Teletrabajo: más allá de una conexión VPN

En estos días en los que el gobierno ha decretado el estado de alarma, hay una palabra que ha sonado más que nunca en las empresas: teletrabajo. Muchas firmas se han dado cuenta de que no están listas para ofrecer a sus trabajadores el desempeño de su trabajo desde sus casas, de una manera 100 por cien productiva y segura. 

La mayor parte de los empleados utiliza las mismas herramientas; correo electrónico, aplicaciones ofimáticas, gestor documental, y herramientas de colaboración para realizar sus tareas diarias. 

Desde aquí no os quiero mostrar las capacidades de las herramientas de productividad de Office 365 y Microsoft 365, elementos de sobra conocidos, sino de todo lo que permite al equipo de TI tener el control sobre las aplicaciones, documentos, dispositivos, accesos, y a su vez a los trabajadores acceder a sus aplicaciones y ficheros desde cualquier lugar y desde cualquier dispositivo.

La preocupación por parte de TI y de la dirección de las empresas es ¿qué pasa con mi información? ¿cómo puedo controlar los accesos a la misma? Office 365 y Microsoft 365 tienen un servicio asociado llamado Azure AD, que permite gestionar la identidad de los usuarios, de una forma centralizada para las aplicaciones en la nube que disponga nuestra empresa. Este servicio permite, entre otras cosas, un acceso a los recursos de mi compañía de forma condicional, es decir, accedo al correo corporativo, o la intranet, o a determinado fichero si se cumplen unas determinadas condiciones, capacitando a los usuarios para ser productivos donde sea y cuando sea, y protegiendo los recursos de la empresa. 

El acceso condicional funciona de una manera muy simple y muy rápida de implementar. En este gráfico se explica su funcionamiento.

Existe un conjunto de señales, en base a las cuales se va a tomar la decisión de permitir o bloquear el acceso a las aplicaciones corporativas por parte de un usuario. Algunos ejemplos de señales serian: 

• Pertenencia a un usuario o grupo. Las directivas de acceso pueden dirigirse a usuarios y grupos concretos, lo que proporciona a los administradores un mayor control sobre el acceso. 
• Información de la ubicación de la IP. Las empresas pueden crear intervalos de direcciones IP de confianza que se pueden usar al tomar decisiones sobre directivas, por ejemplo, desde dentro o fuera de oficina, o por ejemplo desde países concretos. 
• Dispositivo. Los usuarios con dispositivos de plataformas concretas o marcados con un estado específico se pueden usar al aplicar directivas de acceso condicional. 
• Aplicación. Se pueden establecer directivas distintas de acceso para Exchange Online y para Sharepoint Online. 
• Detección de riesgo calculado y en tiempo real. Utilizando otro elemento adicional como Azure AD Identity Protection se pueden crear directivas de acceso condicional que identifiquen un comportamiento de inicio de sesión peligroso, haciendo que las directivas obliguen a los usuarios a realizar cambios de contraseña o a usar la autentificación multifactor para reducir su nivel de riesgo, o incluso bloquear su acceso hasta que algún administrador lleve a cabo una acción manual.
• Microsoft Cloud App Security (MCAS). Como elemento adicional y tener un control total de las aplicaciones MCAS permite el control y la supervisión en tiempo real de las sesiones y el acceso a las aplicaciones de usuario, lo que aumenta la visibilidad y el control sobre el acceso y las actividades realizadas dentro del entorno de nube.

Múltiple factor de autenticación

De forma adicional a acceso condicional, y a permitir o no el acceso a determinada aplicación, otro elemento que tenemos asociado a Azure AD y que podemos exigir para que nuestros trabajadores se conecten desde cualquier lugar e incorporado dentro de Office 365 y Microsoft 365 es MFA, o autentificación de doble/múltiple factor.

MFA se basa en la solicitud de dos o más elementos de autenticación:  

• Un elemento que conoce (normalmente una contraseña). 
• Un elemento del que dispone (un dispositivo de confianza que no se puede duplicar con facilidad, como un teléfono).  
• Un elemento físico que le identifica (biométrica).

Un ejemplo típico de acceso condicional y MFA es el siguiente: 

Como empresa quiero exigir a mis trabajadores que para acceder a mis aplicaciones corporativas se requiera MFA cuando estos están fuera de la oficina, obligándoles, por ejemplo, a introducir su usuario y contraseña para acceder al correo y, además, enviando un código de verificación a su móvil. 

Protección del dato

Por ultimo, y no menos importante, quiero hablaros de Microsoft Azure Information Protection - AIP y Office 365 Dara Loss Prevention - DLP.

Estas dos herramientas permiten ir más allá en la gestión y la seguridad de la información facilitando clasificar y proteger cualquier documento subido a cualquier aplicación de Office 365.

El proceso es relativamente sencillo; primero se crean las diferentes etiquetas, por ejemplo, publico, uso interno, clasificado, confidencial, etc. A cada documento se le puede asignar una etiqueta, por ejemplo, si quiero compartir un documento de forma pública, lo asigno como público. Esta marca es permanente, es decir, va asociada al documento allá donde vaya, y mediante las políticas de DLP asignada a Office 365 podemos determinar qué hacer cuando un documento con una clasificación se intenta enviar por correo electrónico o se intenta descargar de la intranet. 

Un ejemplo del DLP de Office 365 es permitir el envío o no de un documento adjunto a un correo. Con AIP y DLP de forma conjunta podemos hacer reglas que permitan enviar un documento clasificado como interno solo entre usuarios miembros de la organización, pero no a usuarios externos, protegiendo así la fuga de información.

Resumiendo, con estas tres herramientas: Azure AD Acceso condicional, MFA, y AIP-DLP asociadas a Office 365 y Microsoft 365 le damos a nuestro equipo de TI y a la empresa el control sobre la forma de acceder y la información, independientemente del lugar y dispositivo desde el que se trabaje.