Cada vez más los servicios en la nube son más usados y diversificados. Las empresas han encontrado en ellos una buen amanera de dar servicios a sus usuarios independientemente de la ubicación en la que estén, el dispositivo que usen y las características de su trabajo. Pero esto obliga a hacer un esfuerzo en materia de seguridad y control de acceso. Uno de los servicios más desplegados es Microsoft Office 365. Por ello, lanzamos unas recomendaciones para reforzar la seguridad en Office 365.
Un buen punto de partida es habilitar la autenticación multifactor a los administradores globales de la infraestructura de Office 365. Ello permitirá que, además del usuario y contraseña, los administradores globales deberán introducir un código, responder a una llamada u otra actuación para verificar su identidad. En caso de robo o sustracción de contraseñas, esto no será suficiente para acceder a Office 365. Esto es extensible a usuarios con alta movilidad, usuarios que manejen información crítica o que usen diferentes dispositivos para acceder y sobre los cuales no haya un control de seguridad profesional.
Otra medida adicional es habilitar la auditoria de buzones que la propia plataforma contiene. Con ello podremos acceder a diferentes informes sobre seguridad donde podremos analizar la incidencia de malware y antispam, información sobre el comportamiento de las directivas de prevención de pérdida de datos, ranking de envíos y recepciones. Un buen análisis de estos datos nos mostrará cual es el comportamiento de los usuarios con las herramientas de Office 365.
En cuanto al uso de dispositivos móviles, podemos forzar a que estos usen contraseña a la hora de configurar algún servicio en ellos. Es bastante común que los usuarios usen sus propios dispositivos para acceder a los recursos de Office 365 de la empresa. Por comodidad o desconocimiento, puede que estos dispositivos no tengan control de acceso mediante password. Pues bien, desde Office 365 podemos forzar a que una vez se haya configurado, por ejemplo, un buzón de Exchange este, obligatoriamente, solicite una contraseña cuando haya que acceder a él. Al ser dispositivos susceptibles de pérdida o robo, es una medida interesante para mantener los datos a salvo.
Otra tarea a tener presente es revisar periódicamente las existencia de cuentas inactivas en nuestra infraestructura. Todas aquellas cuentas que lleven 30 o más días sin uso, es conveniente desactivarlas y evitar que se pueda accede a los recursos con ellas. Nunca se sabe en manos de quien pueden caer en un futuro.
En cuanto a la presencia de Administradores Globales en nuestra organización de Office 365 también hemos de poner el acento. Es conveniente no disponer de más de 5 de ellos ni menos de 2. Todo para mantener un buen control de acceso y de los cambios y modificaciones que se hagan. Además, si nuestra organización es lo suficientemente grande, podemos diversificar las funciones de los administradores dividiendo en roles y asignando funciones menos completas a determinados administradores.
Estas son algunas de las medidas más directas que podemos tomar para reforzar la seguridad en Office 365. Por supuesto la plataforma nos ofrece muchas más, pero estas son unas nociones básicas para implantar de forma rápida. Si ya tiene Office 365 y desea que le asesoremos en cuanto a estas y otras pautas de seguridad, póngase en contacto con nosotros y le ayudaremos.