Directiva NIS2: Descifrar su significado e implicaciones

Directiva NIS2: Descifrar su significado e implicaciones

por | Jun 27, 2024 | Cumplimiento

Todos hemos sido testigos de las crecientes amenazas asociadas a la creciente digitalización y al número de ciberataques.

Ya en 2016, la Unión Europea reconoció que se trataba de un reto importante para las organizaciones y los ciudadanos e introdujo medidas de seguridad NIS (Network and Information Security).

Se trataba de mejorar las capacidades de ciberseguridad de las redes y sistemas de infraestructuras de siete sectores: energía, transporte, banca, mercados financieros, sanidad, agua potable e infraestructuras digitales.

Como la ciberseguridad sigue evolucionando, ha habido que mejorar la legislación NIS de la UE y aumentar las medidas de seguridad. Por ejemplo, el informe de seguridad Hornetsecurity muestra que el phishing sigue ocupando el primer puesto, con un 43,3% de los ataques por correo electrónico.

En 2023, la Unión Europea adoptó la segunda versión de la Directiva sobre redes y sistemas de información (NIS2) y mejoró las medidas de seguridad.

Este artículo trata sobre NIS2, lo que exige la normativa, una visión general de alto nivel de los pasos que debería dar ahora en su organización y cómo pueden ayudarle los distintos productos de Hornetsecurity.

NIS vs NIS2

La principal diferencia entre la NIS y la NIS2 radica en la ampliación de los sectores industriales cubiertos por la NIS2, aumento de las multas, así como el tamaño de las empresas que entran en el ámbito de aplicación (véase más abajo).

La NIS se dirige a los servicios esenciales y a los proveedores de servicios digitales. Los servicios esenciales incluyen los tres sectores: agua, transporte y energía, y los servicios digitales incluye la nube, los marketplace y los motores de búsqueda.

Con la legislación NIS2, la Unión Europea amplió el ámbito de aplicación y lo clasificó en entidades esenciales y entidades de servicios importantes. Las entidades esenciales ya formaban parte del NIS, pero el NIS2 ha ampliado el alcance de los sectores cubiertos.

Esto significa que más organizaciones de la Unión Europea están sujetas a los requisitos de NIS2.

Como novedad, NIS2 incluye importantes entidades de servicio que cubren áreas adicionales.

Algunos de los sectores que ahora se verán afectados por el NIS2 como importantes entidades de servicios son la sanidad, el transporte, las finanzas, el suministro de agua, la gestión de residuos, la energía, las infraestructuras digitales y los proveedores de servicios, los proveedores de servicios públicos de comunicaciones electrónicas, la industria alimentaria, el sector aeroespacial, los servicios postales y de mensajería y la administración pública.

Explicación visual de las entidades NIS y NIS2

Explicación visual de las entidades NIS y NIS2

*Las entidades esenciales se supervisarán de forma proactiva y reactiva.

*Las entidades importantes sólo se supervisarán de forma reactiva.

**Los sectores NIS2 incluyen tanto los sectores ya cubiertos por NIS como los nuevos sectores añadidos.

La legislación NIS2 actualiza y moderniza el marco anterior y mejora la resistencia y la respuesta ante incidentes exigidas a las entidades privadas y públicas.

¿Cuál es la diferencia entre esencial e importante?

Además del sector ampliado, existen otras dos diferencias. Las entidades esenciales deben cumplir los requisitos de la autoridad de supervisión, mientras que las entidades importantes deben cumplir los requisitos de la autoridad de supervisión a posteriori.

La autoridad supervisora a posteriori significa que sólo se tomarán medidas si la autoridad supervisora recibe pruebas de incumplimiento.

¿A quién afecta NIS2?

La NIS2 afecta a organizaciones de tamaños muy diferentes. En la NIS, sólo se veían afectadas las organizaciones medianas y grandes; en la NIS2, son ahora las organizaciones más pequeñas las que entran en el ámbito de aplicación.

Esto significa que las organizaciones más pequeñas, con un volumen de negocios superior a 10 millones de euros o 50 empleados o más, ahora también deben cumplir la normativa.

Incluso las organizaciones más pequeñas se ven afectadas por la directiva NIS2

Incluso las organizaciones más pequeñas se ven afectadas por la directiva NIS2

NIS2: cuatro áreas clave

La legislación NIS2 aborda cuatro áreas clave. Se trata de las obligaciones de información, la gestión de riesgos, las obligaciones de gestión y gobernanza, y el cumplimiento y las sanciones.

El primer paso para usted, sin embargo, es leer cuidadosamente la Directiva NIS2 (que se aplicará como ley en su país de la UE en octubre de 2024) para determinar si su organización está cubierta por el conjunto ampliado de industrias o no. Si su empresa está dentro del ámbito de aplicación, debe empezar a tomar medidas hoy mismo para cumplir la normativa, y Hornetsecurity puede ayudarle.

En segundo lugar, como con cualquier normativa de cumplimiento, hay que empezar por:

  • Identifique los factores de riesgo para su operación en curso.
  • Documente cada uno de los factores de riesgo.
  • Planificar medidas paliativas para cada riesgo.
  • Recopilar pruebas de cómo se aplican y verifican estas mitigaciones.

Veamos cada una de las cuatro áreas clave de NIS2.

Obligaciones de información

Si una empresa sospecha que se ha producido un incidente grave de seguridad, como una brecha de datos, un acceso no autorizado, un ataque a la cadena de suministro, etc., debe comunicarlo en un plazo de 24 horas.  A continuación, en un plazo de 72 horas, la empresa debe proporcionar a la autoridad supervisora una evaluación detallada del impacto en su infraestructura y sus datos.

Pero la historia no acaba ahí.

Obligaciones de información

Obligaciones de información

Una vez presentado el informe inicial en las primeras 24 horas, la empresa dispone de un mes para presentar un informe final a la autoridad supervisora. El informe final debe incluir todos los detalles sobre cómo se produjo el incidente, el impacto que tuvo en la empresa y las medidas adoptadas por la organización.

Si ha tenido alguna experiencia con la Respuesta a Incidentes (IR) en una situación de ciberseguridad, sabrá que 24 horas es un plazo muy exigente. En las primeras horas / días de una brecha importante, hay una gran cantidad de emociones intensificadas y el estrés a medida que trabaja para identificar exactamente qué sistemas se han visto afectados, donde se estableció el punto de apoyo inicial, si los datos personales o comerciales sensibles han sido robados, recuperar los sistemas y empezar a formular un plan para desalojar a los atacantes. Especialmente para las organizaciones más pequeñas que pueden no haber tenido experiencia con esto, este será un momento muy difícil.

Una forma de garantizar el cumplimiento es revisar su plan de respuesta a incidentes y asegurarse de que tiene establecidas todas las líneas de comunicación.

Puesto que necesita informar a su autoridad supervisora, asegúrese de incluir cómo hacerlo en su plan de respuesta a incidentes. Si su organización es pequeña y no dispone de un equipo de respuesta a incidentes, o incluso de un equipo de ciberseguridad, asegúrese de establecer relaciones comerciales con al menos una empresa de respuesta a incidentes, para poder recurrir a ella rápidamente. No querrá estar buscando en Google a quién llamar cuando la brecha esté en curso.

No olvide los detalles adicionales que deben presentarse en un plazo de 72 horas, y los detalles necesarios para ello: de nuevo, prepare su organización con plantillas para estar preparado.

Hornetsecurity’s 365 Total Protection Enterprise le ayudará aquí si el vector de ataque inicial fue el correo electrónico (que es la forma más común), si no detuvo el ataque, puede proporcionar retención inmutable de todos los correos electrónicos en Archiving y análisis de encabezado de correo electrónico en el Control Panel.

Sacamos esta mención aquí, mientras entramos en detalles más adelante.

Gestión de riesgos

La gestión de riesgos es un segundo ámbito dentro de la legislación NIS2.

La gestión de riesgos es el proceso de identificar, evaluar, prevenir y mitigar los riesgos potenciales a los que puede enfrentarse una organización. El artículo 21 de la legislación NIS2 define las medidas de gestión de riesgos para reforzar la postura de seguridad de la empresa.

Entre ellas figuran las siguientes:

Políticas y procedimientos relativos al uso de la criptografía y, en su caso, del cifrado. El uso de criptografía y cifrado ayuda a garantizar la Confidencialidad, Integridad y Autenticidad (CIA) de los datos de Hornetsecurity ofrece cifrado de correo electrónico.

Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad. Estas políticas y procedimientos ayudan a las organizaciones a seguir un enfoque estructurado y a gestionar las mejoras a lo largo del tiempo.

La gestión de incidentes abarca la detección y prevención de incidentes de ciberseguridad.

La continuidad empresarial implica una gestión adecuada de las copias de seguridad, la recuperación de desastres y la gestión de crisis. Obviamente, este es uno de los principales focos de NIS2, garantizar que su organización pueda seguir prestando servicio durante un incidente de ciberseguridad. Hornetsecurity ofrece un servicio de continuidad de correo electrónico si una interrupción ha afectado a Exchange Online y nuestro 365 Total Backup es una solución de copia de seguridad de clase mundial para cargas de trabajo de Microsoft 365. VM Backup para cargas de trabajo on-premises (Hyper-V y VMware) incluye soporte para almacenamiento inmutable (asegurando que nadie, ni un atacante ni un insider malicioso pueda manipular sus copias de seguridad). Contar con un plan de continuidad de negocio completo y probado, respaldado por una sólida tecnología de copia de seguridad y recuperación es la mejor forma de garantizar la ciberresiliencia, es decir, la capacidad de seguir operando durante un ataque.

Seguridad de la cadena de suministro, incluidos los aspectos de seguridad relacionados con las relaciones entre cada empresa y sus proveedores directos o proveedores de servicios. ¿Recuerda los incidentes en la cadena de suministro de SolarWinds? Como nos han demostrado las recientes brechas (Change Healthcare en EE.UU., por ejemplo), el panorama empresarial moderno es un complejo sistema interconectado, y un pequeño impacto en un proveedor concreto puede tener una influencia muy grande en todo el sistema si no se planifica adecuadamente.

Seguridad informática en redes y sistemas de información.

Formación en ciberseguridad para formar a los empleados sobre cómo hacer frente a los distintos ataques que llegan a través del phishing y la ingeniería social. Los empleados formados son una de las mejores medidas de ciberseguridad. Nuestro potente Security Awareness Service educa a su personal sobre los riesgos de ciberseguridad de forma continua, con muy pocos gastos de gestión para el departamento de IT, todo ello mientras se realiza un seguimiento del comportamiento de los empleados, asignando únicamente correos electrónicos de phishing simulados de seguimiento y vídeos de formación para el personal que demuestre acciones de riesgo.

La seguridad de los recursos humanos define la protección de los datos personales de los empleados.

Comunicación segura a través de voz, vídeo y texto, pero también comunicación segura en caso de emergencia. Durante una brecha, debe asumir que sus canales de comunicación normales pueden verse comprometidos y planificar alternativas. A medida que determine el alcance del ataque, si parece que su fuente de identidad (Active Directory / Entra ID / terceros) ha sido tomada por completo, asuma que cualquier herramienta que utilice normalmente para comunicarse (sistema telefónico local, correo electrónico, Teams, Slack, Zoom, etc.) que dependa de esas identidades también está comprometida, y planifique utilizar una herramienta diferente.

Autenticación multifactor y SSO (Single-Sign-On).

El control de acceso ayuda a definir los permisos de mínimo privilegio y el RBAC (Role Based Access Control) adecuado para proteger los distintos recursos.

La gestión de activos es un enfoque estructurado y seguro para adquirir, rastrear, mantener, actualizar y eliminar activos físicos defectuosos o que ya no se necesitan (por ejemplo, dispositivos al final de su vida útil) dentro de una organización.

Utilice 365 Total Protection Compliance & Awareness de Hornetsecurity para reforzar la seguridad de la cadena de suministro, confiando en la compatibilidad total con SPF, DKIM y DMARC, junto con nuestra exclusiva validación de destinatarios por IA para comprobar que realmente se está comunicando con la persona adecuada. Para la seguridad de la red, nuestra Advanced Threat Protection detecta los ataques por correo electrónico que otros pasan por alto, disponemos de controles MFA para acceder a nuestro panel de control y contamos con un servicio de Email Encryption potente pero fácil de usar para proteger el correo electrónico.

Y lo que es más importante, un riesgo enorme en la mayoría de los entornos de Microsoft 365 es el uso compartido no controlado de documentos de SharePoint / OneDrive para la Empresa / Teams. Nuestro producto exclusivo, 365 Permission Manager, le permite recuperar el control del uso compartido tanto interno como externo y garantizar el cumplimiento continuo de sus políticas, sin dejar de respaldar la colaboración y la productividad.

Según los comentarios recibidos, es buena idea mencionar la encriptación de nuestro correo electrónico.

Funciones de gestión y gobernanza

El artículo 31 de la Directiva NIS2 define la responsabilidad de la alta dirección y la gobernanza. Son responsables de evaluar y supervisar las medidas de gestión de riesgos. Si se producen brechas de datos por incumplimiento de los requisitos de NIS2, la alta dirección será responsable.

Además, también es responsabilidad de la alta dirección hacer cumplir las mejores prácticas de seguridad dentro de la organización e impartir formación periódica de concienciación en materia de seguridad.

Un potente producto de Hornetsecurity que realmente ayuda en esta área es Security Awareness Service, que no sólo recuerda periódicamente al personal los riesgos de ciberseguridad, sino que también está al día de las amenazas más recientes a medida que nuestro Security Lab las identifica, junto con potentes informes para la alta dirección.

Ejecución y sanciones

Según el artículo 32 de la Directiva NIS2, la autoridad supervisora puede actuar si usted no sigue o no cumple la normativa NIS2.

Esto incluye llevar a cabo sus propias pruebas e investigaciones basándose en las pruebas aportadas por la organización tras un incidente de ciberseguridad. Estas pruebas incluyen inspecciones in situ, comprobaciones aleatorias, auditorías periódicas, auditorías ad hoc y otras.

La autoridad de control también podrá solicitar e inspeccionar cualquier dato, documento, información o prueba potencial.

En caso de incumplimiento de la NIS2 o de no facilitar información actualizada, las autoridades pueden emitir advertencias públicas, vigilar sus actividades, fijar plazos y retirarle la licencia de explotación o la certificación para que su empresa no pueda seguir operando.

ISO 27001 y NIS2

ISO 27001 es una norma internacional para la gestión de la seguridad de la información en las organizaciones. NIS2 define medidas de ciberseguridad para proteger los sectores público y privado. Una de las preguntas habituales que recibimos es si NIS2 está incluida en la certificación ISO 27001.

Aunque existe un gran solapamiento entre las dos normas (como ocurre con la mayoría de las normativas de ciberseguridad), el cumplimiento de una de ellas significa que aún queda trabajo por hacer para satisfacer la otra.

Plazo de aplicación de NIS2

La Unión Europea ha hecho su parte. Ha definido los requisitos de NIS2 y ahora corresponde a los Estados Miembros de la UE adoptar y publicar las medidas. La fecha límite para que las medidas NIS2 sean aplicables es el 17 de octubre de 2024.

Además, antes del 17th de abril de 2025, los Estados miembros de la UE establecerán una lista de entidades esenciales e importantes. Los Estados Miembros de la UE mantendrán actualizada la lista de entidades.

Entender las sanciones por incumplimiento

El cumplimiento de la legislación NIS2 no es opcional, sino obligatorio para las empresas afectadas. Si las empresas no cumplen la NIS2, existen tres tipos de sanciones: sanción no monetaria, multas administrativas y sanciones penales. La autoridad supervisora está autorizada a aplicar cualquiera de estas medidas en función de su evaluación de su organización.

Non-monetary remedies

Las sanciones no monetarias incluyen órdenes de cumplimiento, órdenes de aplicación de auditorías de seguridad, instrucciones vinculantes y notificaciones de amenazas a los clientes de las empresas. Lo mismo se aplica a las empresas esenciales e importantes.

Administrative fines

Las multas administrativas distinguen entre entidades esenciales e importantes. Para las entidades esenciales, la multa es de 10 millones de euros o el 2% de los ingresos anuales globales. Para las entidades importantes, la multa es un poco más baja, 7 millones de euros o el 1,4% de los ingresos anuales globales.

criminal sanctions

NIS2 permite a los Estados Miembros de la UE responsabilizar personalmente a los altos cargos por negligencia en caso de incidentes de seguridad. De este modo, los altos cargos pueden ser objeto de sanciones penales. Los Estados Miembros de la UE pueden ordenar que se haga pública la causa y la persona responsable en caso de infracciones, y pueden impedir que los altos directivos ocupen cargos directivos en el futuro.

Conclusión

En 2016, la Unión Europea creó NIS para aumentar la ciberseguridad y proteger a las organizaciones de incidentes de seguridad. 7 años después, en 2023, adaptaron y aumentaron las medidas de seguridad e introdujeron NIS2.

Ahora, con NIS2, más organizaciones están sujetas a los requisitos de esta normativa. Hay cuatro áreas clave cubiertas por NIS2, que incluyen la presentación de informes, la gestión de riesgos, la gestión y el gobierno de los deberes, y la aplicación y las sanciones. En ellas se define todo, desde la política, la aplicación y la responsabilidad hasta las sanciones en caso de infracción.

Si las directrices NIS2 no se cumplen o se cumplen sólo parcialmente, los Estados Miembros de la UE están autorizados a imponer multas administrativas no monetarias y sanciones penales.

Como hemos mostrado en este artículo, Hornetsecurity dispone de una gama de servicios y productos para ayudar a su organización a cumplir con muchos de los requisitos de NIS2. Buena suerte en su cumplimiento y si necesita ayuda – por favor póngase en contacto con nuestro equipo:

Póngase en contacto con nosotros

  • Hidden
  • Hidden
  • Hidden
  • Hidden
  • Este campo es un campo de validación y debe quedar sin cambios.

Problemas de Seguridad de Los Permisos Ocultos en Sharepoint

Problemas de Seguridad de Los Permisos Ocultos en Sharepoint

por | May 21, 2024 | Cumplimiento, Microsoft 365

SharePoint es un incondicional de la colaboración y el uso compartido de archivos en Microsoft 365 que comenzó su vida como servidor SharePoint allá por 2001. La mayoría de las organizaciones utilizan SharePoint online, alojado por Microsoft, y se ha convertido en una tecnología de «fontanería»: algo fundamental, que permanece en segundo plano y a lo que la mayoría de la gente no presta atención, hasta que deja de funcionar correctamente.

Esto es aún más evidente en la forma en que se utiliza SharePoint en Microsoft 365. Probablemente tengas sitios de SharePoint para varios equipos, departamentos o países, pero los sitios de SharePoint también se utilizan como almacenamiento de archivos backend para el almacenamiento de archivos de OneDrive for Business de todo el mundo. Y cuando compartes archivos y carpetas en Teams, adivina qué, ese almacenamiento también está respaldado por SharePoint. Por lo tanto, no sólo necesita controlar los datos almacenados en los sitios de SharePoint, sino también en estas otras ubicaciones, y como te mostraremos, controlar el acceso a los datos en SharePoint es difícil de hacer.

La herencia tiene una desventaja, comenzando la vida como software local y ahora funcionando como un servicio alojado trae consigo algún equipaje de seguridad serio. En este artículo te mostraremos la falta de visibilidad de los permisos que puede conducir a riesgos de seguridad, y cómo los grupos ocultos y los usuarios ocultos empeoran aún más esta situación. Además, los niveles de permisos personalizados pueden tener consecuencias desastrosas a la hora de asignar derechos, y la gestión manual del acceso de los usuarios es una receta para cometer errores de seguridad. Por último, las bibliotecas de documentos personalizadas pueden ser un refugio oculto para los atacantes.

En otras palabras: tu entorno SharePoint podría tener un atacante infiltrado, y no lo sabrías. Como mínimo, es probable que tus permisos no estén alineados con el «mínimo privilegio», uno de los principios de Zero Trust.

La mayoría de los CISO y profesionales de la seguridad se centran en las amenazas «ruidosas» como el ransomware, pero es importante ser consciente de que hay muchas otras vías que toman los atacantes, y un atacante que ha sido capaz de comprometer una sola cuenta de usuario podría vigilar tranquilamente la carpeta de documentos de facturas de proveedores en SharePoint, por ejemplo. Recopilando estos documentos, podrían ser capaces de cambiar los detalles de pago en un ataque clásico de Business Email Compromise (en este caso sin el vector del correo electrónico).

La brecha de visibilidad

Centraremos la mayor parte de este artículo en la carpeta Documentos de tus sitios SharePoint, ya que es para lo que se utilizan la mayoría de los sitios: para compartir archivos.

Una diferencia fundamental, en comparación con los archivos compartidos tradicionales, es que no hay una jerarquía de árbol de carpetas que puedas ver. Puedes crear subcarpetas en subcarpetas y así sucesivamente, y poner archivos en cualquiera de las carpetas, pero no hay una manera fácil de visualizar la jerarquía, y debes hacer clic en cada carpeta para ver lo que está almacenado allí.

Para ver realmente a qué cuentas de usuario, grupos o usuarios invitados externos se han concedido permisos para cada carpeta (y cada archivo, ya que pueden tener permisos diferentes), debes hacer clic en el objeto y, a continuación, ir a Administrar acceso para ver quién tiene acceso.

Manage Access Permissions for each individual folder and file

Gestión de permisos de acceso para cada carpeta y archivo individual

El segundo problema es que, aunque puedes ver los nombres de los grupos a los que se han concedido permisos en una carpeta concreta, no puedes ver las cuentas de usuario que son miembros de esos grupos en el cuadro de diálogo Gestionar acceso. Al hacer clic en el nombre de un grupo no aparecen los miembros, de hecho no hace nada.

List of groups that have been granted permissions

Lista de grupos a los que se han concedido permisos

Para determinar las cuentas de usuario de un grupo es necesario visitar el centro de administración de Microsoft 365 (https://admin.microsoft.com) o el portal Entra ID (https://entra.microsoft.com). Los administradores tendrán acceso a estos portales, pero si eres un gerente de departamento, que es el propietario de un sitio de equipo de SharePoint, tratando de determinar quién tiene acceso a qué carpetas de documentos en un sitio de equipo de SharePoint significa que no se puede completar esta tarea sin ponerse en contacto con el departamento de IT.

Aún más preocupante (gracias a la herencia del servidor SharePoint mencionada anteriormente) es que hay un tipo de grupo en el propio SharePoint, que  no es visible en el centro de administración de Microsoft 365 o en el portal Entra ID, sólo en el centro de administración de SharePoint (de nuevo, al que los usuarios normales no tienen acceso). Si hay grupos anidados dentro de uno de estos grupos, es posible que tengas que rastrear esos grupos en uno de los tres centros de administración mencionados. Por último, si concedes permisos a un grupo que tiene un usuario y un grupo dentro de él, te dirá que está concediendo permisos a dos personas, cuando en realidad podría haber cientos de cuentas de usuario dentro del grupo anidado.

365 Permission Manager de Hornetsecurity soluciona a fondo estos problemas de visibilidad, mostrándole todos los usuarios que tienen permisos sobre un sitio, carpeta o archivo, así como si esos permisos se heredan del sitio o son exclusivos de ese objeto. También muestra el uso compartido externo, ya sea cuando se ha compartido con personas específicas fuera de su organización, o cuando se ha creado un enlace anónimo.

Otra función innovadora es la posibilidad de ver los sitios de SharePoint / OneDrive for Business «a través de los ojos» de un usuario seleccionado: ¿a qué sitios / carpetas / documentos tiene acceso exactamente esta cuenta de usuario? Esto es útil durante una investigación forense (¿a qué datos tuvo acceso el atacante que comprometió esta cuenta?), casos de riesgo interno (¿cuál es el radio de explosión de este empleado malintencionado?) y gobernanza de datos (¿coinciden nuestros permisos con nuestras políticas de acceso a datos?).

Niveles de permiso

SharePoint Online proporciona cuatro niveles de permisos de acceso a carpetas y archivos: Propietario, Puede editar, Puede ver y No puede descargar (=ver pero no guardar archivos localmente). Sin embargo, SharePoint Server tenía y sigue teniendo un modelo más completo, con múltiples niveles de permisos incorporados, así como la posibilidad de crear niveles de permisos personalizados.

El primer problema que esto conlleva es que cuando se comprueban los permisos concedidos a un objeto, la interfaz de usuario «redondeará» al nivel de permiso concedido más cercano, Diseño, por ejemplo, es un nivel heredado que concede más permisos que Editar, pero éste se muestra como Editar en la interfaz de usuario.

Mucho más aterradora, sin embargo, es la posibilidad de crear niveles de permiso personalizados con el mismo nombre que uno incorporado, como «lectura». A este nivel se le podrían conceder todos los permisos disponibles (definitivamente no sólo lectura). Esto no sólo lleva a la situación en la que una comprobación casual de los permisos concedidos te llevaría a asumir que un grupo o usuario sólo tiene acceso de lectura, sino que si decides investigar por qué hay dos niveles de permiso llamados lectura / Leer, resulta que la interfaz de usuario te mostrará el nivel de permiso incorporado, no el personalizado. Si un nivel de permiso personalizado tiene el mismo nombre que uno incorporado, la URL en SharePoint no distingue entre mayúsculas y minúsculas, y por lo tanto te mostrará el incorporado.

365 Permission Manager mostrará estos niveles de permisos personalizados, aportando visibilidad y gobernanza a todo su patrimonio de SharePoint Online, también te permite utilizar políticas integradas o crear políticas personalizadas que puede aplicar a diferentes tipos de sitios. Esto te mostrará dónde se están desviando los sitios de tu política y te permitirá corregir los permisos con un solo clic.

Permisos del sitio y de la biblioteca de documentos

Otro riesgo es que puede establecer permisos personalizados en la biblioteca de documentos, que son diferentes a los permisos generales del sitio.

Una vez concedidos, cuando se realiza una auditoría, estos permisos son visibles, pero no se pueden cambiar en la interfaz de usuario.

Example user whose permissions can't be changed

Ejemplo de usuario cuyos permisos no se pueden cambiar

Una vez más, el Administrador de 365 Permisos encontrará estas discrepancias, las mostrará como desviaciones de tus políticas y priorizará su corrección en la práctica lista de tareas pendientes.

Bibliotecas de documentos ocultos

Normalmente un SharePoint tiene una única carpeta Documentos, pero puedes crear otras. Además, puedes ocultarla de la navegación del sitio (para que nadie más sepa que está ahí), y puedes quitarle los permisos a todos los demás, concediéndote acceso sólo a ti. Esto creará en efecto un canal de exfiltración, donde el atacante puede copiar documentos sensibles desde el sitio a su biblioteca de Documentos personalizada, quizás incluso volviendo regularmente para capturar las últimas versiones de los archivos, y luego descargarlos a su máquina.

Hidden Document library - only visible to the attacker

Biblioteca de documentos oculta: sólo visible para el atacante

Este es un gran riesgo para un SharePoint comprometido y, por supuesto, 365 Permission Manager sacará a la luz las bibliotecas de documentos personalizadas y ocultas, así como tus permisos, para que puedas corregirlos.

Hay otra función muy útil: la posibilidad de revocar todo el acceso a los datos de SharePoint / OneDrive for Business de una cuenta. Si sabes que una cuenta está en peligro, revocar manualmente el acceso a todas las ubicaciones lleva mucho tiempo: 365 Permission Manager te ofrece un único botón para hacerlo.

Para gestionar sin esfuerzo los permisos de Microsoft 365, aplicar políticas de cumplimiento y supervisar las infracciones con facilidad, utilice 365 Permission Manager de Hornetsecurity. Protege tu entorno Microsoft 365 y facilita las tareas de administración.

Con 365 Permission Manager de Hornetsecurity podrás recuperar el control de su entorno SharePoint y proteger tu empresa de inmediato.

Conclusión

Al igual que con muchas tecnologías de Microsoft, el enfoque en la compatibilidad con versiones anteriores ha demostrado ser un punto fuerte cuando se trata de empresas durante décadas. Imagina una organización con una gran inversión en servidores locales de SharePoint, con miles de sitios ocupados y Terabytes de datos, migrando esto a SharePoint online – esta compatibilidad es un requisito.

Sin embargo, también tiene implicaciones de seguridad aterradoras: la realidad hoy en día es que muchas empresas podrían verse comprometidas, con malos actores exfiltrando datos de tu propiedad intelectual más preciada libremente y  con muy pocas posibilidades de ser descubiertos.

Por este motivo, cualquier CISO que desee aplicar un control exhaustivo de los datos a sus activos de SharePoint necesita 365 Permission Manager.

 

¡Me han pirateado! ¿QUÉ DEBO HACER?

 

  • Función de retirada de acceso de usuarios: Con un solo clic, la función Eliminar acceso de 365 Permission Manager te permite revocar el acceso y detener a un pirata informático inmediatamente. Esta acción inmediata puede evitar nuevos accesos no autorizados y posibles filtraciones de datos.
  • La función Ver como: Obtenga información sobre los archivos a los que podría acceder un usuario en peligro con la función Ver en 365 Permission Manager. Esta función te permite ver SharePoint a través de los ojos de un usuario, lo que te ayuda a identificar posibles áreas de acceso no autorizado y tomar medidas correctivas.
  • Generación de informes forenses: Comprender el alcance de una brecha de seguridad es crucial para una reparación y cumplimiento efectivos. Con 365 Permission Manager, puedes generar informes detallados para análisis forenses, mostrando exactamente a qué archivos tenía acceso un usuario y los permisos completos dentro de todos los sitios de SharePoint y ubicaciones de OneDrive for Business. Esta información es muy valiosa para identificar el alcance de la brecha, evaluar los daños e implementar las medidas de seguridad necesarias para evitar futuros incidentes.

FAQ

¿Cuáles son las principales preocupaciones de seguridad asociadas con los permisos ocultos en SharePoint?

Los permisos ocultos en SharePoint plantean importantes riesgos de seguridad, ya que pueden permitir el acceso no autorizado sin el conocimiento de los administradores o usuarios. Los problemas clave incluyen:

  • Falta de visibilidad: La configuración de permisos de SharePoint puede ser compleja y opaca, lo que dificulta ver quién tiene acceso a qué. Esto incluye grupos ocultos y usuarios cuyos permisos no son fácilmente visibles.
  • Niveles de permisos personalizados: Los permisos personalizados pueden inducir a error. Por ejemplo, un nivel de permiso denominado «lectura» puede tener en realidad derechos de acceso total, lo que puede dar lugar a infracciones de seguridad si no se gestiona correctamente.
  • Bibliotecas de documentos ocultas: Los atacantes pueden crear bibliotecas de documentos ocultas con acceso exclusivo, lo que les permite filtrar datos sin ser detectados. Estas bibliotecas ocultas no son fácilmente visibles en la navegación de SharePoint, lo que las convierte en un riesgo importante.

¿Cómo puede 365 Permission Manager ayudar a mitigar los riesgos de seguridad en SharePoint?

365 Permission Manager proporciona varias funciones para mejorar la seguridad y la gobernanza en SharePoint:

  • Mejora de la visibilidad: Muestra todos los usuarios, grupos y permisos para sitios, carpetas y archivos, incluidos los permisos heredados y únicos. Esta visibilidad integral ayuda a identificar y abordar los problemas de acceso ocultos.
  • Gestión de permisos: Muestra los niveles de permisos personalizados y las discrepancias, lo que permite a los administradores estandarizar los permisos de acuerdo con las políticas. Esto reduce el riesgo de derechos de acceso mal configurados.
  • Control de acceso: La herramienta ofrece la posibilidad de revocar todos los accesos de una cuenta comprometida con un solo clic, lo que garantiza una respuesta rápida a los incidentes de seguridad y evita nuevos accesos no autorizados.

¿Cómo puede Hornetsecurity ayudar a asegurar mi entorno de SharePoint?

El 365 Permission Manager de Hornetsecurity mejora la seguridad proporcionando una visibilidad completa de todos los permisos de usuario, gestionando y estandarizando los niveles de permisos personalizados y permitiendo la revocación inmediata del acceso a las cuentas comprometidas. Esto garantiza una sólida gobernanza de los datos y una rápida respuesta a los incidentes de seguridad.

Permisos y Copilot de Microsoft 365: una bomba de relojería para la seguridad y el cumplimiento normativo

Permisos y Copilot de Microsoft 365: una bomba de relojería para la seguridad y el cumplimiento normativo

por | Mar 12, 2024 | Cumplimiento, Microsoft 365

El intercambio de archivos en las empresas es una de esas tecnologías que suele pasar «desapercibida». Se crean nuevos sitios de SharePoint para proyectos o grupos, o nuevos grupos con muchos archivos compartidos.

Este intercambio puede ser tanto con usuarios internos como externos. Y la mayoría de las veces, nadie se lo piensa dos veces, hasta que los documentos y datos sensibles acaban en las manos equivocadas.

En este artículo analizaremos el reto de la gobernanza de datos, el uso compartido de documentos en Microsoft 365 y cómo aplica a las normativas de cumplimiento y la preparación de una organización para Copilot de Microsoft 365, todo ello con la ayuda de 365 Permission Manager de Hornetsecurity.

Los peligros de los permisos de archivo no gestionados

Como bien saben los CISOs y administradores de IT, el uso compartido de archivos, tanto con grupos internos como con colaboradores externos, está diseñado para ser lo más sencillo y fluido posible de cara a adaptarse a la realidad del lugar de trabajo digital, moderno, móvil y colaborativo.

Sin embargo, desde el punto de vista del cumplimiento, este enfoque puede ser una bomba de relojería, y hay un nuevo actor en escena que podría acelerar el temporizador de esa bomba: Copilot. Microsoft está muy interesado en impulsar el valor de Copilot para Microsoft 365 (a 324 € por usuario y año, no se puede pagar por mes) y aquí está el problema: Copilot tiene acceso a los mismos documentos a los que el usuario accede.

¿Te acuerdas de Delve? Era la tecnología anterior de Microsoft para sugerirte documentos creados por personas con las que colaborabas y que podrían resultarte valiosos. Salvo que a veces las empresas se llevaban un susto cuando se daban cuenta de qué documentos se compartían con distintos grupos de personas.

La situación de Copilot es peor, porque no sabrás necesariamente a qué documentos ha accedido para responder a tu consulta o crear un nuevo borrador de un documento para ti.

Compartir fácilmente

El uso compartido de archivos en Teams es posiblemente una de las vías que más fácilmente se malinterpreta: cuando se comparte un archivo en un canal de Teams, en realidad se almacena en la carpeta del grupo de Teams en SharePoint. Mientras que si subes un archivo a un chat individual o de grupo, se almacena en la carpeta Archivos de chat de Microsoft Teams en tu OneDrive for Business (que en realidad es un sitio de SharePoint).

Si tienes un canal privado, éste tiene su propio sitio de SharePoint independiente con una biblioteca de documentos a la que sólo tienen acceso los miembros del canal privado. Así, todos los documentos se almacenan en varios sitios de SharePoint, en lugar de en el propio Teams.

Y si compartes un archivo con un colaborador externo, dependiendo de la configuración que tu departamento de IT haya establecido en SharePoint online, esto podría enviarles un correo electrónico con una invitación para crear una cuenta de invitado en tu tenant.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Si eres un CISO, probablemente estés preocupado en este momento. Los datos empresariales se comparten fácilmente a nivel interno, posiblemente con personal que no debería tener acceso a ellos, y tú tienes un control limitado sobre este intercambio.

También es (probable) que se comparta con colaboradores externos, y tú tampoco tienes mucha información sobre este intercambio. Pero debes tener cuidado, una reacción instintiva de bloquear completamente el uso compartido de archivos, sin uso compartido externo y con permisos estrictos por defecto para el uso compartido interno, sólo conducirá a que los usuarios busquen una forma alternativa de compartir.

Los documentos confidenciales pueden compartirse a través del almacenamiento en la nube de terceros, donde tú tienes aún menos visibilidad de los riesgos.

Por otro lado, si eres administrador de IT y tienes que gestionar el uso compartido de archivos (además de otras tareas), esto puede parecer un reto abrumador.

¿Por dónde empezar? Aunque puedas elaborar informes sobre los permisos concedidos y los archivos compartidos externamente, no sabrás qué es compartir demasiado y qué es legítimo. Tendrás que trabajar con varios departamentos de la empresa para identificarlo, sitio por sitio.

Por último, si eres un usuario final, entender qué control tienes sobre el uso compartido de documentos interna y externamente (que dependerá de la configuración de los tenants), y cómo puedes inventariar tu propio papel en el uso compartido excesivo es casi imposible de hacer con las herramientas integradas.

Gobernanza de datos

Controlar la situación actual del uso compartido de archivos -algo que en la mayoría de las empresas forma parte del paisaje desde hace tanto tiempo que nadie tiene una visión real completa- utilizando las herramientas integradas, es todo un reto.

Auditar cientos de sitios manualmente es imposible, e incluso programar informes PowerShell para recopilar los datos es difícil.

Ciertamente, echa un vistazo a tu configuración actual y a las opciones que tienes en el centro de administración de SharePoint que cubrimos en este artículo. Pero incluso si tú endureces esos ajustes hoy (son para todo el tenant), sólo se aplican a las nuevas comparticiones, no a los sitios compartidos anteriormente, y los archivos.

Recuerda que uno de los principios de Zero Trust (y ha existido desde mucho antes) es el acceso con mínimos privilegios. En otras palabras, sólo hay que dar a los usuarios acceso a los datos que necesitan para hacer su trabajo, nada más. Y mantenerlo actualizado a medida que cambien de funciones en la organización o sean ascendidos.

Esto rara vez ocurre, al final la gente mantiene el acceso existente y simplemente acumula más permisos. Y hacer un inventario exacto de quién tiene acceso a qué documentos es difícil con las herramientas integradas.

En la norma ISO 27001:2022, «Seguridad de la información, ciberseguridad y protección de la privacidad», se incluye el apartado A.8.12, «Impedir que se comparta información confidencial en las plataformas de comunicación empresarial», y en el apartado A.8.3, «Bloquear el acceso a archivos a usuarios específicos» y «Crear y gestionar revisiones de acceso».

En la HIPAA, Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios en EE.UU., según la norma § 164.308(a)(4): Control de acceso puedes encontrar Revisar los grupos de usuarios y aplicaciones con acceso a la ePHI por ejemplo.

En EE.UU., las organizaciones que hacen negocios con el Departamento de Defensa tienen que cumplir con el CMMC, Cybersecurity Maturity Model Certification con una nueva versión v2.0 en preparación, aquí por ejemplo, SC.L2-3.13.16 tiene controles para Datos en reposo, y AU.L2-3.3.1 tiene Auditoría del sistema.

Como último ejemplo, la CCPA, California Consumer Privacy Act, control 1798.150(a)(1) Data Security Breaches implica el registro de auditorías y las políticas de Prevención de Pérdida de Datos.

Estos son sólo algunos ejemplos. Dependiendo de dónde esté ubicada tu empresa, del sector al que pertenezca y del tipo de datos que almacene y procese, se aplicarán distintas normativas.

Lo que es común a muchas de ellas es que no sólo hay que controlar el acceso a los datos con un acceso de privilegio mínimo y auditar el acceso, a menudo con revisiones periódicas del acceso, sino que también hay que ser capaz de demostrar a un auditor que se está haciendo así. No basta con decir que lo haces, debes reunir y presentar pruebas de cómo lo haces.

365 Permission Manager

Lo que se necesita es una herramienta escalable que pueda abarcar grandes tenants con miles de sitios SharePoint, que sea fácil de usar y te ofrezca una interfaz de gestión centralizada para aplicar políticas, encontrar desviaciones de las mismas y remediar el acceso con exceso de permisos de forma masiva.

Ya vimos aquí los fundamentos del funcionamiento de 365 Permission Manager y este magnífico vídeo de animación lo muestra visualmente. En lugar de tener que visitar varios portales diferentes en las herramientas nativas de Microsoft, un administrador de IT tiene una sola consola, y una sola página más importante: la lista de tareas pendientes.

Esta lista enumera todas las infracciones de las políticas aplicadas a cada sitio de SharePoint Online y le permite corregirlas en bloque, así como facilitar excepciones cuando exista una justificación empresarial.

To do list - the IT administrators best friend

Lista de tareas: el mejor amigo de los administradores informáticos

Hay una serie de políticas de cumplimiento incorporadas que puedes aplicar a los sitios de SharePoint, y también puedes crear las tuyas propias personalizadas.

Esta es una diferencia fundamental entre el enfoque nativo y 365 Permission Manager, en lugar de tener un único tenant por defecto para todos los sitios, que luego debes personalizar para cada uno, aplicas una política a cada sitio, de una biblioteca que has adaptado a tu negocio.

Al preocupado CISO que mencionamos antes le van a encantar los tres informes que mostrarán Permisos totales del sitio, Acceso de usuarios y grupos y Acceso externo.

Y los usuarios finales también participan, ya que reciben correos electrónicos periódicos si sus sitios infringen la política, con enlaces a 365 Permission Manager para solucionar esas infracciones.

End user email notification

Notificación por correo electrónico al usuario final

365 Permission Manager se desarrolló inicialmente en Hornetsecurity para gestionar nuestros propios retos de intercambio de archivos de SharePoint, y a nuestro CISO Olaf Petry le encanta disponer de una herramienta tan potente:

Es fundamental que un CISO supervise eficazmente la estrategia y los programas de la empresa para garantizar una protección adecuada de los activos y las tecnologías de la información, y sin embargo este proceso puede ser muy complicado. Mis compañeros comentan a menudo el gran dolor que supone para ellos. El nuevo 365 Permission Manager de Hornetsecurity tranquilizará a los CISOs al permitir a los responsables y administradores de seguridad y cumplimiento controlar de forma eficiente y sencilla los permisos de Microsoft 365, y ayudar a evitar que los datos críticos caigan en las manos equivocadas.

La posibilidad de introducir un nombre de usuario y ver exactamente a qué sitios y documentos tiene acceso también ayuda mucho a prepararse para una auditoría.

Para gestionar sin esfuerzo los permisos de Microsoft 365, aplicar políticas de cumplimiento y supervisar las infracciones con facilidad, utiliza 365 Permission Manager de Hornetsecurity. Protege tu entorno Microsoft 365 y facilita las tareas de administración.

Conclusión

Tanto si estás trabajando para cumplir una normativa, como si estás preparando tu organización para los usuarios con Copilot para Microsoft 365 o simplemente quieres asegurarte de que los datos confidenciales no se compartan demasiado, la respuesta es sencilla: 365 Permission Manager.

PREGUNTAS FRECUENTES

¿Cuáles son los riesgos asociados a los permisos de archivos no gestionados en Microsoft 365?

Los permisos de archivos no gestionados suponen un riesgo importante para la seguridad de los datos y el cumplimiento de la normativa. Aunque el uso compartido de archivos está diseñado para facilitar la colaboración, puede dar lugar a que documentos confidenciales acaben en las manos equivocadas. Con la introducción de Copilot para Microsoft 365, los riesgos se agravan aún más, ya que tiene acceso a los mismos documentos que los usuarios, lo que puede comprometer la privacidad de los datos.

¿Cómo contribuye el uso compartido de archivos de Teams a los retos de la gobernanza de datos?

El uso compartido de archivos en Teams, aunque práctico, añade complejidad a los esfuerzos de gobernanza de datos. Los archivos compartidos en los canales de Teams se almacenan en sitios de SharePoint, mientras que los que se suben a los chats se almacenan en OneDrive for Business. Gestionar los permisos de estos archivos compartidos, especialmente cuando se colabora con usuarios externos, puede resultar desalentador para los administradores de IT, lo que conlleva descuidos y posibles violaciones de datos.

¿Cómo pueden las empresas resolver los problemas de gobernanza de datos y cumplimiento de la normativa relacionados con el intercambio de archivos?

Para hacer frente a los retos de la gobernanza de datos y el cumplimiento normativo, las empresas necesitan herramientas eficaces como 365 Permission Manager de Hornetsecurity. Esta herramienta ofrece una gestión centralizada de los permisos de SharePoint, lo que permite a los administradores aplicar políticas, identificar infracciones y corregir los accesos con exceso de permisos. Proporciona políticas de cumplimiento personalizables, informes completos y notificaciones a los usuarios finales para garantizar la seguridad de los datos y el cumplimiento normativo.