El objetivo de las empresas con ambición digital

Con los últimos avances e innovaciones que siguen surgiendo, como todo lo relacionado con la inteligencia artificial y la tecnología GPT, parece que se abre un nuevo y largo camino por recorrer.

Esto provoca que la digitalización va a seguir siendo uno de los objetivos estratégicos y desafíos más importantes de las empresas, estén en la fase que estén, porque, a pesar de su complejidad y de que el ritmo de innovación avance más rápido de lo que la mayoría de las empresas pueden absorber, la digitalización ofrece múltiples oportunidades que bien aprovechadas se traducen en beneficios para el negocio.

Durante todo este viaje de digitalización, conocido como la revolución digital, las empresas se han centrado en la transformación y optimización de la tecnología y los procesos, teniendo cada vez más presente la ciberseguridad.

La transformación de la cultura corporativa y el entorno de trabajo

La transformación digital ha implicado una evolución cultural en la empresa, cambiando la manera de trabajar e integrando mucha más tecnología digital en todas las áreas de negocio. Aquí, la adopción de la nube ha sido determinante en las empresas, y sigue siéndolo, para avanzar en su digitalización, habilitándoles para ser más productivas y eficientes, además de fomentar la innovación y colaboración como parte de la cultura.

Después de transformar, optimizar

Con los recursos y activos corporativos ya digitalizados, muchos de los procesos de negocio continúan siendo tareas manuales y repetitivas. Esto implica que sean poco eficientes y, por lo tanto, más costosos.

La siguiente fase del viaje digital se centra en la optimización de los procesos de negocio para aumentar la productividad, mejorar la eficiencia y reducir costes. Aquí, la palanca esencial es la automatización, que permite que las personas se centren en tareas que aportan mayor valor al negocio, automatizando todas aquellas tareas y procesos manuales de poco valor.

En este punto, es muy importante entender bien el valor de la tecnología y saber cómo aprovechar su potencial.

Y ahora, ¿Qué es lo siguiente?

La adopción de tecnologías disruptivas como la inteligencia artificial y la tecnología GPT (Generative Pre-trained Transformer) está desencadenando una revolución sin precedentes. Estas innovaciones están cambiando radicalmente la forma en que las empresas operan, generando un impacto significativo en la productividad, la optimización de procesos y la toma de decisiones estratégicas. Por todo ello, se está ganando por méritos propios el nombre de “La revolución inteligente”.

En este contexto, para ser más competitivo que tu competencia y liderar el cambio, la palanca clave es maximizar. Sin embargo, no todas las empresas están preparadas porque es necesario contar con la suficiente ambición digital para hacer frente a los principales desafíos actuales: acelerar la innovación en la nube, siendo capaces de aprovechar todas las oportunidades que nos ofrece la nube; garantizar la ciberseguridad, contando con la ayuda especialista adecuada para poder cubrir con agilidad, rapidez y eficacia la sofisticación de los ciberataques actuales y su constante evolución; y, por último, maximizar el ROI de la nube, que nos permita seguir avanzando de manera continua y sostenible.

ℹ️Solo aquellas empresas con la suficiente ambición digital van a ser capaces de maximizar el potencial de la nube. ¿Sabes cuál es el ADN de las empresas con ambición digital?  Descúbrelo aquí >

Son muchas las empresas que se ven diariamente afectadas por brechas de seguridad que provocan el robo, secuestro y destrucción de la información confidencial. Todas estas brechas suelen tener un origen común: Contraseñas de usuarios comprometidas. 

En muchos casos (más del 52%), estas brechas son fruto de un error humano (usuarios usando las mismas contraseñas que utilizan cuando se registran en ciertas webs, abriendo correos electrónicos en los que se solicita iniciar sesión en un formulario fraudulento, usando contraseñas sencillas, etc..).

En efecto, el robo de contraseñas está siendo muy habitual y pone de manifiesto la importancia de proteger la identidad del usuario más allá de su contraseña, ya que con el tiempo acabará comprometida. Sin duda, una cuenta protegida únicamente con una contraseña es un objetivo fácil para los atacantes.

No todas las víctimas quedan en el anonimato

Recientemente ha salido publicada una noticia en los medios sobre el ataque de suplantación de identidad (phishing) que ha sufrido la empresa municipal de transporte urbano de Valencia (EMT). En este caso, los «hackers» enviaron unos correos en nombre de un directivo de la compañía a la jefa de administración en los que ordenaba el pago de varias operaciones financieras por valor de 4 millones de euros y lamentablemente la empleada confió realizando dichos pagos. Este tipo de estafas está siendo cada vez más relevante entre las empresas que no se protegen adecuadamente pero no salen a la luz por razones obvias (vergüenza). En este caso la empresa es pública y por ese motivo ha aparecido en los medios aunque en efecto , desde Softeng estamos viendo clientes que todavía no han apostado por protegerse, sufriendo casos similares.

¿Cómo puedes evitar que ocurra algo similar en tu empresa?

La solución

Puedes ayudar a prevenir algunos de los ataques de identidad adoptando una estrategia de capacitar a tus empleados para protegerse frente al phishing, pero lo que realmente te ayudará es que prácticamente sea irrelevante que te roben la contraseña, añadiendo un paso adicional para autentificarse.

La autenticación en dos pasos (denominada MFA) proporciona una capa adicional de seguridad a tu empresa, siendo un método de control de acceso que permite confirmar la identidad de un usuario para demostrar que es quien dice ser. Funciona mediante la solicitud de dos, o más, de los siguientes métodos de autenticación:

• Un elemento que conoces (normalmente una contraseña o pin).
• Un elemento del que dispones (un dispositivo de confianza , como un teléfono móvil o una llave digital).
• Un característica biométrica que te identifica (una huella digital o tu rostro).
• Una App en tu dispositivo, protegida, que permite al usuario autorizarse el acceso.

Con el uso de varios factores para verificar la identidad de un usuario, la inmensa mayoría de los ataques de robos de contraseñas quedan neutralizados puesto que su trabajo se multiplica exponencialmente al necesitar «hackear» más de un sistema al mismo tiempo para lograr el acceso.

La autenticación dos pasos es muy sencilla de utilizar e incluye la posibilidad de configurar ubicaciones de confianza (delegaciones, sedes,..) para mayor seguridad y comodidad de los usuarios.

La recomendación

Los consejos habituales sobre cambiar a menudo la contraseñas o que ésta sea complicada, realmente no sirven de nada frente a los millones de ataques que se sufren a diario (más de 300 millones de intentos de inicio de sesión fraudulentos dirigidos a los servicios en la nube de Microsoft). La idea es, si tu contraseña no te la ha robado nadie, para qué cambiarla? O.. si tu contraseña ya la tiene un hacker y no lo sabes, ¿por qué esperarse 2 meses a cambiarla?

Según los estudios, las soluciones de autenticación de múltiple factor bloquean el 99,9% de estos intentos de inicio de sesión no autorizados.

 ¿No crees que ha llegado el momento de incorporarlo en tu empresa?

¿Cómo puedes disponer de la autenticación en dos pasos?

Esta prestación viene incluida en la suscripción de Azure Active Directory Premium y en los paquetes que la contiene: Una solución que además de ayudar a garantizar el acceso a las aplicaciones y datos solo a las personas que realmente son quienes dicen ser, incluye la capacidad de aplicar restricciones más inteligentes mediante tres características clave:

• Acceso condicional: Para limitar el acceso a aplicaciones desde el exterior de la empresa (basado en pertenencia a grupo, localización geográfica y estado del dispositivo).
• Protección de identidad: Acceso condicional basado en riesgos. Para ello, se analizan comportamientos extraños (por ejemplo, ha iniciado sesión desde ubicaciones muy lejanas en un tiempo imposible, se intenta acceder desde un equipo no gestionado por la organización y otros).
• Gestión de identidades privilegiadas: Administración y protección de cuentas de administrador, permitiendo asignar el rol de administrador a un usuario de forma temporal, alertando del cambio y supervisando su acceso a los recursos.

En definitiva, los «hackers» tienen cada vez más métodos a su disposición para obtener las credenciales de los usuarios y, en la mayoría de los casos, la acabará obteniendo.

¿Quieres saber más? Contacta con nosotros.

La nueva era digital unida a la realidad actual motivada por el COVID-19 está transformando a las empresas de manera acelerada conllevando riesgos considerables de seguridad que es necesario atender. En efecto, las fronteras de seguridad se difuminan y la inversión requerida para garantizar la seguridad en nuestras identidades digitales, dispositivos y fuga de datos, aumenta. Por ello, es necesario articular mecanismos de seguridad que permitan detectar, analizar y eliminar las amenazas a nuestras empresas, así como planes de actuación que establezcan con claridad qué hacer ante una brecha de seguridad.

IDC España, el principal proveedor global de inteligencia de mercado, ha elaborado un informe que te presentamos hoy y que trata del impacto de la transformación digital en la seguridad. Esta transformación, requiere un nuevo nivel de seguridad en el que la Inteligencia artificial y la nube juegan un papel fundamental al permitir habilitar la “confianza digital”, vista como la percibida por nuestros clientes, proveedores y empleados sobre la protección de sus datos y privacidad.

Además, IDC analiza al final del informe las ventajas estratégicas de la plataforma de ciberseguridad de Microsoft,  por qué debería considerarse a Softeng como partner de ciberseguridad inteligente y cómo exactamente la simplifica para ponerla al alcance de todas las empresas.

¡Descarga el informe aquí!

A principios de marzo celebramos en Barcelona una nueva edición de nuestro evento «Cómo acelerar la transformación digital de tu empresa», este año centrado en todas las novedades de seguridad y en descubrir el nuevo puesto de trabajo moderno con Microsoft 365.

En esta nueva edición celebrada en Barcelona en La Pedrera, llenamos completamente el auditorio con casi 200 asistentes, que tuvieron la oportunidad de descubrir de manera comprensible no solo cómo la nube de Microsoft estimula la transformación digital, sino cómo las empresas se pueden beneficiar de ella y crecer, colaborando y trabajando de forma segura y protegiendo su información confidencial.

Bienvenida y apertura

La jornada comenzó con la charla de Santi Oller, director de desarrollo de negocio de Microsoft. En su discurso de bienvenida, destacó a Softeng como uno de los principales partners con más conocimiento y experiencia en soluciones en la nube. A continuación, os dejamos una parte de la charla que hizo Santi, en la que habla de Softeng:

«Para abordar la transformación digital con seguridad es importante contar con compañeros de viaje que sepan guiaros y ayudaros y por ese motivo, quiero destacar y reconocer a Softeng como uno de los partners con más competencias Gold de Microsoft que demuestra su esfuerzo continuo en estar al día en toda la tecnología e innovación que Microsoft pone en el mercado. Además es uno de los pocos partners a nivel mundial en tener la competencia Gold de seguridad, de hecho, cuando la consiguieron el pasado Octubre, eran uno de los dos únicos partners en el mundo en conseguirla.»

A continuación, os dejamos un resumen con los aspectos claves de las ponencias:

KeyNote – Lo que necesitan conocer los directivos para simplificar y acelerar la transformación digital de su empresa de manera segura

Carlos Colell, CEO de SOFTENG e Imma Rasero, Partner & Customer Advisor, comenzaron su KeyNote explicando porqué la transformación digital debe ser una prioridad para las empresas, destacando que básicamente es la ayuda que tienen las empresas para incrementar su ventaja competitiva y marcar la diferencia.

La transformación se basa en 4 pilares principales que se representan en esta imagen de la derecha. Carlos comentó que llevando a cabo este proceso de manera continua, las empresas podrán atraer y retener talento, crecer y sobre todo perdurar en el tiempo.

¿Cuál es el papel de la seguridad en la transformación digital?

Aunque la seguridad no es uno de los «pilares» de la transformación digital, es un imperativo que vaya implícita, en cada uno de los ejes de la transformación digital. Para facilitar la compresión del por qué, hoy en día está cobrando importancia el concepto de la confianza digital, que es el conjunto de medidas de seguridad y privacidad que llevan a cabo las empresas para garantizar:

• A los clientes: Que su información va a estar segura y va a ser tratada con confidencialidad
• A los empleados: Que van a trabajar en un entorno moderno y seguro, sin perjudicar su productividad.
• A los Partners: Que van a trabajar en entornos de colaboración donde van a poder compartir información de forma segura.

Carlos comentó que, la base de la confianza digital es la seguridad, pero a pesar de ello, lamentablemente muchas empresas siguen sin estar suficientemente protegidas. En lo que llevamos de año, el porcentaje de ataques ha aumentado considerablemente respecto a años anteriores y en la mayoría de casos estos incidentes se inician por credenciales comprometidas.

En este sentido, nos hablaron de los incidentes que nos encontramos habitualmente en las empresas y sus consecuencias, que representamos en la siguiente imagen:

Además de esto, un incidente de seguridad en la empresa puede producir un grave perjuicio a nuestros clientes, ya que pueden verse comprometidos sus datos e incluso sus secretos y pérdidas de reputación puesto que perdemos la confianza de nuestros clientes y por tanto pueden marcharse.

Seguidamente Carlos nos habló sobre los errores más comunes de seguridad en las empresas, entre los que se encuentra el tener una estrategia de seguridad basada en contraseñas; recalcando que las empresas deben entender que las contraseñas de algún usuario quedarán expuestas seguro, tarde o temprano y por tanto deben tomarse nuevas medidas como, por ejemplo, el doble factor de autenticación. Asimismo, otro de los errores comunes, es contar con varias soluciones de seguridad de diferentes fabricantes que tiene como consecuencia la falta de comunicación entre productos, requiere de más dedicación y provoca un mayor tiempo de reacción.

Para finalizar, nos hablaron sobre la estrategia y recomendaciones concretas para superar los retos más habituales. En este punto Imma destacó que la seguridad tradicional es insuficiente cuando trabajamos en entornos modernos, donde la información está distribuida en muchos lugares y los usuarios acceden desde cualquier parte. Por este motivo, las empresas necesitan un nuevo modelo de seguridad que proteja a: personas, aplicaciones, dispositivos y datos con independencia de donde estén ubicados. Para ello nos hablaron de adoptar la estrategia Zero Trust que no da nada por supuesto, ni se confía en nada ni nadie.

Carlos comentó que tanto en la siguiente ponencia como en las demos que vendrían después los asistentes descubrirían como Microsoft 365 y Azure es la solución para aterrizar todo lo comentado en esta ponencia.

La solución holística de Microsoft para un entorno de trabajo moderno y seguro: La evolución de Microsoft 365 y Azure

Esta ponencia fue liderada por Antonio García, Cloud Technology Strategist de Microsoft en España. En su ponencia, mostró a los asistentes cómo las novedades en Microsoft 365 y Azure simplifican en una sola plataforma el puesto de trabajo para impulsar la colaboración, el cumplimiento legal y la seguridad, protegiendo de manera integral a las personas, aplicaciones, datos, dispositivos e infraestructura (en casa o en la nube) de toda tu organización.

En ella, nos habló de la apuesta de Microsoft por ofrecer una única plataforma de colaboración, segura e inteligente diseñada para cubrir las necesidades de todas las empresas, Microsoft 365.

Microsoft 365 nace para abarcar y simplificar en un solo producto la modernización del lugar de trabajo de las empresas, incluyendo herramientas para la colaboración, seguridad y cumplimiento legal, análisis e inteligencia.

DEMO «Entorno de trabajo moderno»: Descubre cómo las novedades de Microsoft 365, Power Platform e IA impulsarán la productividad de tu empresa al siguiente nivel 

Comenzamos la parte de demo con la sesión de nuestros expertos en productividad y colaboración, Ramón Masuet y Claudia Casas. En ella, nos hablaron de como el puesto de trabajo se debe redefinir a través del proceso de transformación digital, algo que va mucho más allá de un cambio tecnológico, basándose en estos procesos:

Ramón comentó que, aunque la teoría pueda parecer fácil, la realidad es que, si no contamos con una solución transversal, con servicios comunicados y que se entiendan entre sí, podríamos tener muchos problemas en este proceso. Debemos dar soluciones para conseguir que las ideas de los usuarios puedan llevarse a cabo, que las aplicaciones se comuniquen y que podamos acceder a los recursos de la empresa con dispositivos personales y empresariales sin ningún tipo de problema y sin depender del departamento IT.

Durante la sesión los asistentes pudieron comprobar a través de una fantástica DEMO y casos reales, cómo todos estos obstáculos se pueden superar con las soluciones de Microsoft 365. Los asistentes pudieron ver como la comunicación y la productividad de los empleados mejora gracias a las capacidades más avanzadas de Teams y la automatización de procesos de negocio con las nuevas capacidades de Power Platform. Asimismo, mostraron a los asistentes cómo conseguir información valiosa para su empresa analizando grandes cantidades de datos mediante las soluciones de inteligencia artificial de la nube de Microsoft.

Para finalizar Ramon y Claudia nos comentaron que en la siguiente sesión los asistentes podrían comprobar cómo todo lo que hasta ahora habían visto era tremendamente seguro.

Demo Seguridad: Descubre la diferencia…. entre una empresa protegida y otra que no lo está

La demo de seguridad fue protagonizada por Jordi Fernández, David Rangel y Álex Imbernon, todos ellos expertos en seguridad de Softeng. El objetivo de la sesión era mostrar de forma práctica todo lo que se había hablado hasta el momento sobre seguridad.

Jordi comenzó comentando que hoy en día muchas empresas ya tienen implementadas soluciones de seguridad que van más allá de un antivirus y un firewall, probablemente tienen soluciones que protejan la identidad, soluciones de gestión de dispositivos, etc… pero, aun así, Jordi lanzó una pregunta al público.

¿Qué pasa si ya están dentro?

En la keynote de Carlos e Imma pusieron el ejemplo de empresas que habían descubierto una brecha pasados más de 100 días de la intrusión y ante una situación similar Jordi exponía esta serie de preguntas:

• ¿Cuánto tiempo hace?
• ¿Qué han hecho?
• ¿Qué información se ha podido comprometer?
• ¿Qué pasará si se hace público?
• ¿Tengo un sistema que me puede avisar al instante?
• ¿Tengo herramientas para hacer un diagnóstico?

Seguidamente comentaba que necesitamos respuestas a estas preguntas de forma rápida, fácil y concisa. El objetivo es ser capaz de detectar una brecha antes de que pueda escalar en la red de la empresa y para ello, la clave para protegernos de forma eficiente contra los ataques de hoy en día es contar con:

• Una plataforma segura por diseño que ofrezca soluciones de seguridad
• Inteligencia artificial para tomar acciones automáticas
• Un sistema integrado. En este punto destacaba que todas las soluciones necesitan poder hablarse entre ellas para que puedan detectar una brecha rápidamente y actuar automáticamente.

Después de esta introducción comenzaron la DEMO mostrando inicialmente un escenario de un caso real de lo que le sucede a una empresa que no protege la identidad de sus usuarios, ni los dispositivos que usan, ni la información a la que acceden y seguidamente mostraron el escenario de lo que le sucede a una empresa protegida correctamente cuando se ataca a los empleados, dispositivos, datos & aplicaciones e infraestructura (on-premise o en la nube), gracias a servicios y soluciones como el doble factor de autenticación, attack simulator, el etiquetado automático de AIP, Windows Autopilot o Azure Sentinel entre muchas otras soluciones incluidas en Microsoft 365 y Azure.

DEMO «Gobierno y gestión del cambio»: Las herramientas que estabas esperando para superar los retos de tu organización y acelerar su transformación

En la última demo de la Jornada, Marc Jordana y Miquel Castelló comenzaron su ponencia comentando que la transformación digital no es un proyecto de IT, es un proceso organizativo que sí que implica tecnología pero que también implica cambiar la organización, la manera de trabajar. Las claves del proceso son:

• Determinar los objetivos del cambio.
• Escoger las herramientas adecuadas.
• Empoderar a los usuarios.
• Mantener el control y la seguridad.

Durante la sesión, Marc y Miquel mostraron a los asistentes en una DEMO con escenarios reales de una empresa, cómo con las herramientas de Microsoft 365 y el portal CSP de Softeng pueden conocer con un clic el riesgo de sufrir un incidente de seguridad automáticamente calculado según las defensas activas de la empresa, los ataques que esté recibiendo y los indicios que ya haya un intruso en la organización. Asimismo, mostraron cómo es posible impulsar continuamente a las personas de la empresa a sacar partido de las capacidades actuales y futuras de Microsoft 365 y, por último, mostraron cómo se puede reducir drásticamente el tiempo de gestión de los procesos más habituales de la empresa como: El gobierno de altas / bajas de empleados y sus datos, optimización de licencias, distribución de costes por sedes y mucho más.

Para finalizar repasaron los puntos que gracias a las soluciones de Microsoft y Softeng, había conseguido la empresa de la demo:

• Una visión clara de todo el proceso que se hace en la empresa para definir una estrategia de optimización.
• Sacar mucho más partido a las herramientas de Microsoft 365.
• Conseguir que la gestión del cambio y la gobernabilidad sea algo que no ocupe ni demasiado presupuesto, ni demasiado tiempo ni demasiados recursos.

Broche final

Para finalizar la jornada, los asistentes tuvieron la oportunidad de participar en una mesa redonda con nuestros expertos en seguridad, productividad, cumplimiento, así como con nuestros expertos legales. En ella pudieron resolver todas sus dudas y posteriormente, disfrutar de un buffet lunch en el que pudieron hacer networking con el resto de invitados e intercambiar dudas y experiencia con especialistas tanto de Microsoft como de Softeng.

¡Gracias a todos los asistentes! Tanto por su participación como por los grandes resultados que hemos vuelto a obtener en las encuestas pues nos impulsan a seguir trabajando y esforzándonos en ofrecer el mejor servicio y calidad.

Para los que os hayáis quedado con las ganas de saber más, os invitamos a que contactéis con nosotros para descubrir cómo podemos ayudarte a proteger tu empresa.

¿Quieres saber más? Contacta con nosotros.

A medida que las empresas se esfuerzan por mantenerse al día en un mundo donde se da prioridad a la nube y a la movilidad, la seguridad y el cumplimiento adquieren una posición de vital importancia.

Por tanto, al mismo tiempo que el trabajo móvil se convierte en una parte integral del negocio, los dispositivos y aplicaciones de los empleados pasan a estar en la primera línea de defensa frente a una gran cantidad de amenazas cada vez más avanzadas. De hecho, estos ataques maliciosos son un riesgo inasumible para las empresas tanto por cuestiones de seguridad como de legalidad, puesto que, además de los graves problemas que conlleva la fuga de datos confidenciales, tras la llegada del GDPR, las empresas se enfrentan a cuantiosas sanciones económicas y a la inherente penalización por parte de sus clientes y el mercado.

Para hacer frente a estos desafíos de seguridad, Microsoft nos ofrece Enterprise Mobility + Security (en adelante EMS), una plataforma de seguridad, basada en la identidad, diseñada para ayudar a las empresas a administrar y proteger sus dispositivos, aplicaciones y datos corporativos.

Concretamente EMS ofrece a las empresas capacidades de seguridad a través de diferentes líneas de defensa (el llamado principio de «defensa en profundidad«), de manera que todas las líneas se complementan entre sí (y si por cualquier motivo una se supera por una amenaza, la siguiente línea puede ser la que nos evite el desastre).

EMS se compone de 4 áreas de protección que te ayudarán a seguir con la transformación digital de tu organización, de manera segura:

Gestión de identidad y acceso

Con la creciente popularidad de aplicaciones en la nube, redes sociales y portales web, que usamos en nuestro día a día accediendo con diferentes credenciales (usuario) pero a menudo, reutilizando la misma contraseña (evitando tener que recordar tantas). Esta manera de actuar de los usuarios en su vida personal conlleva un riesgo enorme. ¿Por qué?  De entrada, el número de filtraciones (conocidas) de datos de usuarios de grandes redes sociales y servicios de consumidor de los últimos 12 meses son elevadísimas («Google Plus», «Facebook», «Movistar», «IESE», «Adidas», «Job Talent», «Ticketmaster», «myHeritage», entre muchos otros), por lo que la amenaza de seguridad para las empresas es enorme ya que los ciberdelincuentes , una vez disponen de un usuario y contraseña personal, averiguan fácilmente donde trabaja esa persona y luego prueban con la misma contraseña para acceder a la información sensible de las empresas donde trabajan, acertando en muchos casos. Paralelamente, los ciberdelincuentes también usan las campañas masivas de envío de correos falsos solicitando a nuestros usuarios (a su email corporativo o personal), entrar en cualquier sitio para poder robarles una contraseña. Y cada vez lo hacen mejor.

Para evitar el riesgo que todo ello conlleva, es necesario proteger la identidad de nuestros usuarios corporativos y para ello EMS incluye Azure Active Directory Premium (AAD Premium) , que ayuda a garantizar el acceso a las aplicaciones y datos solo a las personas que realmente son quienes dicen ser.

Además, nos ofrece la capacidad de aplicar restricciones más inteligentes mediante tres características clave:

«Acceso condicional«: Antes, las empresas solo podían pedir cosas del estilo: «Que los usuarios solo puedan acceder desde dentro de la empresa!», pero ahora… nos pueden pedir: «Qué los usuarios puedan acceder desde fuera de la empresa, pero estableciendo condiciones según necesidad» (solo desde dispositivos corporativos o personales autorizados, solo desde ubicaciones conocidas, obligando a usar multi-factor y/o impidiendo extraer información, entre otros requisitos). Haciendo un símil, puedes pensar en el acceso condicional de Azure AD como el portero de seguridad de un edificio, pues da la bienvenida a los buenos vecinos mientras desafía a otros a confirmar su identidad y negar la entrada a los completamente desconocidos, o… tal vez los deje pasar, avisándonos que sube y acompañándolo.

«Protección de identidad«: Los criminales intentan casi 100 millones de inicio de sesión fraudulentos al día y deberíamos saber si alguno nos impacta. Para ello, los informes de «Protección de identidad» , nos ofrecen inteligencia para detectar e informar a IT de inicios de sesión sospechosos tales como los que implicarían la  realización de un viaje a un lugar extraño hasta la fecha o imposible por el tiempo entre un inicio de sesión y otro (detectando la intrusión por la probabilidad de que puedan ser en realidad personas distintas) o localizando contraseñas de usuarios en venta por internet. Además, junto al «Acceso condicional«, nos ofrece la potencia para permitir a los usuarios que se conecten siempre y cuando no haya riesgo en su sesión (por ejemplo, si lo hicieran desde un equipo con virus o malware) o solo dejándoles conectar si se cambian su contraseña cuando el sistema sepa que se la han robado. Haciendo un símil, esta prestación sería como un vigía que observa y proporciona información relevante sobre lo que está sucediendo en el entorno, para que se pueda actuar en consecuencia.

«Gestión de identidades privilegiadas«: Que una cuenta quede comprometida es siempre una posibilidad y la mejor manera de reducir el riesgo es asumir que ha habido una brecha o que la habrá.  Pero, si una cuenta comprometida de un usuario es un problema, si ésta tiene privilegios administrativos la situación pasa a ser catastrófica, por lo que es crítico minimizar la posibilidad de que una cuenta comprometida acabe teniendo permisos administrativos sin control. Esta herramienta precisamente nos ofrece asegurar que tenemos el mínimo número de usuarios administradores, pudiendo ofrecer puntualmente permisos administrativos, en el momento que se requiere, solo temporalmente e incluso automáticamente (bajo ciertas circunstancias). Haciendo un símil, sería como cuando se entrega una tarjeta inteligente para entrar en el Spa del hotel, pero una vez finalizada nuestra estancia , la tarjeta deja de funcionar.

Resumen de características:

• Autenticación en dos pasos.

• Acceso condicional: Control en tiempo real, basado en riesgos

• Validación sin contraseña (usando el móvil).

• Protección de identidad (alertas de comportamientos anómalos, credenciales comprometidas y vulnerabilidades).

• Inicio de sesión único para todas las aplicaciones (incluso aps no Microsoft).

• Gestión de identidades privilegiadas (Habilitar permisos temporales de administrador bajo demanda para tareas concretas).

Protección de la información

Aunque  seamos capaces de asegurar que la persona que accede a nuestros datos es quien dice ser y además que lo hace desde un dispositivo seguro, el riesgo continúa pues el usuario puede compartir un documento con alguien externo que pueda no estar tan bien protegido (o potencialmente pueda hacer un uso inadecuado de la información facilitada).

Para ello EMS incluye Azure Information Protection, un servicio en la nube de Microsoft que permite a las empresas proteger sus datos confidenciales mediante encriptación (estén en local o en la nube), asegurando que, aunque el documento salga de la organización hacia un entorno no seguro, solo los usuarios autorizados podrán acceder al mismo. Además, podremos delimitar las acciones que podrán llevar a cabo las personas autorizadas y continuar teniendo el documento (y sus copias), siempre bajo nuestro control, allí donde esté, aunque físicamente no tengamos acceso al mismo.

Resumen de características:

• Protección de los datos mediante cifrado, autenticación y derechos de uso.

• Clasificación inteligente y etiquetado automatizado de los datos.

• Visualizar desde dónde se están abriendo los documentos y por quien (esté donde esté el documento).

• Ayuda al cumplimiento del GDPR facilitando la detección y protección de los datos personales.

• Revocar el acceso a todas las copias de un documento (incluso si físicamente estan fuera de la organización).

Siguiendo las analogías, puede pensar en Azure Information Protection como el sistema que asegura que nuestro maletín , que contiene documentación altamente sensible, se convierta en polvo en caso de que caiga en manos equivocadas.

Seguridad inteligente

EMS ofrece visibilidad de todo lo que sucede con nuestros datos en la nube (estén donde estén), detección de amenazas y prevención de ataques a través de las soluciones: Microsoft Cloud App Security, Advanced Threat Analytics (ATA) y Azure Advanced Threat Protection (Azure ATP).

Microsoft Cloud App Security (MCAS)

¿Qué sucede si un empleado, correctamente identificado y autentificado, hace algo incorrecto con tus datos? Es más.. ¿Qué pasaría si ese empleado ya no es leal o actúa bajo coacción? o.. ¿Qué pasa si su equipo no estuviera correctamente protegido y un malware estuviera leyendo datos en su nombre? Aquí es donde intervendría Cloud App Security.

Concretamente, Cloud App Security proporciona a los departamentos IT visibilidad y control sobre las aplicaciones en la nube que usan los usuarios de tu organización (las permitidas y .. las no permitidas). De este modo, por un lado, podrás restringir el acceso a las que no autorices y por otro podrás observar la actividad que realizan los usuarios con los datos de las aplicaciones permitidas, identificando actividades sospechosas y posibles amenazas antes de que se conviertan en realidad.  Por ejemplo, Microsoft Cloud App Security podrá indicarte que hay un determinado usuario que está descargando gran cantidad de información fuera de la empresa (incluso, si la situación es demasiado anómala, podrá cerrarle la sesión), o podrás limitar que no sea posible acceder a según que aplicaciones desde fuera de tu organización o desde equipos desconocidos.

MCAS , aparte de Office 365 y Azure, proporciona visibilidad de actividad para aplicaciones cloud populares como Dropbox, G Suite, AWS, Salesforce y muchas más.

Microsoft Cloud App Security incluye:

• Detección de aplicaciones en la nube para control del ShadowIT

• Protección de la información mediante políticas de prevención de pérdida de datos (DLP)

• Visibilidad de la actividad de los usuarios en las aplicaciones en la nube.

• Evaluación de riesgos de aplicaciones.

Microsoft Cloud App Security es, siguiendo los símiles, como el guardaspaldas que acompaña siempre a una persona para que no haga ni sufra ningún daño.

Advanced Threat Analytics y Azure Advanced Threat Protection

Todas las líneas de defensa descritas en este artículo proporcionan una protección muy efectiva para tu organización. No obstante, el comportamiento de los usuarios (por ejemplo caer en un ataque de phishing o reutilizar contraseñas en sitios web inseguros), las posibles vulnerabilidades en VPN’s e infraestructura de servidores (especialmente los controladores de dominio – con su directorio activo local) y otros ataques creativos por parte de los ciberdelincuentes, proporcionan vías alternativas para que puedan entrar hasta la «cocina».

Los atacantes, en esos casos, se mueven rápido.. y una vez obtienen las credenciales de cualquier usuario, (a menudo a través de VPN’s vulnerables o sin autenticación protegida mediante multi-factor), logran asignarse privilegios de administrador (con la ayuda de archivos de log, datos residentes en memoria, archivos no encriptados y otros mecanismos), y … ya los tenemos dentro, sin poder hacer nada (y por un tiempo superior a 140 días, de media, hasta ser descubiertos). Es más, debido a que muchas empresas todavía tienen infraestructura local, desafortunadamente, cuando se trata de ataques on-premise, «las barreras de red / firewalls» que tienen las empresas para mantenerse teóricamente a salvo, impiden en realidad y por motivos técnicos, que productos cloud inteligentes (como AAD Identity Protection, Acceso Condicional de Azure AD y Cloud App Security) puedan usarse para ayudar a mantener seguros los datos alojados físicamente en su organización.

Tu infraestructura on-premise representa el mayor riesgo, por lo que tener una respuesta rápida para estas intrusiones es la mejor estrategia. Afortunadamente,  Advanced Threat Analytics (ATA) y la versión en la nube, Azure Advanced Threat Protection (Azure ATP), permiten ayudar a las empresas a detectar rápidamente un intento de penetración en una infraestructura on-premise analizando ataques avanzados , principalmente en nuestros controladores de dominio. La diferencia entre ambos productos es que ATA (incluido en EMS E3) necesita instalarse en infraestructura local requiriendo servidor y almacenamiento relevante para muchos datos, mientras que Azure ATP (incluido en EMS E5), almacena los datos y opera totalmente desde la nube, sin necesidad de infraestructura local.

ATA y Azure ATP ofrecen entre otras características:

• Detección de actividad sospechosa de usuarios y dispositivos, basado en histórico de la empresa, aprendizaje automático y inteligencia de amenazas.

• Monitorización de los múltiples puntos de entrada de la empresa a través de la integración con Microsoft Defender ATP (solo Azure ATP).

• Detección de rutas de desplazamiento lateral a cuentas con permisos de administrador.

• Futura integración con AAD (solo Azure ATP)

• Alertas con información clara y en tiempo real de los ataques a la empresa para responder con rapidez.

Al final, ATA / Azure ATP es como el vigilante escondido en nuestra casa, capaz de alertarnos rápidamente si un atacante ha roto alguna barrera de seguridad.

Protección en movilidad

Aunque estemos seguros que una identidad no ha sido comprometida y que la persona que accede a nuestros datos sea quien dice ser, existe siempre la posibilidad de que un usuario se descargue información en un dispositivo inseguro (sin encriptar y/o sin pin) o peor aún, ya comprometido.

Por ejemplo, si un usuario se está sincronizando el correo corporativo en su teléfono personal y éste no tiene pin, cualquiera que coja esa teléfono va a tener acceso total al buzón de correo de la empresa. O, si el usuario se ha descargado un documento con contenido muy sensible (contratos, excel de nóminas, ..) en su dispositivo personal y el portátil (o teléfono), se pierde o se roba, esos documentos caerán en manos equivocadas.  Es más, actualmente muchos dispositivos se usan como factor de validación de seguridad así que, tenerlos sin protección y con malware que es capaz de interceptar las credenciales del usuario cada vez que se conecta a algún servicio, es una gran amenaza.

Por todos estos motivos, como uno de los puntos de acceso a los recursos corporativos es a través de dispositivos tanto de la empresa como de los empleados (móviles, tabletas o portátiles), la gestión de dichos dispositivos para garantizar el cumplimiento de ciertos parámetros (como que tengan pin, estén encriptados o no tengan virus ni malware), mantener el control en caso de pérdida o robo junto a la capacidad de decidir las aplicaciones que pueden usarse desde los mismos (y cómo y desde dónde), es una parte esencial de la estrategia de seguridad de la empresa para evitar fugas de información. Todo ello es lo que nos ofrece EMS dentro de Microsoft Intune.

Microsoft Intune incluye entre otras características:

• Administración de qué aplicaciones y cómo pueden usarse en los dispositivos móviles.

• Aislamiento de los datos corporativos y los datos personales dentro de la misma aplicación (Tanto en la misma aplicación como en otras aplicaciones que no sean de empresa)

• Borrado selectivo de datos corporativos en dispositivos móviles perdidos o robados.

• Gestión de dispositivos móviles (iOS, Android, MacOS y W10).

Mediante otra analogía, puede pensar que Intune garantiza la integridad de nuestro maletín y su cerradura, lo que ayuda a proteger la seguridad de lo que hay dentro.

¿Cómo se licencia EMS?

Este producto tiene dos versiones:

• EMS E3: Incluye Azure Active Directory Premium P1, Intune, Azure Information Protection P1, Advanced Threat Analytics y derechos para Windows Server CAL.
• EMS E5: Incluye Azure Active Directory Premium P2, Intune, Azure Information Protection P2, Microsoft Cloud App Security, Azure Advanced Threat Protection y derechos para Windows Server CAL.

Asimismo, EMS va incluido en las siguientes suites:

• MICROSOFT 365 E3: Incluye EMS E3, Office 365 E3 y Windows 10 E3.
• MICROSOFT 365 E5: Incluye EMS E5, Office 365 E5 y Windows 10 E5.

Conclusiones 

La cruda verdad es que la velocidad y la sofisticación de los ataques está aumentando y juntamente con los riesgos derivados de errores humanos (en contraseñas o compartiendo información), facilita al enemigo múltiples formas de acceder a nuestros datos. Sí, el enemigo está ahí afuera o .. tal vez ya dentro, así que, nuestra recomendación es seguir una estrategia que suponga que tenemos una brecha y pensar que ninguna defensa será suficiente.

¿Quieres saber más? Contacta con nosotros.

Durante2020 varias versiones de productos importantes de Microsoft llegarán a su fecha de fin de soporte, lo que significa que no habrá más asistencia técnica ni actualizaciones. Esto no implica que el software deje de funcionar, pero sí que dejará de recibir actualizaciones de seguridad con el riesgo potencial que ello supone ¿vas a dejar tu infraestructura y tus aplicaciones desprotegidas?

Los productos afectados son:

• Windows Server 2008 y 2008 R2: Fin de soporte14 de enero de 2020
• Windows 7: Fin de soporte 14 de enero de 2020
• Office 2010: Fin de soporte 13 de octubre de 2020
• Exchange Server 2010: Fin de soporte 13 de octubre de 2020

¿Qué significa el fin de soporte?

Cada producto tiene un ciclo de vida, y durante ese tiempo Microsoft lanza nuevas características, refuerza la seguridad del producto y corrige errores.

En el caso del soporte estándar de Windows 7, Windows Server 2008, Office 2010 y Exchange server 2010 los sistemas han estado bajo el soporte extendido con el que han recibido actualizaciones de seguridad para solucionar vulnerabilidades descubiertas que ponen en peligro a los equipos y servidores. La consecuencia de este fin de soporte el próximo es:

• Se acaba el soporte técnico y la ayuda por parte de Microsoft para resolver errores y problemas.
• No llegarán más parches de seguridad, dejando al equipo expuesto a diferentes riesgos y amenazas y, por ende, a la empresa.

Como dato importante, en el último año se liberaron más de 30 actualizaciones para solucionar vulnerabilidades descubiertas en estos productos por lo que, si no se toman medidas,  tu empresa estará más indefensa ante posibles ataques de ciberseguridad en sistemas, bases de datos y aplicaciones. Asimismo, la falta de seguridad puede poner en peligro el cumplimiento de auditorías.

¿Qué pueden hacer las empresas?

Microsoft pone a disposición de las organizaciones las siguientes opciones para actualizar estos productos:

Windows 7
Actualizar a Windows 10 Enterprise, la versión más segura de Windows hasta la fecha, un sistema operativo especialmente pensado para que las empresas mejoren su seguridad y su productividad, cubriendo más o menos aspectos según se trate de la versión Pro, Enterprise E3 o Enterprise E5.

De todas las versiones queremos destacar la Enterprise E5 por ser la que ofrece protección máxima para tu empresa al incluir Microsoft Defender ATP. Si deseas conocer todos los detalles de las diferentes ediciones te invitamos a que consultes este artículo: Seguridad y control para tu empresa con Windows 10 

Windows Server 2008 y 2008 R2
En este caso Microsoft nos ofrece dos posibilidades:

• Migrar a Microsoft Azure: Para beneficiarte, además de todas las ventajas que te ofrece Azure, de 3 años adicionales de actualizaciones de seguridad gratuitas.
• Actualización on-premise: A la versión actual Windows Server 2016, beneficiándote de las características de la versión y manteniendo la protección de tu infraestructura hasta la fecha de fin de soporte. 

Office 2010
Migrar a Office 365 para beneficiarte de todas las ventajas de la nube y las innovaciones más recientes de los productos, creando nuevas formas de colaboración más eficientes.

Exchange Server 2010
Migrar los buzones a Office 365 y aprovechar los beneficios de trabajar en la nube y sus prestaciones de seguridad.

El panorama actual obliga a las empresas a estar protegidas frente a las amenazas de seguridad y a ser capaces de detectar y responder rápidamente a éstas así que no puedes jugártela dejando a tu empresa sin actualizar y vulnerable. Desde Softeng, estamos comprometidos para dar soluciones a nuestros clientes y ofrecerles nuestra experiencia en esta área, asesorándote y acompañándote en todo el proceso de actualización.

¿Quieres saber cómo podemos ayudarte? Contacta con nosotros!

Sí, quiero saber más

La nueva forma de trabajar de las empresas usando tecnología en la nube para impulsar su crecimiento y adaptándose a las nuevas necesidades de colaboración y movilidad de sus empleados, ha abierto nuevos frentes de riesgos y vulnerabilidades de seguridad. Las empresas son cada vez más conscientes de que sus empleados deben ser capaces de trabajar mejor juntos, independientemente de dónde estén. No obstante, les preocupa su capacidad para protegerse de los ciberataques y mantener la seguridad de sus datos.

Recientemente, Microsoft realizó una encuesta en España a empresas de menos de 300 usuarios sobre seguridad y de ella obtuvieron que el 80% de las compañías de menos de 300 usuarios se sienten vulnerables a un ciberataque y más de un 71% ya han sufrido uno. No obstante, a pesar de esta realidad, no todas las empresas están suficientemente concienciadas de los riesgos de no estar protegidos.  La prueba ? Más de la mitad de las empresas no disponen de medidas esenciales tales como la capacidad de eliminar de forma remota los datos corporativos de un dispositivo de un empleado (perdido o robado), la protección de la identidad de sus usuarios o el uso del cifrado de información para (correos, archivos, etc). Y si entramos a preguntar sobre medidas de protección más avanzadas para protegerse ante amenzas (phishing, ransomware, ataques dirigidos) o simplemente de fugas de información causadas por empleados (por accidente o no), por nuestra experiencia, más del 80% de las empresas no están protegidas.

La solución: Microsoft 365 Business

Para dar respuesta a las necesidades de las empresas y aumentar la protección de su información confidencial, Microsoft ofrece una solución que proporciona las mejores herramientas de productividad y colaboración moderna con Office 365, seguridad avanzada y administración de dispositivos. 

Con Microsoft 365 Business podrás:

• Aumentar la productividad de tu empresa, mejorando la tecnología para satisfacer las crecientes necesidades de tu empresa.
• Ampliar la seguridad de tus datos, protegiendo la información sensible de tu empresa en todos los PCs, teléfonos y tabletas.
• Mejorar la movilidad de tus empleados, pudiendo acceder a su puesto de trabajo de forma segura desde cualquier lugar.
• Gestionar de manera segura los dispositivos de tus empleados , con Intune, Windows 10, el sistema operativo de Microsoft más seguro y Office 365.

Microsoft 365 Business se divide en 3 pilares:

Colaboración

Ofrece las herramientas de Office 365 Empresa Premium , que ayudan a tu empresa a:

• Mejorar la productividad con herramientas inteligentes integradas en Office.
• Potenciar la comunicación y colaboración entre las personas de tu organización.
• Trabajar mejor en equipo, colaborando desde cualquier lugar y dispositivo.
• Optimizar procesos de trabajo.

Gestión segura de dispositivos

Ofrece las herramientas necesarias para administrar los dispositivos de tus empleados de manera eficiente y segura, ayudándote a:

• Gestionar de forma remota los dispositivos ante robos, pérdidas y bajas de los empleados con Microsoft Intune.
• Aplicar políticas de seguridad para proteger los datos empresariales en todos los dispositivos, incluidos los PC con iOS, Android y Windows.
• Configurar los equipos para instalar automáticamente las aplicaciones y actualizaciones de Office y Windows 10 con Autopilot en Windows 10.
• Te ofrece derechos de actualización a Windows 10 Pro desde versiones Windows 7, Windows 8 y Windows 8.1 Pro

Seguridad y cumplimiento

Ofrece las herramientas de seguridad y cumplimiento que ayudan a tu empresa a:

Protección de identidad y datos

• Prevenir el acceso no autorizado a tus datos en la nube a través de una segunda autenticación mediante una App móvil, una llamada telefónica automatizada o un mensaje de texto con Autenticación Multifactor de Azure Active Directory.
• Etiquetar y establecer permisos en los archivos para garantizar la confidencialidad cuando sea necesario, mediante Azure Information Protection.
• Realizar un seguimiento y revocación de documentos para controlar los datos compartidos.
• Protegerte contra amenazas sofisticadas ocultas en archivos adjuntos y enlaces de correo electrónico, obtener defensas contra amenazas de día cero, Ransomware y otros intentos de malware avanzado con Office 365 Advanced Threat Protection.
• Aplicar políticas de prevención de pérdida de datos para ayudar a proteger la información confidencial con Prevención de pérdida de datos (DLP).
• Hacer cumplir la protección contra malware para ayudar a mantener los dispositivos de Windows 10 a salvo de virus, spyware y otro software malicioso: Windows Defender.
• Activar el archivo en la nube ilimitado y las políticas de conservación a largo plazo para garantizar que el correo electrónico nunca se pierda: Exchange Online Archiving.
• Recientemente Microsoft ha incorporado las políticas de acceso condicional de Azure AD que permiten establecer condiciones específicas sobre cómo se puede acceder a los datos de la empresa.

Cumplimiento

El GDPR implica para las empresas 3 obligaciones en el ámbito de la seguridad:​

• Proteger los datos personales​
• Poder demostrar a la AEPD que estamos protegidos.​
• Ser capaces de detectar brechas de seguridad y notificarlas en menos de 72 horas.

En este sentido, Microsoft 365 Business, a través de sus herramientas de seguridad, te ayuda a cumplir con el reglamento así:

• Evaluando el riesgo de cumplimiento.
• Identificando los datos.
• Manteniendo protegidos los datos.​
• Detectando y reaccionando ante el robo de datos personales.​

Todos estos procesos se cubren con las herramientas de seguridad mencionadas en la parte de protección de identidad y datos, añadiendo además: Compliance Manager, Litigation Hold, Data Subject Request y eDiscovery.

Como conclusión, con Microsoft 365 Business tu empresa podrá lograr más y ganar en tranquilidad, proporcionando la tecnología adecuada a tus empleados para que puedan trabajar de forma segura donde, cuando y como quieran, ayudándote a impulsar la competitividad de tu empresa.

¿Quieres saber más? Contacta con nosotros.

En un mercado cada vez más exigente, adaptarse a la nueva cultura digital capacitando a tus empleados con herramientas para que puedan ofrecer a la empresa todo su potencial y experiencia, es un requisito clave para garantizar la competitividad de ésta y una parte esencial de la transformación digital.

El puesto de trabajo moderno

El puesto de trabajo está cambiando, en gran medida, debido a las posibilidades que ofrece la tecnología. No obstante, la apuesta por ofrecer un lugar de trabajo moderno es mucho más que tecnología, se trata de una filosofía de trabajo en la que la colaboración alcanza su máximo exponente para impulsar la productividad de la empresa permitiendo que cada trabajador dé lo mejor de sí.  Según varios estudios se ha podido demostrar cómo la tecnología puede llegar a multiplicar prácticamente por dos la productividad de un empleado, lo que supone una ventaja competitiva para la empresa.

¿En qué consiste el puesto de trabajo moderno?

En definitiva, consiste en ofrecer a los empleados herramientas que fomenten la innovación, que les permitan ser más creativos y con las que cualquier persona de la organización pueda aportar ideas. Esto provocará que se incremente el valor de todos los empleados con herramientas que les permitan colaborar y trabajar en equipo. Asimismo, ayudará a la empresa a retener el talento y evidentemente, con el panorama actual de amenazas, todo este entorno ha de ser muy seguro y cumplir con las normativas vigentes.

¿Cómo puede ayudarnos Microsoft y Softeng?

Microsoft nos ofrece un modo de trabajo moderno, colaborativo, flexible y seguro a través de Microsoft 365. La plataforma ayuda a empresas de todos los tamaños y sectores a adoptar la transformación digital y facilitar ese cambio hacia el puesto de trabajo moderno y Softeng puede ayudarte a la implantación y adopción correcta de la misma.

Microsoft 365 reúne en una misma solución todo el potencial de la nube con Office 365, la mejor versión de sistema operativo con Windows 10 y la mejor seguridad y control con Enterprise Mobility + Security (EMS) :

• Permite a las empresas impulsar su creatividad y fomentar el trabajo en equipo a través de las mejores herramientas de colaboración y comunicación incluidas en Office 365.
• Permite a los usuarios trabajar con seguridad, simplicidad, flexibilidad y movilidad.
• Ayuda a garantizar el cumplimiento normativo.
• Ofrece herramientas que protegen tanto a los trabajadores como a la propiedad intelectual de la empresa frente a un entorno con amenazas cada vez más complejas.
• Ofrece Inteligencia artificial junto con tecnologías como el Business Intelligence o Machine Learning integrados en los productos.

Nuevos objetivos para tu empresa

Ahora ya sabemos que impulsar la productividad de los empleados ya no es el único objetivo que debe perseguir tu empresa, también lo es la creatividad, la colaboración y la flexibilidad en el trabajo, garantizando siempre un entorno seguro y cumpliendo con las normativas legales. Asimismo, esta nueva manera de trabajar no se tiene que ver como algo futuro, sino como una necesidad inmediata para continuar siendo competitivos.

Este artículo es la introducción al resto de posts que componen nuestra newsletter de mayo en los que conocerás las ediciones de Microsoft 365 según el tamaño de tu empresa y también un pequeño resumen de nuestro evento en el que podrás comprobar que Softeng puede ser tu compañero perfecto para ayudarte a modernizar tu puesto de trabajo con seguridad.

¿Quieres saber más? Contacta con nosotros.

¿Sabes quién accede ahora mismo a los datos de tu empresa? ¿Puedes detectar automáticamente un riesgo de intrusión y denegar el acceso a tus datos ? 

Últimamente ha proliferado de manera alarmante el robo de contraseñas a través de prácticas de envío de correos fraudalentos con el objetivo de inducir a los destinatarios a revelar su información personal (técnica llamada Phishing y que según estudios se usa en el 81% de los ataques a las empresas).

Para conseguir una contraseña, los hackers envían a sus víctimas un email en nombre de una persona real con un texto y un enlace para pedir al usuario que realice una acción que en realidad le dirige a una página web falsa (imitando el login a Office 365, a un banco, LinkedIn, etc). Lógicamente, una vez el usuario introduce sus credenciales en esas páginas web fraudulentas…, éstas quedan comprometidas, ocasionando inmediatamente una severa brecha de seguridad en la empresa.

Pero, si además, consideramos el crecimiento del uso de aplicaciones en la nube junto con el hecho de que muchos usuarios a menudo reutilizan el mismo password para acceder a las mismas (por su comodidad para recordarlas) y las filtraciones conocidas de datos de usuarios de grandes redes sociales y servicios de consumidor de los últimos 12 meses (tales como Google Plus, Facebook, Movistar, IESE, Adidas, Job Talent, Ticketmaster, my Heritage entre muchas otras), la amenaza de seguridad para las empresas es enorme ante el riesgo de que un ciberdelincuente obtenga tan solo una contraseña de cualquier empleado de las que utilice para temas personales en aplicaciones y portales.

La solución a este quebradero de cabeza para los departamentos de IT está en la nube y se llama Microsoft Entra ID (Antes Azure Active Directory), pues puede facilitar, a través de una identidad única y protegida (single sign-on),  un acceso seguro validando que los usuarios que intentan conectarse a las aplicaciones corporativas estén en casa (on-premise) o en la nube, son quienes dicen ser, simplificando además enormemente la gestión IT. 

Beneficios de Microsoft Entra ID

Para los Usuarios:

• Protección ante situaciones de intento de suplantación de identidad, gracias a funcionalidades que garantizan que el usuario es quien dice ser añadiendo una segunda verificación en el momento de identificarse (autenticación en dos pasos) y a sistemas de análisis inteligente para detectar usos fraudulentos basado en la detección de comportamientos muy sospechosos.
• Si antes el usuario se gestionaba múltiples contraseñas (aunque incurriera en el riesgo de establecer la misma), con AAD el usuario deja de tener una contraseña por aplicación y en su lugar pasa a tener 1 sola identidad para acceder de manera unificada a todas las aplicaciones homologadas por la empresa.  Por tanto, una vez inicie sesión (en su equipo o en una App de Office 365), el usuario ya no deberá entrar más credenciales en las aplicaciones que así estén configuradas.
• Autonomía para el cambio y reestablecimiento de contraseñas, sin dependencias de IT.
• Validación sin contraseña (usando el móvil).

Departamento de IT:

• Mayor control sobre el acceso a datos y aplicaciones desde el exterior.
• Tranquilidad de que la identidad de los usuarios está bien protegida ante intentos de suplantación y sus consecuencias.
• Simplificación de la gestión de contraseñas, usuarios, grupos y accesos a aplicaciones Cloud.

En definitiva, Microsoft Entra ID es la clave para ayudar a proteger la identidad de los usuarios , cerrando la principal puerta de entrada a los ciberdelincuentes y facilitando además un acceso seguro a todas las aplicaciones (estén en casa o en la nube) reduciendo la gestión a los departamentos IT.

Ya se ha cumplido un año de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) que afecta a cualquier empresa de la Unión Europea, que recolecta o almacena datos personales de sus clientes y trabajadores, garantizando que dichos datos estén protegidos, con independencia de dónde se envíen, traten o almacenen.

El tratamiento de datos personales con diversas finalidades y diferentes volúmenes de información y complejidad es una realidad dentro de la actividad cotidiana de las empresas y por ese motivo, las empresas han de ser muy conscientes de las acciones que deben realizar para poder cumplir con el GDPR, sobre todo en el ámbito de la seguridad.

Cumplir con el GDPR implica para las empresas 3 obligaciones en el ámbito de la seguridad:

• Proteger los datos personales
• Poder demostrar a la AEPD que estamos protegidos con medidas concretas.
• Ser capaces de detectar brechas de seguridad y notificarlas en menos de 72horas.

Sobre este tercer punto, suelen haber muchas cuestiones al respecto y os queremos contar que la Agencia Española de Protección de Datos (AEPD) lanzó recientemente una guía para ayudar a las empresas a gestionar y notificar brechas de seguridad a la AEPD. La guía, cuyo enlace incluimos al final del artículo, se dirige, a compañías que almacenan datos personales e indica cómo notificar las incidencias con este tipo de información, algo obligatorio desde la entrada en vigor de la nueva ley de protección de datos el pasado 25 de mayo de 2018.

Actualmente las empresas «tardan una media de entre dos y tres meses en darse cuenta de que hay un problema«, por lo que es lógico que la agencia recomiende el documento para ayudar de manera clara a saber cómo proceder en estos casos. Para ello, con el objetivo de poder descubrir rápidamente un incidente en materia de privacidad, la agencia recomienda contemplar síntomas como la ralentización de la red, pero muy especialmente hace énfasis en disponer de sistemas de alerta y remediación. Asimismo, la agencia afirma que una vez detectada, clasificada y notificada la brecha a través del portal digital de la AEPD, «es posible recuperar la tranquilidad». No obstante, si la brecha de seguridad entraña un alto riesgo para los derechos y libertades, es obligatorio informar, además de a la agencia pública del problema, a las personas afectadas, «con un lenguaje claro y sencillo y de forma concisa y transparente».

¿Cómo te ayuda Microsoft 365?

Microsoft 365 se encuentra en una posición única para ayudarte a cumplir con el GDPR, ofreciéndote el conjunto más completo de capacidades de cumplimiento del mercado, mucho más amplio que el de cualquier otro proveedor de servicios en la nube.

Las soluciones de Microsoft 365 te ayudan a cumplir el reglamento así:

• Evaluar el riesgo de cumplimiento y obtener conocimientos prácticos mediante el panel centralizado de Compliance Manager.
• Identificar los datos personales y dónde residen, regular su acceso y uso, y establecer controles de seguridad adecuados.
• Mantener protegidos los datos en todos los dispositivos, aplicaciones y servicios en el cloud y en local utilizando las funciones integradas de clasificación, etiquetado y protección de Microsoft 365, así como las funciones de protección de identidad.
• Detectar y reaccionar ante robo de datos personales: Por una parte nos ayuda a detectar fugas de información accidental y por otra, a detectar ataques y robos cibernéticos, con el objetivo de poder conocer los detalles de lo ocurrido al instante y si es necesario, ser capaces de informar a la agencia en menos de 72 horas, tal como marca el reglamento.

En resumen: desplegando bien y completamente Microsoft 365, tendrás el cumplimiento del GDPR al alcance de tu mano. Y no importa en qué punto te encuentres en tu camino para cumplir con el GDPR, en Softeng, como partners especialistas en las soluciones en la nube de Microsoft podemos ayudarte a cumplir los requisitos de la nueva normativa.

¿Quieres saber más? Contacta con nosotros.