIA, Privacy Impact Assessment), respuesta ante los incidentes, notificación a los clientes y administración de las solicitudes del sujeto.
Seguridad en todo el ecosistema
El ecosistema de Cisco Webex aborda criterios de seguridad fundamentales, como la autenticación de varios factores y el control de cómo se comparten las invitaciones de colaboración. Pero vamos más allá. En Webex, donde la seguridad está “integrada y no agregada”, ofrecemos un verdadero cifrado de extremo a extremo para la mensajería de texto, las reuniones, el uso compartido de archivos y el uso compartido de pantalla, todos los criterios que la NSA señaló en su informe. Mientras que la aplicación Webex proporciona una rica experiencia del usuario, nuestros sistemas garantizan que los datos del usuario y de la organización estén seguros en todo momento. Permítame resaltar algunos ejemplos de cómo vamos más allá en nuestra misión de seguridad y cumplimiento.
Protección de usuarios y dispositivos
Para asegurar aún más el acceso de los usuarios, Webex ha automatizado la incorporación y el retiro de los usuarios (SCIM o AD Sync), el inicio de sesión único con el proveedor de servicios de identidad que elija el cliente, la autenticación de varios factores a través de Cisco Duo o HOTP Authenticator, la autorización estándar basada en OAuth 2.0, las identidades de usuario anónimas, el control de acceso a las funciones basado en roles y la administración delegada.
Al utilizar Webex, también aseguramos los dispositivos de los usuarios. Todo el contenido creado en Webex está cifrado de extremo a extremo, incluso el contenido en caché. Nuestras funcionalidades integradas de MDM a través de Webex Control Hub garantizan el acceso seguro a los dispositivos, incluido el bloqueo con PIN para iniciar la aplicación, los controles de administración para el uso compartido de archivos y la desactivación de las vistas preliminares de las notificaciones de mensajes para que nadie pueda espiar los mensajes en una pantalla bloqueada, así como la capacidad de eliminar remotamente los mensajes de Webex en caso de pérdida o robo del dispositivo.
Proteger el contenido y las reuniones
El cifrado de extremo a extremo mantiene seguros todos los contenidos de Webex, incluidas las búsquedas. Las organizaciones también tienen la opción de almacenar sus claves de cifrado en las instalaciones, lo que les proporciona el máximo control. Con la opción de cifrado de extremo a extremo para las reuniones, los clientes tienen el control exclusivo de las claves de cifrado de las reuniones, y ni Cisco ni nadie puede acceder al contenido de sus reuniones. Llevamos más de 12 años haciendo esto y acabamos de anunciar un nuevo enfoque compatible con los estándares para el cifrado de extremo a extremo de las reuniones que también proporciona una identidad verificada de extremo a extremo y soporte para los dispositivos de la sala de conferencia.
Protección contra la pérdida de datos (DLP)
En Webex, diseñamos nuestro ecosistema para ayudar a evitar que los usuarios cometan errores antes de que se produzcan. A través de nuestras características de prevención de pérdida de datos (DLP, Data Loss Prevention), las organizaciones pueden evitar que se comparta información importante de manera maliciosa o accidental en las reuniones o la mensajería. Las organizaciones pueden hacer un seguimiento del contenido de las reuniones, los mensajes y los archivos que se publican en los espacios, hacer un seguimiento de los usuarios añadidos a los espacios y de los asistentes a las reuniones, controlar a los usuarios no deseados en los espacios y evitar que se comparta información o datos sensibles de forma accidental o intencional. Webex es la única solución de colaboración que permite a los clientes utilizar sus herramientas y políticas de DLP existentes para las grabaciones y las transcripciones de las reuniones.
Cumplimiento integrado
Con Webex Control Hub, las organizaciones pueden definir su política de retención de datos para las reuniones y la mensajería, incluidas las transcripciones, los puntos destacados, las grabaciones y el contenido de la mensajería. Las organizaciones pueden buscar fácilmente el contenido de las reuniones y la mensajería mediante la herramienta de búsqueda y extracción eDiscovery. Esta solución ofrece soporte para cualquier certificación de seguridad en la nube y normativa de cumplimiento requerida. Además, los administradores de TI disponen de controles para minimizar su perfil de riesgo, incluida la deshabilitación del uso compartido de archivos para los usuarios de alto riesgo, la deshabilitación del uso compartido de pantalla o el control de las comunicaciones externas e internas.
Ampliación de las capacidades de seguridad: ventaja de seguridad de Cisco-on-Cisco
Para ampliar las capacidades de seguridad de Webex, se pueden implementar rápidamente las mejores soluciones integradas para proteger los datos de una organización, así como los de sus partners. Evitan la pérdida de datos sensibles y proporcionan protección contra malware y autenticación de varios factores.
Para garantizar que los usuarios se adhieren a las políticas de cumplimiento,
Cisco Cloudlock
proporciona visibilidad y control sobre la información sensible almacenada en la mensajería de Webex con más de 80 políticas existentes y la capacidad de crear nuevas políticas. Cloudlock puede eliminar automáticamente archivos o mensajes cuando se descubren violaciones a las políticas, notificar a los administradores y eliminar a los usuarios de los espacios.
Para ayudar a combatir los ataques de malware,
Cisco TalosClamAV
analiza todos los archivos cargados en busca de ataques de troyanos, virus, malware y otras amenazas maliciosas. Todos los archivos compartidos en Webex que una organización designe se analizan y se reparan, incluso si los cargan los usuarios externos. Los archivos infectados se marcarán claramente, y los usuarios finales no podrán descargarlos ni en los dispositivos administrados por la organización ni en los personales. Cisco TalosClamAV escanea mil millones de archivos diariamente para más de 10 millones de usuarios, con 7,2 billones de ataques detenidos cada año.
Seguridad para el trabajador remoto
Brindar seguridad al usuario remoto y sus datos seguirá siendo una pauta primordial en el nuevo modelo de trabajo híbrido. Ya sea que los usuarios trabajen desde casa, en oficinas de trabajo compartidas o en oficinas remotas, la misma cobertura de seguridad inherente al trabajo en las instalaciones debe extenderse a estos trabajadores en el modelo híbrido. Para mejorar aún más la seguridad de los trabajadores remotos, Webex ha creado un conjunto de soluciones rentables tanto para las empresas como para las PYME. Con las soluciones Cisco Webex Secure Remote Work, servicios como las reuniones, la mensajería y las llamadas son seguros. Pero esa cobertura de seguridad se extiende a las terminales, la autenticación de varios factores, la protección de DNS y la defensa contra el malware para el correo entrante y el correo electrónico.
Para conocer más sobre cómo Cisco Webex está asegurando el ecosistema de colaboración, puede leer más sobre nuestro Ciclo de vida de desarrollo seguro y la Ventaja de seguridad de Cisco Webex
Más información
About The Author
