La nueva forma de trabajar de las empresas usando tecnología en la nube para impulsar su crecimiento y adaptándose a las nuevas necesidades de colaboración y movilidad de sus empleados, ha abierto nuevos frentes de riesgos y vulnerabilidades de seguridad. Las empresas son cada vez más conscientes de que sus empleados deben ser capaces de trabajar mejor juntos, independientemente de dónde estén. No obstante, les preocupa su capacidad para protegerse de los ciberataques y mantener la seguridad de sus datos.

Recientemente, Microsoft realizó una encuesta en España a empresas de menos de 300 usuarios sobre seguridad y de ella obtuvieron que el 80% de las compañías de menos de 300 usuarios se sienten vulnerables a un ciberataque y más de un 71% ya han sufrido uno. No obstante, a pesar de esta realidad, no todas las empresas están suficientemente concienciadas de los riesgos de no estar protegidos.  La prueba ? Más de la mitad de las empresas no disponen de medidas esenciales tales como la capacidad de eliminar de forma remota los datos corporativos de un dispositivo de un empleado (perdido o robado), la protección de la identidad de sus usuarios o el uso del cifrado de información para (correos, archivos, etc). Y si entramos a preguntar sobre medidas de protección más avanzadas para protegerse ante amenzas (phishing, ransomware, ataques dirigidos) o simplemente de fugas de información causadas por empleados (por accidente o no), por nuestra experiencia, más del 80% de las empresas no están protegidas.

La solución: Microsoft 365 Business

Para dar respuesta a las necesidades de las empresas y aumentar la protección de su información confidencial, Microsoft ofrece una solución que proporciona las mejores herramientas de productividad y colaboración moderna con Office 365, seguridad avanzada y administración de dispositivos. 

Con Microsoft 365 Business podrás:

• Aumentar la productividad de tu empresa, mejorando la tecnología para satisfacer las crecientes necesidades de tu empresa.
• Ampliar la seguridad de tus datos, protegiendo la información sensible de tu empresa en todos los PCs, teléfonos y tabletas.
• Mejorar la movilidad de tus empleados, pudiendo acceder a su puesto de trabajo de forma segura desde cualquier lugar.
• Gestionar de manera segura los dispositivos de tus empleados , con Intune, Windows 10, el sistema operativo de Microsoft más seguro y Office 365.

Microsoft 365 Business se divide en 3 pilares:

Colaboración

Ofrece las herramientas de Office 365 Empresa Premium , que ayudan a tu empresa a:

• Mejorar la productividad con herramientas inteligentes integradas en Office.
• Potenciar la comunicación y colaboración entre las personas de tu organización.
• Trabajar mejor en equipo, colaborando desde cualquier lugar y dispositivo.
• Optimizar procesos de trabajo.

Gestión segura de dispositivos

Ofrece las herramientas necesarias para administrar los dispositivos de tus empleados de manera eficiente y segura, ayudándote a:

• Gestionar de forma remota los dispositivos ante robos, pérdidas y bajas de los empleados con Microsoft Intune.
• Aplicar políticas de seguridad para proteger los datos empresariales en todos los dispositivos, incluidos los PC con iOS, Android y Windows.
• Configurar los equipos para instalar automáticamente las aplicaciones y actualizaciones de Office y Windows 10 con Autopilot en Windows 10.
• Te ofrece derechos de actualización a Windows 10 Pro desde versiones Windows 7, Windows 8 y Windows 8.1 Pro

Seguridad y cumplimiento

Ofrece las herramientas de seguridad y cumplimiento que ayudan a tu empresa a:

Protección de identidad y datos

• Prevenir el acceso no autorizado a tus datos en la nube a través de una segunda autenticación mediante una App móvil, una llamada telefónica automatizada o un mensaje de texto con Autenticación Multifactor de Azure Active Directory.
• Etiquetar y establecer permisos en los archivos para garantizar la confidencialidad cuando sea necesario, mediante Azure Information Protection.
• Realizar un seguimiento y revocación de documentos para controlar los datos compartidos.
• Protegerte contra amenazas sofisticadas ocultas en archivos adjuntos y enlaces de correo electrónico, obtener defensas contra amenazas de día cero, Ransomware y otros intentos de malware avanzado con Office 365 Advanced Threat Protection.
• Aplicar políticas de prevención de pérdida de datos para ayudar a proteger la información confidencial con Prevención de pérdida de datos (DLP).
• Hacer cumplir la protección contra malware para ayudar a mantener los dispositivos de Windows 10 a salvo de virus, spyware y otro software malicioso: Windows Defender.
• Activar el archivo en la nube ilimitado y las políticas de conservación a largo plazo para garantizar que el correo electrónico nunca se pierda: Exchange Online Archiving.
• Recientemente Microsoft ha incorporado las políticas de acceso condicional de Azure AD que permiten establecer condiciones específicas sobre cómo se puede acceder a los datos de la empresa.

Cumplimiento

El GDPR implica para las empresas 3 obligaciones en el ámbito de la seguridad:​

• Proteger los datos personales​
• Poder demostrar a la AEPD que estamos protegidos.​
• Ser capaces de detectar brechas de seguridad y notificarlas en menos de 72 horas.

En este sentido, Microsoft 365 Business, a través de sus herramientas de seguridad, te ayuda a cumplir con el reglamento así:

• Evaluando el riesgo de cumplimiento.
• Identificando los datos.
• Manteniendo protegidos los datos.​
• Detectando y reaccionando ante el robo de datos personales.​

Todos estos procesos se cubren con las herramientas de seguridad mencionadas en la parte de protección de identidad y datos, añadiendo además: Compliance Manager, Litigation Hold, Data Subject Request y eDiscovery.

Como conclusión, con Microsoft 365 Business tu empresa podrá lograr más y ganar en tranquilidad, proporcionando la tecnología adecuada a tus empleados para que puedan trabajar de forma segura donde, cuando y como quieran, ayudándote a impulsar la competitividad de tu empresa.

¿Quieres saber más? Contacta con nosotros.

Dentro del proceso de digitalización de las empresas está teniendo cada vez más importancia la transformación del entorno en el que se desarrolla el trabajo. Ya no importa desde dónde se realiza, ni cuándo, ni desde qué dispositivos, por lo que la movilidad se convierte en una pieza importante. La clave del éxito de cualquier empresa debe estar enfocada en conseguir que los trabajadores sean más productivos y que tengan mayor flexibilidad, colaborando de manera segura y de esta manera puedan crear valor e innovación para la empresa.

Microsoft 365 Enterprise

Microsoft 365 Enterprise es el buque insignia de la estrategia de Microsoft para impulsar esta nueva cultura de trabajo, una plataforma que incluye Office 365, Windows 10 Enterprise y Enterprise Mobility + Security (EMS), el conjunto más completo de colaboración, análisis y seguridad, que aplica inteligencia artificial al día a día de los trabajadores para facilitar la productividad.

Microsoft 365 Enterprise está diseñado para el trabajo en equipo, en un mundo laboral descentralizado y altamente móvil que exige soluciones que reúnan a las personas, la información y el análisis con seguridad, satisfaciendo las necesidades de las grandes organizaciones (más de 300 usuarios). Concretamente Microsoft 365 Enterprise:

• Proporciona el conjunto más amplio y completo de aplicaciones y servicios para el trabajo en equipo, dando a las personas flexibilidad y movilidad con la elección en cómo se conectan, comparten y comunican.
• Ayuda a salvaguardar la información confidencial y la propiedad intelectual de tu empresa con seguridad inteligente incorporada.
• Capacita a los trabajadores para trabajar en cualquier lugar y dispositivo.
• Ayuda a gestionar entornos IT complejos, debido a que está todo Integrado para la simplicidad.
• Permite obtener información más detallada a partir de tus datos para tomar mejores decisiones.

Colaboración

Incluye las mejores herramientas de colaboración incluidas en Office 365 Enterprise que ayudan a tu empresa a:

• Potenciar la comunicación y colaboración entre las personas de tu organización, impulsando su productividad.
• Trabajar mejor en equipo, colaborando desde cualquier lugar y dispositivo.
• Optimizar procesos de trabajo.
• Con las comunicaciones unificadas, podrás extender, duplicar o redundar toda la infraestructura de comunicaciones de la empresa a la nube y extenderla además con la integración con Microsoft Teams.
• Conecta con toda la empresa a través de Yammer.
• Trabaja de forma natural con entradas de lápiz, voz y funciones táctiles.

Gestión segura de dispositivos

Ofrece las herramientas necesarias para administrar los dispositivos de tus empleados de manera eficiente y segura, ayudándote a:

• Gestionar de forma remota los dispositivos ante robos, pérdidas y bajas de los empleados con Microsoft Intune.
• Aplicar políticas de seguridad para proteger los datos empresariales en todos los dispositivos, incluidos los PC con iOS, Android y Windows.
• Te ofrece derechos de actualización a Windows 10 Enterprise desde versiones Windows 7, Windows 8 y Windows 8.1 Pro
• Configurar los equipos para instalar automáticamente las aplicaciones y actualizaciones de Office y Windows 10 Enterprise con Autopilot.
• Hacer cumplir la protección contra malware para ayudar a mantener los dispositivos de Windows 10 a salvo de virus, spyware y otro software malicioso.

Seguridad Inteligente y cumplimiento

Microsoft 365 Enterprise te proporciona una protección completa (con tecnología de Microsoft Intelligent Security Graph) para ofrecerte:

• Protección completa de identidades, aplicaciones, datos y dispositivos.
• Protección avanzada contra brechas de seguridad en dispositivos y servidores (mediante Microsoft Defender ATP).
• Protección contra amenazas sofisticadas ocultas en archivos adjuntos y enlaces de correo electrónico, amenazas de día cero, Ransomware y otros intentos de malware avanzado.
• Prevención de Shadow IT y control de uso de aplicaciones nube no autorizadas.
• Agiliza el cumplimiento de la norma GDPR con capacidades avanzadas de cumplimiento y administración del gobierno.
• Controla quién tiene acceso a la información de la empresa con la posibilidad de hacer seguimiento de todas las actividades que se llevan a cabo con los datos compartidos, ver desde dónde se ha abierto un documento y revocar el acceso de forma remota en cualquier momento.
• Asegura tus datos empresariales ante fugas accidentales o intencionadas, protegiendo el uso compartido de tus datos confidenciales dentro y fuera de la organización y aplicando políticas de prevención de pérdida de datos.
• Archivado en la nube ilimitado y políticas de conservación a largo plazo para garantizar que el correo electrónico nunca se pierda.

Análisis e inteligencia

Microsoft 365 Enterprise, en su edición superior, incluye capacidades de Power BI que te ayudan un valor empresarial significativo a partir de tus datos, sacándole partido también a la plataforma de Power Apps.

• Transforma los datos en impactantes objetos visuales y compártelos en cualquier dispositivo.
• Explora y analiza visualmente tus datos en tiempo real, en el entorno local y en la nube, todo en una sola vista.
• Colabora en paneles personalizados y descubre nuevas tendencias en tus datos a través de informes interactivos.

Licenciamiento

Microsoft 365 Enterprise ofrece 3 ediciones:

Microsoft 365 E3: Obtén acceso a productos clave y características de Microsoft para mejorar la productividad del área de trabajo e impulsar la innovación de forma segura. Esta edición incluye: Office 365 Enterprise E3, Windows 10 Enterprise E3 y Enterprise Mobility + security E3 (EMS)

Microsoft 365 E5: El plan más completo con el que obtendrás acceso a los últimos productos y características con Microsoft, añadiendo una capa superior de seguridad avanzada con Microsoft Defender ATP, voz y herramientas de análisis de datos. Esta edición incluye Office 365 Enterprise E5, Windows 10 Enterprise E5 y EMS E5

Microsoft 365 F1: La integración de los llamados «Fist line workers» o trabajadores de primera línea, que trabajan permanentemente en movilidad con el resto de la empresa, es una parte muy importante en el éxito de nuestra estrategia de transformación digital. Estos trabajadores suelen carecer de acceso a la tecnología adecuada, para compartir ideas, datos e información con el resto de los compañeros de la oficina y así ser más productivos, así que conectarlos de forma eficiente a las herramientas de colaboración, mejorará los procesos de la empresa.

En definitiva, Microsoft 365 Enterprise te ofrece un área de trabajo moderna y altamente segura para los empleados, que impulsa el trabajo en equipo y la colaboración con seguridad inteligente.

¿Quieres saber más? Contacta con nosotros.

¿Sabes quién accede ahora mismo a los datos de tu empresa? ¿Puedes detectar automáticamente un riesgo de intrusión y denegar el acceso a tus datos ? 

Últimamente ha proliferado de manera alarmante el robo de contraseñas a través de prácticas de envío de correos fraudalentos con el objetivo de inducir a los destinatarios a revelar su información personal (técnica llamada Phishing y que según estudios se usa en el 81% de los ataques a las empresas).

Para conseguir una contraseña, los hackers envían a sus víctimas un email en nombre de una persona real con un texto y un enlace para pedir al usuario que realice una acción que en realidad le dirige a una página web falsa (imitando el login a Office 365, a un banco, LinkedIn, etc). Lógicamente, una vez el usuario introduce sus credenciales en esas páginas web fraudulentas…, éstas quedan comprometidas, ocasionando inmediatamente una severa brecha de seguridad en la empresa.

Pero, si además, consideramos el crecimiento del uso de aplicaciones en la nube junto con el hecho de que muchos usuarios a menudo reutilizan el mismo password para acceder a las mismas (por su comodidad para recordarlas) y las filtraciones conocidas de datos de usuarios de grandes redes sociales y servicios de consumidor de los últimos 12 meses (tales como Google Plus, Facebook, Movistar, IESE, Adidas, Job Talent, Ticketmaster, my Heritage entre muchas otras), la amenaza de seguridad para las empresas es enorme ante el riesgo de que un ciberdelincuente obtenga tan solo una contraseña de cualquier empleado de las que utilice para temas personales en aplicaciones y portales.

La solución a este quebradero de cabeza para los departamentos de IT está en la nube y se llama Microsoft Entra ID (Antes Azure Active Directory), pues puede facilitar, a través de una identidad única y protegida (single sign-on),  un acceso seguro validando que los usuarios que intentan conectarse a las aplicaciones corporativas estén en casa (on-premise) o en la nube, son quienes dicen ser, simplificando además enormemente la gestión IT. 

Beneficios de Microsoft Entra ID

Para los Usuarios:

• Protección ante situaciones de intento de suplantación de identidad, gracias a funcionalidades que garantizan que el usuario es quien dice ser añadiendo una segunda verificación en el momento de identificarse (autenticación en dos pasos) y a sistemas de análisis inteligente para detectar usos fraudulentos basado en la detección de comportamientos muy sospechosos.
• Si antes el usuario se gestionaba múltiples contraseñas (aunque incurriera en el riesgo de establecer la misma), con AAD el usuario deja de tener una contraseña por aplicación y en su lugar pasa a tener 1 sola identidad para acceder de manera unificada a todas las aplicaciones homologadas por la empresa.  Por tanto, una vez inicie sesión (en su equipo o en una App de Office 365), el usuario ya no deberá entrar más credenciales en las aplicaciones que así estén configuradas.
• Autonomía para el cambio y reestablecimiento de contraseñas, sin dependencias de IT.
• Validación sin contraseña (usando el móvil).

Departamento de IT:

• Mayor control sobre el acceso a datos y aplicaciones desde el exterior.
• Tranquilidad de que la identidad de los usuarios está bien protegida ante intentos de suplantación y sus consecuencias.
• Simplificación de la gestión de contraseñas, usuarios, grupos y accesos a aplicaciones Cloud.

En definitiva, Microsoft Entra ID es la clave para ayudar a proteger la identidad de los usuarios , cerrando la principal puerta de entrada a los ciberdelincuentes y facilitando además un acceso seguro a todas las aplicaciones (estén en casa o en la nube) reduciendo la gestión a los departamentos IT.

El pasado 25 de mayo de 2018 entró en vigor el GDPR (Global Data Protection Regulation), el reglamento que sustituye a la actual Ley Orgánica de Protección de Datos (LOPD), de aplicación obligatoria para todos los países miembros de la Unión Europea y que pretende garantizar que los datos personales estén protegidos con independencia de dónde se envíen, traten o almacenen. El reglamento contempla multas de hasta 20 millones de euros y de hasta el 4% de la cifra de negocio de las compañías.

Los requisitos de GDPR abordan las políticas internas, los procesos, las personas y la tecnología, exigiendo a las empresas a:

• Identificar los datos personales que tienen y dónde residen.
• Estipular la forma de utilizarlos y el acceso a ellos.
• Establecer controles de seguridad adecuados.
• Prepararse para responder a las solicitudes de las personas cuyos datos personales se encuentran en posesión de éstas.

Microsoft 365: ¿Cómo te ayudan Office 365, Enterprise Mobility + Security y Windows 10?

Microsoft ofrece Office 365, Windows 10 y Enterprise Mobility + Security en una única solución que está siempre actualizada llamada Microsoft 365, que libera a las organizaciones de la mayoría de los costes y la complejidad de usar varios sistemas fragmentados.

Microsoft 365 se encuentra en una posición única para ayudarte a cumplir con el GDPR, ofreciéndote el conjunto más completo de capacidades de cumplimiento del mercado, mucho más amplio que el de cualquier otro proveedor de servicios en la nube.

Las soluciones de Microsoft 365 te ayudan a:

• Identificar los datos personales y dónde residen, regular su acceso y uso, y establecer controles de seguridad adecuados.
• Ayudar a proteger los datos en todos los dispositivos, aplicaciones y servicios en el cloud y en local utilizando las funciones integradas de clasificación, etiquetado y protección de Microsoft 365.
• Evaluar el riesgo de cumplimiento y obtener conocimientos prácticos mediante el panel centralizado de Compliance Manager.
• Mantener protegidos los datos personales con las funciones de protección de identidad e información de Windows 10.

Office 365 y el GDPR

Existen diversas soluciones de Office 365 que pueden ayudarte a identificar o administrar el acceso a los datos personales:

• Compliance Manager: Te ayuda a realizar una evaluación continua de los riesgos para que puedas supervisar constantemente tu estado de cumplimiento de las normativas.
• Prevención de pérdida de datos (DLP) de Office 365: Puedes identificar más de 80 tipos de datos confidenciales comunes, incluida información financiera, médica y de identificación personal. Además, DLP te permite configurar las medidas que se adoptarán tras la identificación para proteger la información confidencial e impedir su divulgación accidental.
• Búsquedas de eDiscovery de Office 365: para encontrar texto y metadatos en el contenido de tus recursos de: SharePoint Online, OneDrive for Business, Skype Empresarial Online y Exchange Online. Además, eDiscovery avanzado de Office 365 emplea tecnologías de machine learning y puede ayudarte a identificar documentos pertinentes para un tema concreto (por ejemplo, una investigación de cumplimiento normativo) rápidamente y con mayor precisión.
• Customer Lockbox: Office 365 puede ayudarte a satisfacer las obligaciones de cumplimiento normativo relativas a la autorización expresa de acceso a los datos durante las operaciones de servicio.

Entre las características actuales de Office 365 que protegen los datos e identifican cuándo se produce un incidente de seguridad de los datos destacamos:

• Advanced Threat Protection de Exchange Online Protection: Protege el correo electrónico contra nuevos ataques sofisticados de malware en tiempo real. También permite crear directrices que impiden el acceso de los usuarios a datos adjuntos o sitios web malintencionados cuyo vínculo se envía por correo electrónico. Asimismo, la Inteligencia contra amenazas te ayuda a detectar y protegerte de manera proactiva frente amenazas avanzadas.
• Administración de seguridad avanzada: Te permite identificar usos anormales y de alto riesgo, que te alertarán de posibles incidentes de seguridad. También permite configurar directivas de actividad para hacer un seguimiento y responder a las actividades de alto riesgo.
• Registros de auditoría de Office 365: Puede supervisar y hacer seguimiento de las actividades de los administradores y usuarios en todas las cargas de trabajo de Office 365, lo que facilita la detección e investigación temprana de problemas de seguridad y cumplimiento normativo.

Microsoft Enterprise Mobility + Security y el GDPR

Enterprise Mobility + Security ofrece tecnologías de seguridad basadas en identidades que te ayudan a detectar, controlar y proteger los datos personales de los que dispone tu organización, desvelar posibles puntos ciegos y detectar cuándo se producen incidentes de seguridad de los datos:

• Azure Active Directory (Azure AD): Te ayuda a garantizar que únicamente los usuarios autorizados pueden tener acceso a tus entornos informáticos, datos y aplicaciones.
• Intune: Te ayuda a proteger los datos que pueden estar almacenados en ordenadores y dispositivos móviles. Puedes controlar el acceso, cifrar dispositivos, eliminar datos de dispositivos móviles de forma selectiva, y controlar qué aplicaciones almacenan y comparten datos personales.
• Azure Information Protection (AIP): Garantiza que los datos son identificables y están protegidos, un requisito fundamental del GDPR, independientemente de dónde se almacenen o de cómo se compartan. Puedes clasificar, etiquetar y proteger datos nuevos o ya existentes, compartirlos de forma segura con personas de tu organización o ajenas a ella, realizar un seguimiento de su uso e incluso revocar el acceso de forma remota. Asimismo, incluye funciones de registro y generación de informes para supervisar la distribución de los datos.
• Advanced Threat Analytics: Contribuye a localizar incidentes de seguridad e identifica a los atacantes mediante tecnologías innovadoras de análisis del comportamiento y detección de anomalías.
• Microsoft Cloud App Security: Ayuda a controlar las aplicaciones nube que utilizan los usuarios desde la empresa. Asimismo, puede leer archivos etiquetados con AIP y establecer políticas basadas en las etiquetas. El servicio escanea archivos confidenciales utilizados en aplicaciones en la nube por los usuarios de la empresa y aplica automáticamente la protección de AIP, incluido el cifrado.

Windows 10 y el GDPR

Garantizar que los dispositivos estén protegidos es otro aspecto clave de la protección de la información. Windows 10 Enterprise proporciona capacidades de protección de la información e identidades que ayudan a las empresas a cumplir los requisitos del GDPR implementado medidas de seguridad para proteger los datos personales:

• Windows Hello: Es el método de inicio de sesión sin contraseña que te ofrece la forma más rápida y segura de desbloquear tus dispositivos Windows, mediante reconocimiento biométrico (reconocimiento de la huella dactilar, facial y del iris)
• Windows Defender Credential Guard: Es una funcionalidad que protege las identidades y credenciales corporativas, almacenando y cifrando información de autenticación en un contenedor separado al que solo el software del sistema puede acceder. Si alguien toma el control de tu equipo, no podrá entrar en tu red ni copiar datos o hacer daño, pues además el sistema va a pedir una credencial que está almacenada en el equipo + Otro factor de autenticación que puede ser: Pin, huella dactilar o llamada de teléfono para comprobar que la persona que se autentica sea quien dice ser.
• BitLocker: Te permite cifrar el contenido protegiendo los datos de tu equipo en el caso de pérdida o robo de tu dispositivo.
• Windows Information Protection: Permite a tu organización controlar el uso de datos corporativos en dispositivos y aplicaciones personales según las políticas que hayas definido en tu MDM (Movile Device Managment). Esto permite, borrar en remoto solo los datos corporativos en caso de pérdida/robo de dispositivo y/o baja de usuario de la empresa, así como evitar fugas de información, impidiendo que los usuarios puedan copiar/descargar información corporativa en aplicaciones personales.

No importa en qué punto te encuentres en tu camino para cumplir con el GDPR, en Softeng como partners especialistas en soluciones en la nube de Microsoft podemos ofrecerte las últimas tecnologías que se han diseñado para ayudarte a cumplir los requisitos de la nueva normativa. Estas funcionalidades, junto con los procesos y las políticas correctas, te ayudarán a estar preparado.

¿Quieres saber más? Contacta con nosotros.

Como parte de la estrategia de transformación digital de cualquier empresa, las empresas buscan la mejor manera de ofrecer a sus empleados movilidad en entornos de trabajo flexibles y productivos, ya sea en equipos de escritorio o dispositivos móviles (en la oficina o fuera de ella), aunque ello implique un mayor desafío de seguridad para los departamentos de IT.

Por tanto, como consecuencia de ello, las empresas necesitan gestionar el elevado número de dispositivos que acceden a los datos corporativos, manteniendo el control y su protección en todo momento, lo que a priori no es tarea nada simple. Para hacer frente a este desafío contamos con Microsoft Intune, una solución de administración de dispositivos móviles (MDM, por sus siglas en inglés) y de administración de aplicaciones móviles (MAM, por sus siglas en inglés) basada en la nube, que aumenta considerablemente la productividad de los empleados al tiempo que ofrece a la organización seguridad y protección de sus datos.

Además, Intune centraliza la administración y seguridad de PCs, portátiles y dispositivos móviles desde una única consola administrativa y proporciona informes de configuración de hardware y software, permitiendo:

Administrar los dispositivos móviles que usan los empleados para acceder a los datos de la empresa.  

Administrar las aplicaciones móviles que usan los empleados para acceder a los datos de la empresa.

Administrar los dispositivos Windows de la empresa.

Verificar que todos los dispositivos y las aplicaciones se ajustan a las políticas de seguridad y cumplimiento de la organización.

Administración de dispositivos móviles (MDM)

Con Intune puedes inscribir dispositivos corporativos y personales de tus empleados para establecer configuraciones, hacer cumplir las normativas y proteger tus datos corporativos. A continuación, detallamos algunas de sus principales funcionalidades:

• Dispositivos autorizados:  Puedes gestionar todo tipo de dispositivos (iOS, Android y PCs) así como forzar políticas de seguridad para acceder a la información corporativa.
• Borrado selectivo de datos: Con esta función, si un dispositivo se pierde, ha sido robado o si el empleado ya no forma parte de la organización, los administradores pueden borrar los datos corporativos que había dentro del dispositivo, pudiendo opcionalmente hacerlo sin eliminar los datos personales del usuario.
• Despliegue automatizado de aplicaciones: Permite instalar de manera automatizada nuevas aplicaciones y actualizaciones de las mismas, en los dispositivos que gestiona Intune.
• Modelo de autoservicio para TI: Los empleados tienen la posibilidad de inscribir sus propios dispositivos e instalar aplicaciones corporativas en dispositivos iOS y Android, eliminando la carga para tu departamento de TI.
• Supervisión de dispositivos móviles: Puedes crear alertas que te avisen cuando ocurra alguna incidencia en los dispositivos controlados por Intune.
• Inventario y generación de informes de hardware y software: Informes de inventario para controlar los dispositivos con acceso a los servicios corporativos y el uso de licencias.
• Medir el cumplimiento: Intune verifica automáticamente y de forma continuada, si los dispositivos corporativos son compatibles y seguros de acuerdo con las políticas de seguridad de la empresa.

Administración de aplicaciones móviles (MAM)

Con el objetivo de mantener a salvo la información confidencial de tu empresa, Intune protege y controla la manera en que se usan y comparten los datos corporativos.  Además, si dispone de acceso condicional, existe la posibilidad de forzar que los dispositivos móviles de los usuarios solo puedan usar aplicaciones de Microsoft para acceder a los datos corporativos en Office 365, pudiendo además aplicar las políticas de seguridad deseadas.

Estas son algunas de sus principales funcionalidades:

• Control de datos corporativos: Gracias al aislamiento de datos corporativos y datos personales dentro de la misma aplicación (por ejemplo, en Outlook, OneNote, OneDrive, Teams, Edge) el departamento de TI controla los datos de la empresa mientras que el usuario mantiene la privacidad de sus datos personales.
• Protección de la información: Gracias al aislamiento anterior y a través de ciertas directivas, se cifran los datos corporativos y se protege el acceso a cada App de Microsoft instalada en el dispositivo mediante sistemas biométricos (FaceID, huella dactilar o PIN). También se puede impedir que el usuario pueda guardar o copiar datos corporativos de esas aplicaciones en cuentas o aplicaciones personales. Adicionalmente, es posible configurar que dispositivos vulnerables (por ejemplo, Jailbreak o Root), no puedan acceder.
• Informes: Crear informes sobre el inventario de aplicaciones móviles y de seguimiento del uso de las aplicaciones móviles.
• Dispositivos no inscritos (BYOD): MAM te ofrece igualmente la posibilidad de controlar y proteger tus datos en dispositivos que no estén inscritos (típicamente dispositivos personales), puesto que la protección se realiza a nivel de aplicación. Por ejemplo, en caso de pérdida de dispositivo personal, la organización podría borrar los datos corporativos del mismo, de manera remota.

Gestión y administración de PCs

Con la gestión de PC’s de Intune puedes administrar los dispositivos de Windows 10 de la misma manera que lo haces con los dispositivos móviles de la empresa. Estas son algunas de las principales funcionalidades:

• Equipos actualizados: Con Intune puedes asegurarte de que los equipos están siempre actualizados.
• Aplica configuraciones avanzadas tanto de seguridad como de gestión del dispositivo: Entre ellas, protección del dispositivo (Cifrado de Windows, Credential Guard, protección contra vulnerabilidades…), protección de identidad (Windows Hello for business), restricción de dispositivos (Limitar la tienda de Microsoft, limitar las opciones del panel de control y de configuración, gestionar Cortana y Microsoft Edge…).
• Despliegue de aplicaciones de Microsoft y de terceros, desde la consola centralizada de Intune.
• Control y protección de los datos corporativos: De manera similar a la protección que ofrece Intune para los dispositivos móviles (MAM), es posible impedir que los usuarios traspasen datos desde aplicaciones de escritorio que usen su cuenta de trabajo a aplicaciones que usen cuentas personales, ayudando a evitar fugas de información (Aplicando directivas de Windows Information Protection «WIP»).  Además, permite controlar las aplicaciones que tienen acceso a los datos de tu empresa (no solo las aplicaciones Microsoft), aplicando restricciones sobre las no autorizadas.
• Evaluación continua del dispositivo para confirmar que se cumplen los estándares de seguridad definidos por la organización o las líneas base de seguridad (Grupo de opciones de configuración recomendadas por Microsoft y que reúnen el conocimiento de expertos en seguridad de Microsoft, partners y clientes).

Valor diferencial: Intune en Enterprise Mobility + Security (EMS)

Intune forma parte de EMS y se integra perfectamente con otros componentes de la suite como Azure Active Directory (Azure AD) para la identidad y el control de acceso y Azure Information Protection (AIP) para la protección de datos corporativos. Asimismo, al usarlo junto a Office 365, permite que los empleados sean productivos en todos sus dispositivos sin poner en peligro la información de la organización. Todo ello, le da Intune un valor diferencial frente a soluciones de administración de movilidad de terceros.

Al usar Intune con los demás servicios de EMS, proporcionas a la organización una seguridad adicional puesto que una aplicación administrada con EMS tiene acceso a un conjunto más amplio de características de protección de identidad, dispositivos, aplicaciones y datos, entre ellas:

• Inicio de sesión único con aplicaciones de terceros (Twitter, Facebook, Salesforce…)
• Autenticación multifactor.
• Acceso condicional a aplicaciones.
• Simplifica el proceso de inscripción de nuevos dispositivos con Windows Autopilot.
• Compatibilidad con Rights Management.

Una de las funcionalidades que queremos destacar es la de acceso condicional, que combina el poder de Intune y Azure AD Premium. Con el acceso condicional, puedes definir políticas que limitan el acceso a tus datos corporativos según la ubicación, el dispositivo, el estado del usuario y la sensibilidad de la aplicación. Además, las capacidades de detección de riesgos pueden detectar comportamientos sospechosos y aplicar las restricciones automáticamente.

¿Cómo adquirir Microsoft Intune?

Microsoft Intune se puede adquirir como producto independiente o en alguno de los siguientes conjuntos de licencias:

• Enterprise Mobility + Security
• Microsoft 365 Business
• Microsoft 365 Enterprise
• Microsoft 365 F1

¿Quieres saber más? Contacta con nosotros.

A mediados de enero los medios informaban de una brecha de seguridad récord que exponía 773 millones de cuentas de correo y 23 millones de contraseñas en la red, con el nombre de «Collection #1». Ahora lamentablemente esas cifras se han quedado cortas al descubrir hace escasos días, una nueva filtración de hasta 2.200 millones de nombres de usuarios y contraseñas robados, bajo el nombre de «Collection #2 to #5».

En las empresas, muchos de sus usuarios (por su comodidad para recordarlas), a menudo reutilizan el mismo password que usan para temas personales en aplicaciones y portales corporativos. Ante esta situación, la amenaza de seguridad para las organizaciones es enorme ya que existe el riesgo de que un ciberdelincuente obtenga una contraseña de cualquier empleado que realice este tipo de prácticas y pruebe de usarla para acceder a los datos de tu empresa.

¿Cómo saber si han robado tu contraseña?

Para saber si tu contraseña ha sido filtrada en Collections #2-5, los analistas del Instituto Hasso Plattner han creado una herramienta online. Únicamente tienes que introducir tu correo electrónico en el campo de texto y pulsar en el botón Check email address. Una vez hecho esto, el sistema procesará tu solicitud y te enviará un email con los resultados de sus comprobaciones.

Si quieres saber si tu correo electrónico está entre los afectados de la primera filtración Collection #1, puedes comprobarlo en la web de Have I Been Pwned desde este enlace.

No obstante, pueden haber robado la contraseña de cualquier usuario mediante phishing, o sea, el típico falso correo que suplanta un servicio conocido por el usuario, tal como un banco, una red social, etc, y que es el método más fácil y rápido de que un hacker lo obtenga. Así que, no estar en esas BD, no es garantía en absoluto de que no te hayan robado ya la contraseña.

¿Cómo puedes proteger la identidad de tus usuarios?

La solución al quebradero de cabeza de los departamentos de IT ante estas amenazas de seguridad está en la nube y se llama Azure Active Directory (AAD).

AAD facilita a través de una identidad única (single sign-on) y protegida (mediante validación en 2 pasos y inteligencia artificial), un acceso seguro confirmando que los usuarios que intentan conectarse a las aplicaciones corporativas son quienes dicen ser.

¿Quieres saber más? Contacta con nosotros.

Tu departamento IT trabaja duro para mantener seguros los datos y sistemas dentro de tu empresa, pero ¿Qué sucede cuando esos datos se comparten fuera de tu organización?, ¿Qué sucede cuando se envía información sensible de tu empresa a través del correo electrónico?, ¿Es posible controlarlo?

Azure Information Protection (en adelante AIP) es la respuesta. AIP es un servicio en la nube de Microsoft que permite a las empresas proteger sus datos confidenciales mediante encriptación (estén en local o en la nube), asegurando que, aunque el documento salga de la organización hacia un entorno no seguro, solo los usuarios autorizados podrán acceder al mismo. Además, podremos delimitar las acciones que podrán llevar a cabo las personas autorizadas y continuar teniendo el documento (y sus copias), siempre bajo nuestro control, allí donde esté, aunque físicamente no tengamos acceso al mismo. Este servicio está enfocado a solucionar dos importantes necesidades para las empresas: la seguridad y el cumplimiento legal de la información.

¿Cómo protege?

En líneas generales, con Azure Information protection puedes clasificar, etiquetar y proteger documentos de office y correos electrónicos en el momento que se crean o se modifican.

• Clasificar e identificar los datos según su confidencialidad.
• Proteger los datos mediante cifrado, autenticación y derechos de uso.
• Controlar los datos compartidos en tu empresa.

Protección persistente para tus datos confidenciales

Con AIP puedes proteger el uso compartido de los datos confidenciales dentro y fuera de la organización aplicando limitaciones a las acciones que pueden realizar los usuarios cuando reciben o comparten un correo o documento. Por ejemplo, puedes evitar que un fichero se envíe a usuarios externos a la organización o restringir las acciones que pueden hacer los usuarios sobre un documento (imprimir, guardar, editar, etc…).

AIP utiliza la tecnología de protección de Azure right management (en adelante RMS), este servicio usa directivas de cifrado, identidad y autorización para proteger archivos y correo electrónico en múltiples dispositivos y de forma persistente, de manera que los datos permanecen siempre protegidos independientemente de dónde se almacenen o con quién se hayan compartido. RMS permite a los administradores crear plantillas de protección y definir reglas que protegen automáticamente documentos y correos electrónicos. Asimismo, el servicio permite también que sea el propio usuario el que proteja manualmente el documento a través de recomendaciones (definidas previamente por los administradores).

En esta imagen el administrador ha configurado reglas para detectar datos confidenciales (en este caso, información de tarjeta de crédito). Cuando un usuario guarda un documento de Word que contiene información de tarjeta de crédito, AIP le recomienda que aplique una etiqueta específica que clasifica y protege el documento, en función de la configuración.

Asimismo, con AIP puedes hacer un seguimiento de todas las actividades que se llevan a cabo con los datos compartidos, ver desde dónde se ha abierto un documento y revocar el acceso de forma remota en cualquier momento.

1- Esta pantalla muestra el número de veces que se ha  visualizado un documento y las veces que se ha revocado su acceso. 2- Esta pantalla muestra los lugares desde los que se ha abierto el documento

Identifica tus datos confidenciales

Cuando etiquetamos un documento o correo electrónico, realmente lo que hacemos es clasificar dicha información según la sensibilidad de los datos que contenga. Esta clasificación permite a los usuarios conocer el grado de confidencialidad para que sean conscientes de que exponer dicha información puede suponer un problema grave para la empresa, ya sea de filtrado de secretos corporativos, de incumplimiento de la privacidad, de datos personales, etc…

AIP permite configurar las etiquetas con la siguiente manera:

• De manera automática: Reglas para detectar contenido sensible que establece el administrador y que se aplican de manera automática.
• De manera manual: En este caso es el propio usuario el que clasifica el documento etiquetándolo con una de las opciones disponibles por defecto (Personal, Público, Interno, Confidencial y Muy Confidencial).
• Una combinación de ambas, mediante la recomendación al usuario de etiquetar el documento o correo si se detectan datos sensibles.

La clasificación recomendada ayuda a los usuarios a proteger los datos con los que trabaja con un solo clic.

Los administradores desde la consola de administración de AIP pueden vincular las etiquetas con una plantilla de administración de derechos de RMS para que se aplique la protección correspondiente. Por ejemplo:

Este correo electrónico se ha clasificado con la etiqueta «General», previamente el administrador ha configurado una regla diseñada para que los datos clasificados con esta etiqueta no puedan enviarse fuera de la organización. La etiqueta se inserta en los encabezados de correo electrónico de forma que al intentar enviar el correo se inspecciona el valor, crea una entrada de auditoria y evita que la información se envíe fuera de la organización.

Recientemente Microsoft ha ampliado las capacidades de Azure Information Protection añadiendo Scanner de AIP, una funcionalidad que proporciona la experiencia de clasificación, etiquetado y protección continua de los datos en las instalaciones propias.

El sistema rastrea continuamente los repositorios locales, como servidores de archivos y servidores de SharePoint locales, para descubrir, etiquetar y proteger los archivos, según las directivas definidas en AIP.

¿Cómo ayuda AIP a cumplir el GDPR?

AIP garantiza que los datos son identificables y están protegidos, un requisito fundamental del nuevo reglamento Europeo de protección de datos (GDPR) , independientemente de dónde se almacenen o de cómo se compartan. La clasificación, etiquetado y protección de datos que ofrece AIP ayudan al cumplimiento de esta nueva normativa y ofrecen a la empresa un entorno seguro.

Integración con Cloud App Security

La integración de Cloud App Security (CAS), la herramienta que ayuda a controlar las aplicaciones nube que utilizan los usuarios desde la empresa, y AIP facilita un nivel de protección extra a las empresas. CAS detecta si un documento se ha etiquetado de forma incorrecta, si se ha compartido con usuarios externos y éste contenía información sensible, la herramienta fuerza su correcto etiquetado.

¿Cómo adquirir Azure Information Protection

AIP se puede adquirir como producto independiente o en alguno de los siguientes conjuntos de licencias:

• Enterprise Mobility + Security
• Microsoft 365 Enterprise

Azure Information Protection es otra de las potentes herramientas que ofrece la nube de Microsoft para ayudar a las empresas a obtener la máxima seguridad y el control de sus información confidencial. Puedes descubrir estas y otras herramientas en la serie de artículos que estamos publicando en nuestro blog en los que nos adentramos en toda la temática de la seguridad y el cumplimiento ¡te animamos a que nos sigas!

¿Quieres saber más? Contacta con nosotros.

¿Sabes quién puede acceder a la información que tiene almacenada tu empresa? ¿Cumple tu organización con la nueva normativa de protección de datos? ¿Dispones de una solución de seguridad que proteja tu correo electrónico corporativo frente a las amenazas más avanzadas? En este artículo te ayudaremos a descubrir cuáles son los principales riesgos de seguridad y qué soluciones tienes a tu alcance.

Cada año se descubren más de 6.000 vulnerabilidades en los sistemas utilizados por empresas de todo el mundo. Esta cifra, recogida en el informe 2016 Trends in Cybersecurity publicado por Microsoft, pone de manifiesto la importancia de contar con un software de seguridad certificado, solvente y actualizado. Por ello, podemos afirmar, sin riesgo a equivocarnos, que ninguna compañía —sea cual sea su tamaño o el sector en el que opere—, puede permitirse prescindir de una estrategia de seguridad.

Y si garantizar la seguridad de los documentos y datos que atesora una empresa —ya sea en su sede, en una sucursal o en la nube— es una de las principales preocupaciones de los directivos de medio mundo, el gran quebradero de cabeza de los directores de tecnología es elegir el sistema que mejor se adapte a las necesidades de su empresa.

Garantizar la seguridad y cumplir con la nueva normativa GDPR

A la preocupación por la garantía de la seguridad de la información se suma el temor a las millonarias sanciones de las que podría ser objeto una compañía que no cumpla el nuevo Reglamento General de Protección de Datos Europeo (GDPR, en sus siglas en inglés), que entrará en vigor el próximo 25 de mayo de 2018.

Según la nueva legislación, que será de aplicación obligatoria en todos los estados miembros de la UE, aquellas empresas que no respeten el derecho de los ciudadanos a conocer fielmente el uso que se va a dar a sus datos, ya sean personales, públicos o profesionales, podrán ser multadas con hasta 20 millones de euros. Además, las empresas deberán garantizar la custodia de los datos de terceros y en caso de que sufrieran un ataque estarán obligadas a informar tanto a las autoridades como a los ciudadanos afectados.

4 medidas para garantizar la protección de los datos de tu empresa

Para frenar los ataques y protegerse ante las vulnerabilidades, la principal decisión que debe tomar un director de IT es apostar por la implantación de soluciones de seguridad que hagan frente a los 4 grandes riesgos que se pueden plantear en una organización:

1- Impedir que la identidad de los usuarios corporativos se ponga en peligro

Últimamente ha proliferado de manera alarmante el robo de contraseñas a través de prácticas de envio de correos fraudalentos con el objetivo de inducir a los destinatarios a revelar su información personal (técnica llamada Phising).

Además de esto, si consideramos el crecimiento del uso de aplicaciones en la nube junto con el hecho de que muchos usuarios a menudo reutilizan el mismo password para acceder a las mismas, la amenaza de seguridad para las empresas es enorme ante el riesgo de que un ciberdelincuente obtenga tan solo una contraseña de usuario para una aplicación que tal vez .. ni siquiera sea corporativa!

La solución a este quebradero de cabeza se llama Azure Active Directory, pues puede facilitar, a través de una identidad única y protegida (single sign-on),  un acceso seguro y validado en dos pasos, a todas las aplicaciones que usan los usuarios de la empresa, simplificando además enormemente la gestión IT. 

2- Proteger los datos y asegurar el cumplimiento de la normativa

Estimular la productividad con acceso a la nube al tiempo que se mantiene la información protegida y controlada es esencial. Si no dispones de una solución que te permita controlar el acceso y difusión de los documentos de tu empresa por parte de tus empleados, desde Softeng podemos ayudarte. Para ello, implantamos Azure Information Protection, que permite clasificar, etiquetar y proteger tus documentos esenciales al mismo tiempo que sirve para controlar el cumplimiento de la nueva legislación GDPR. Este aspecto queda también apoyado con los sistemas que incluyen los planes avanzados de Office 365, como el Customer Lockbox, para la obtención de la autorización expresa de cesión de datos.

3- Ampliar los controles de acceso a la información contenida en los distintos dispositivos de la empresa

Ofrecer seguridad mejorada a los dispositivos personales y de la empresa es otro de los grandes retos y, por tanto, una de las cuatro medidas que debe tomar una empresa que quiera garantizar su seguridad. En este sentido destaca la herramienta basada en la nube Microsoft Intune, que permite controlar qué dispositivos tienen acceso a aplicaciones corporativas y datos de Office 365 e impedir el acceso a los mismos en caso de que los dispositivos se pierdan o sean robados, asegurando el cumplimiento de las normas de seguridad de la empresa.

4- Salvaguardar la infraestructura

La cuarta medida esencial para tener bajo control la información de tu compañía es implantar políticas que ayuden a mantener seguros los recursos en la nube y los entornos híbridos. Para ello la clave está en apostar por fabricantes de tecnología que no escatimen en seguridad como Microsoft, que invierte en la misma más de 1.000 millones de dólares al año.  Desde un prisma de protección de infraestructura y datos así como de la posibilidad de recuperación, Azure nos ofrece amplias soluciones de recuperación ante desastres.

Microsoft 365, la solución perfecta para tus necesidades de seguridad avanzadas

Microsoft 365 E5 es la solución perfecta para aquellas empresas que quieren ofrecer un entorno de trabajo moderno, colaborativo y altamente seguro, ofreciendo una protección integral para toda la empresa. Todo ello, gracias a una completa suite que incluye Office 365, Windows 10 Enterprise y Enterprise Mobility + Security.

¿Quieres saber más? Contacta con nosotros.

Cuando se cumple mes y medio del ataque masivo sin precedentes de ‘ransomware’ que afectó a más de 150 y que alcanzó a un elevado número de organizaciones españolas, ayer mismo apareció una nueva amenaza a escala global. Se trata de Petya, un nuevo ransomware que utiliza técnicas similares a Wannacry y que ha puesto en jaque a organizaciones de todo el mundo.

El ‘ransomware’-formado por las palabras ransom (rescate) y software– está basado en un software malicioso que compromete la seguridad de los sistemas infectados impidiendo a los usuarios acceder a sus sistemas hasta que paguen una suma de dinero. En el caso concreto de Wannacry y Petya, afecta a los equipos cifrando todos sus archivos y los de las unidades de red a los que estén conectados, infectando al resto de sistemas que hay en esa misma red y pidiendo un rescate en forma de bitcoins.

Muchos de los servicios existentes en las infraestructuras clásicas incluyen firewalls, sistemas de monitorización, antivirus, antimalware, etc. que son muy útiles para evitar incidentes de seguridad clásicos, pero las nuevas técnicas que usan los atacantes están pensadas expresamente para evitar estos controles de seguridad; los ciberataques se están volviendo cada vez más sofisticados utilizando por ejemplo, ingeniería social, vulnerabilidades de día cero y hasta incluso errores de configuración para infiltrarse en las redes corporativas. Por esta razón es necesario modernizar los sistemas de control y acceso con tecnologías adecuadas a las nuevas amenazas.

¿Qué te recomienda Softeng?

A raíz de lo ocurrido, muchos de nuestros clientes han contactado con nosotros con inquietudes respecto a la protección de sus sistemas y nuestra respuesta ha sido contundente: contar con las herramientas y servicios de seguridad de Microsoft adecuadas, te ayudan a mantener tu empresa segura.

Microsoft ha puesto a disposición de sus clientes un conjunto importante de herramientas que permiten proteger los sistemas con infraestructura en la nube, infraestructura en casa e incluso infraestructura híbrida. Desde los dispositivos con Windows 10 con controles de identidad biométricos, sistemas de protección contra software malicioso y arranque siempre seguro del sistema operativo, hasta sistemas de detección de brechas de seguridad que permite detectar actividades sospechosas tanto en la red como en los propios dispositivos, e incluso entender el origen y la evolución de un ataque a la seguridad de los datos de la organización.

Estas son las herramientas que ayudan a que tu empresa esté protegida ante ataques de Ransomware:

• Intune: Te ayuda a proteger los datos que pueden estar almacenados en ordenadores y dispositivos móviles. Puedes controlar el acceso, cifrar dispositivos, eliminar datos de dispositivos móviles de forma selectiva, y controlar qué aplicaciones almacenan y comparten datos personales. Además, Intune, ayuda a gestionar de manera eficiente el despliegue de actualizaciones críticas para todos tus equipos.
• Advanced Threat Protection de Exchange Online Protection: Protege el correo electrónico contra nuevos ataques sofisticados de malware en tiempo real. También permite crear directrices que impiden el acceso de los usuarios a datos adjuntos o sitios web malintencionados cuyo vínculo se envía por correo electrónico. Asimismo, la Inteligencia contra amenazas te ayuda a detectar y protegerte de manera proactiva frente amenazas avanzadas.
• Advanced Threat Protection de Windows Defender: ATP para Windows es un nuevo servicio que ayuda a las empresas a detectar e investigar ataques avanzados y dirigidos en sus redes, así como a darles una respuesta.

Puedes descubrir estas y otras herramientas en la serie de artículos que estamos publicando en nuestro blog en los que nos adentramos en toda la temática de la seguridad. En breve publicaremos la segunda entrega de la serie así que ¡te animamos a que nos sigas!

¿Quieres saber más? Contacta con nosotros.

El próximo 25 de mayo del 2018, la legislación de datos se actualiza significativamente por primera vez en 20 años, y para la mayoría de empresas significa realizar cambios sustanciales en la forma en que se recogen y almacenan los datos.

El nuevo reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD), es de aplicación obligatoria para todos los países miembros de la Unión Europea y pretende garantizar que los datos personales estén protegidos con independencia de dónde se envíen, traten o almacenen. Esta ley actualiza la legislación europea de privacidad, para que esté más en consonancia con las tecnologías actuales, y aumenta la uniformidad de los reglamentos de privacidad en los distintos estados miembros de la UE.

Los aspectos más relevantes del nuevo reglamento

El GDPR es una normativa compleja que puede requerir grandes cambios en la forma de recoger y tratar los datos personales, esto no solo se refiere a cómo identificar y proteger los datos personales contenidos en tus sistemas, sino también la forma de satisfacer los nuevos requisitos de transparencia, detectar y notificar los incidentes de seguridad con los datos personales.

Desde Softeng hemos elaborado este artículo que te ayudará a entender el nuevo reglamento, cuantificar los requisitos y ofrecerte soluciones:

Definición estricta de los datos personales

Con la entrada del GDPR se ha remarcado de forma clara los tipos de datos que se consideran datos personales, puesto que en anteriores regulaciones cabían interpretaciones. Se consideran datos personales toda aquella información que permita identificar directa o indirectamente a un individuo, sea tanto en su rol privado, público como profesional.

Los datos privados pueden incluir:

• Nombre
• Dirección de correo electrónico
• Publicaciones en redes sociales
• Información física, fisiológica o genética
• Información médica
• Datos fiscales o bancarios
• Cookies
• Identidad cultural o religiosa

El nuevo marco territorial

Con la aplicación del Reglamento, cualquier entidad (empresa, organización, etc.) con sede en la UE debe cumplir con el Reglamento europeo, aunque procese los datos personales en otra parte del mundo. Así como cualquier entidad del mundo debe cumplir con el Reglamento europeo si procesa datos personales de ciudadanos de la UE.

Penalizaciones más estrictas

Las multas para las entidades que incumplan el Reglamento europeo pueden llegar hasta un 4% de la facturación anual o 20 millones de euros (el máximo de ambos), dependiendo de la gravedad del caso.

Mejoras en los contratos de consentimiento 

Hasta el momento, cuando un usuario daba el consentimiento legal de la cesión de sus datos personales a las entidades encargadas de almacenarlos y procesarlos, en algunos casos el texto es incomprensible o demasiado técnico para aquellas personas que no sean expertas en terminología legal. Con el nuevo reglamento los textos de consentimiento legal para la cesión de datos personales deberán ser inteligibles, claros y concisos respecto a los motivos por los cuales se solicitan los datos personales y sobre qué uso se les dará. Además, el consentimiento no será viable para menores de 16 años si no lo da alguno de sus tutores legales.

Notificación de brechas de seguridad

Cualquier entidad que tenga almacenados o se dedique a procesar datos personales, en el caso de ser víctima de un ciberataque debe comunicarlo a las autoridades competentes y a todos los usuarios afectados en menos de 72 horas. No se permitirá ningún tipo de demora en la comunicación de este tipo de incidentes.

Derecho al acceso de los datos personales propios

Cualquier ciudadano de la UE puede solicitar una copia en formato digital de los datos personales que una entidad tenga de uno mismo, así como recibir una justificación de para qué y como se usan sus datos.

Derecho al olvido 

Cualquier ciudadano de la UE puede solicitar el borrado completo de sus datos a cualquier entidad, incluyendo el cese del procesamiento de estos, así como notificar a terceras partes con las que hayan compartido esta información; siempre y cuando esta solicitud no vulnere el derecho de la entidad a publicar dicha información en interés y beneficio del público en general.

Portabilidad de los datos personales

En cualquier momento un ciudadano de la UE puede solicitar que sus datos personales sean extraídos en formato digital para poder trasladarlos de una entidad a otra, sin que ésta pueda impedirlo ni almacenar copias de dicha información sin el consentimiento del sujeto.

Incorporación de un Data Protection Officer (DPO)

Con la aparición del Reglamento europeo surge el requisito para algunas entidades de incorporar un nuevo perfil profesional que se encargue de velar por la protección de los datos personales de sus trabajadores, clientes y proveedores, llamado Data Protection Officer. La presencia de este perfil es de carácter obligatorio dentro de una entidad cuando ésta realice procesados intensivos de datos personales, o se encargue de procesar datos de extrema sensibilidad, como datos médicos, financieros, etc.

En Softeng te ayudamos a cumplir el GDPR con las soluciones en la nube de Microsoft 

Microsoft considera que el GDPR representa un avance significativo en los derechos fundamentales de privacidad y que sus objetivos son consistentes con el compromiso que tiene la compañía desde hace tiempo con la seguridad, la privacidad y la transparencia.

Softeng te ayuda a enfocarte en tu negocio principal a la vez que te preparas para el GDPR. Nuestro objetivo es facilitar el cumplimiento de la nueva normativa mediante el uso de tecnología inteligente, innovación y colaboración y para ello, te ayudamos a implantar y activar los productos en la nube de Microsoft.

¿Cómo te ayudan Office 365, Enterprise Mobility + Security y Azure?

Microsoft ofrece el conjunto más completo de capacidades de cumplimiento del mercado, mucho más amplio que el de cualquier otro proveedor de servicios en la nube. En la actualidad ya existen productos y servicios en la nube de Microsoft que te ayudarán a:

• Ubicar y categorizar los datos personales existentes en tus sistemas.
• Crear un entorno más seguro.
• Simplificar la administración y supervisión de los datos personales a través de herramientas y recursos necesarios para cumplir con los requisitos de presentación de informes y evaluación del GDPR.

Microsoft Office 365 y el GDPR

Existen diversas soluciones de Office 365 que pueden ayudarte a identificar o administrar el acceso a los datos personales:

• Prevención de pérdida de datos (DLP) de Office 365: Puedes identificar más de 80 tipos de datos confidenciales comunes, incluida información financiera, médica y de identificación personal. Además, DLP te permite configurar las medidas que se adoptarán tras la identificación para proteger la información confidencial e impedir su divulgación accidental.
• Búsquedas de eDiscovery de Office 365: para encontrar texto y metadatos en el contenido de tus recursos de: SharePoint Online, OneDrive for Business, Skype Empresarial Online y Exchange Online. Además, eDiscovery avanzado de Office 365 emplea tecnologías de machine learning y puede ayudarte a identificar documentos pertinentes para un tema concreto (por ejemplo, una investigación de cumplimiento normativo) rápidamente y con mayor precisión.
• Customer Lockbox: Office 365 puede ayudarte a satisfacer las obligaciones de cumplimiento normativo relativas a la autorización expresa de acceso a los datos durante las operaciones de servicio.

Entre las características actuales de Office 365 que protegen los datos e identifican cuándo se produce un incidente de seguridad de los datos destacamos:

• Advanced Threat Protection de Exchange Online Protection: Protege el correo electrónico contra nuevos ataques sofisticados de malware en tiempo real. También permite crear directrices que impiden el acceso de los usuarios a datos adjuntos o sitios web malintencionados cuyo vínculo se envía por correo electrónico. Asimismo, la Inteligencia contra amenazas te ayuda a detectar y protegerte de manera proactiva frente amenazas avanzadas.
• Administración de seguridad avanzada: Te permite identificar usos anormales y de alto riesgo, que te alertarán de posibles incidentes de seguridad. También permite configurar directivas de actividad para hacer un seguimiento y responder a las actividades de alto riesgo.
• Registros de auditoría de Office 365: Puede supervisar y hacer seguimiento de las actividades de los administradores y usuarios en todas las cargas de trabajo de Office 365, lo que facilita la detección e investigación temprana de problemas de seguridad y cumplimiento normativo.

Microsoft Enterprise Mobility + Security y el GDPR

Enterprise Mobility + Security ofrece tecnologías de seguridad basadas en identidades que te ayudan a detectar, controlar y proteger los datos personales de los que dispone tu organización, desvelar posibles puntos ciegos y detectar cuándo se producen incidentes de seguridad de los datos:

• Azure Active Directory (Azure AD): Te ayuda a garantizar que únicamente los usuarios autorizados pueden tener acceso a tus entornos informáticos, datos y aplicaciones.
• Intune: Te ayuda a proteger los datos que pueden estar almacenados en ordenadores y dispositivos móviles. Puedes controlar el acceso, cifrar dispositivos, eliminar datos de dispositivos móviles de forma selectiva, y controlar qué aplicaciones almacenan y comparten datos personales.
• Azure Information Protection: Garantiza que los datos son identificables y están protegidos, un requisito fundamental del GDPR, independientemente de dónde se almacenen o de cómo se compartan. Puedes clasificar, etiquetar y proteger datos nuevos o ya existentes, compartirlos de forma segura con personas de tu organización o ajenas a ella, realizar un seguimiento de su uso e incluso revocar el acceso de forma remota. Asimismo, incluye funciones de registro y generación de informes para supervisar la distribución de los datos.
• Advanced Threat Analytics: Contribuye a localizar incidentes de seguridad e identifica a los atacantes mediante tecnologías innovadoras de análisis del comportamiento y detección de anomalías.

Microsoft Azure y el GDPR

Un requisito fundamental de la nueva normativa es identificar los datos que tienes y para ello, Azure te permite administrar las identidades y credenciales de los usuarios, así como controlar el acceso a los datos a través de varias herramientas o servicios:

• Azure Security Center: Supervisa continuamente los recursos, ofrece recomendaciones de seguridad útiles, y te ayuda a impedir amenazas, detectarlas y responder a ellas. Las funciones avanzadas de análisis integradas te ayudan a identificar ataques que de otro modo podrían no detectarse.
• Cifrado de datos en Azure Storage: Protege tanto los datos en reposo como los datos en tránsito, cifrándolos automáticamente. También puedes usar Azure Disk Encryption para cifrar los discos de datos y sistemas operativos usados por máquinas virtuales.
• Azure Key Vault: Te permite proteger las claves criptográficas, los certificados y las contraseñas que contribuyen a la protección de los datos.
• Log Analytics: Te ayuda a recoger y analizar los datos generados por los recursos en tus entornos locales o en la nube. Proporciona información en tiempo real mediante paneles de búsqueda y personalizados integrados para que puedas analizar inmediatamente millones de registros en todas las cargas de trabajo y los servidores con independencia de su ubicación física.

En líneas generales, Microsoft lidera la industria en el compromiso con los clientes, los organismos reguladores y las juntas de normativas y estándares para avanzar en el cumplimiento de las normativas más estrictas de privacidad y seguridad. No obstante, la compañía está trabajando en nuevas características y funcionalidades adicionales en conformidad con el GDPR antes de mayo de 2018.

Nuestra recomendación es que no esperes hasta la entrada en vigor del Reglamento para prepararte. Debes empezar a revisar tus prácticas de privacidad y administración de datos puesto que el incumplimiento del GDPR puede salir muy caro. Para ello, Softeng te ofrece su experiencia y calidad para ayudarte a trazar y consensuar la estrategia más adecuada para que tu empresa cumpla con el GDPR ayudándote demás a implementar y sacar partido a todas las herramientas de seguridad que te hemos explicado en este post.

¿Quieres saber más? Contacta con nosotros.