Supervisión del Cumplimiento de la Seguridad de Slack: Todo lo que necesita saber

A medida que más empresas recurren a herramientas de colaboración en tiempo real como Slack para respaldar el flujo de trabajo moderno, la seguridad y el cumplimiento de la normativa es un área que preocupa cada vez más tanto a los órganos de gobierno como a los ejecutivos. Este post cubre todo lo que los administradores de espacios de trabajo necesitan saber para mantener el cumplimiento dentro de Slack y asegurar los datos de su empresa para minimizar el riesgo de multas, sanciones y otras acciones legislativas.

¿Qué es la supervisión del cumplimiento?

La supervisión del cumplimiento se refiere al proceso continuo de garantizar que una organización se adhiere a las leyes, reglamentos y políticas internas de uso aceptable pertinentes. Para ello, las empresas despliegan una serie de medidas para rastrear y evaluar la actividad de los empleados dentro de las herramientas y aplicaciones autorizadas por el trabajo. Estas medidas tienen como objetivo detectar comportamientos no conformes o arriesgados y mitigar los riesgos de multas y sanciones reglamentarias. Una supervisión eficaz del cumplimiento ayuda a reducir los riesgos, mantener las prácticas éticas y salvaguardar la reputación de la organización.

¿Por qué es esencial la supervisión del cumplimiento para las empresas modernas?

Con gran parte del trabajo actual desarrollándose en línea en herramientas basadas en la nube y a través de equipos distribuidos, la supervisión del cumplimiento es más importante que nunca para proteger los datos sensibles que maneja una empresa. Estos datos pueden incluir datos regulados como la información sanitaria personal (PHI) y los datos de la industria de tarjetas de pago (PCI), así como la propiedad intelectual y otra información propietaria y confidencial.

En el pasado, esta información sensible y regulada se habría limitado a soluciones on-prem, como archivos en papel o redes informáticas cerradas, lo que habría reducido la necesidad de supervisar el cumplimiento de la normativa. Con más información fluyendo libremente entre dispositivos y aplicaciones, las empresas deben desplegar soluciones las 24 horas del día en todos los lugares en los que trabajen sus empleados para:

• Proteger los datos y la privacidad
• Protegerse contra los riesgos de ciberseguridad
• Prevenir cualquier infracción y las multas asociadas
• Apoyar la cultura de la empresa

¿Cuáles son algunos de los retos de cumplimiento que plantea el uso de Slack?

Slack es una herramienta de colaboración extremadamente popular, pero conlleva retos para los responsables de cumplimiento. Entre ellas se incluyen:

• Intercambio de datos confidenciales: Los empleados utilizan Slack para acelerar el trabajo compartiendo información y archivos confidenciales, que se conservan indefinidamente en instancias de Slack de pago.
• eDiscovery y búsqueda: Encontrar información dentro de Slack puede ser todo un reto, ya que los mensajes tienen diferentes configuraciones de visibilidad en función de si se envían en canales públicos, privados o mensajes directos.
• Complejidad de los datos: Los conjuntos de datos generados por plataformas de colaboración como Slack son masivos: cada empleado en un lugar de trabajo medio envía entre 30 y 40 mensajes al día, lo que significa que incluso pequeñas instancias de Slack pueden contener millones de mensajes y archivos.
• Ediciones y eliminaciones: Los usuarios de Slack (custodios) conservan el control total sobre los mensajes que envían y pueden editarlos o borrarlos en cualquier momento. Esto hace que sea más difícil para los responsables del cumplimiento comprender cuándo pueden haberse producido posibles infracciones.
• Integraciones de terceros: Slack se conecta con miles de aplicaciones y herramientas diferentes, cualquiera de las cuales podría aumentar los riesgos de seguridad de los datos al compartir información sensible. Los administradores deben asegurarse de que cualquier integración cumpla también las mismas normas de cumplimiento que Slack.

¿Qué controles nativos de cumplimiento tiene Slack?

Slack apoya a los equipos de cumplimiento e infoseguridad proporcionando una serie de funciones y controles para ayudar a gestionar la información sensible dentro de los mensajes de Slack. En primer lugar, Slack cumple con una serie de normas globales de seguridad y privacidad, como ISO 27001, SOC 2, SOC 3, APEC PRP y APEC CBPR. Además, Slack permite a los administradores utilizar su software de forma que cumpla con las principales normativas de cumplimiento como GDPR, CCPA/CPRA, HIPAA, FINRA, FedRAMP y más.

Para facilitar el cumplimiento de las empresas, Slack ofrece controles de residencia de datos que permiten a los administradores elegir la región geográfica en la que se almacenan sus datos en reposo. Slack también ofrece un Anexo de Procesamiento de Datos, que describe las obligaciones y los requisitos de Slack en virtud del GDPR, la CCPA y la legislación similar en relación con el procesamiento de los datos de los usuarios. En conjunto, estas características pueden ayudar a los administradores del espacio de trabajo a apoyar y mantener el cumplimiento dentro de Slack. Sin embargo, no proporcionan todos los controles necesarios para imponer el cumplimiento en todo el entorno de Slack.

El cumplimiento dentro de Slack debe reforzarse con herramientas de cumplimiento de terceros que puedan supervisar los mensajes de Slack en tiempo real, respaldadas con una formación regular de los empleados para limitar la divulgación accidental de información sensible o restringida.

¿Cómo protege Slack contra el phishing y otros ataques?

Asegurar Slack contra el acceso no autorizado de terceros usuarios es fundamental para proteger los datos de la empresa que contiene. Entre los ejemplos de pérdidas de datos y violaciones de la normativa que se produjeron a través de Slack se incluyen:

• Se filtraron imágenes de Grand Theft Auto VI después de que el Slack de Rockstar Games fuera pirateado
• El código fuente de FIFA 21 y otros datos fueron robados a EA Games a través de una brecha en Slack
• Un pirata informático accedió a datos financieros confidenciales e inicios de sesión de cuentas de Uber y lo anunció en el Slack de su empresa

Slack toma medidas para evitar que los malos actores accedan a los espacios de trabajo de la empresa, como restringir los inicios de sesión a las cuentas propiedad de la empresa y controlar aún más el acceso mediante la gestión de claves de cifrado. Para mayor seguridad, Slack también permite la autenticación de dos factores, que los administradores pueden imponer en todo el espacio de trabajo. Aunque la 2FA no sea obligatoria, los administradores y propietarios deben utilizarla al iniciar sesión en sus cuentas. Como alternativa, los administradores pueden exigir el inicio de sesión único (SSO), añadiendo una capa adicional de seguridad con un proveedor de identidades (IDP) como Azure Active Directory (ahora Microsoft Entra ID), Google Workspace (SAML), Okta o OneLogin.

Junto a las medidas de seguridad nativas de Slack, las organizaciones pueden conectar su instancia de Slack a aplicaciones de terceros diseñadas para reducir el riesgo de ataques maliciosos. Las soluciones disponibles incluyen servicios DLP y CASB para proteger los datos y limitar el acceso, y software de supervisión y alerta en tiempo real que puede detectar incidentes con información privilegiada en el momento en que se producen.

Colectivamente, estas medidas pueden reducir la amenaza que suponen los hackers y otros malos actores dentro de Slack, pero los empleados también deben recibir formación rutinaria sobre cómo identificar los ataques de phishing (correo electrónico) y smishing (SMS) en el momento en que se producen. La brecha de Uber, por ejemplo, fue el resultado de un ataque de fatiga MFA, en el que el hacker envía repetidamente solicitudes de inicio de sesión al dispositivo 2FA del empleado hasta que éste finalmente aprueba una.

4 pasos para reducir los riesgos de seguridad y cumplimiento en Slack

Paso 1: Establezca directrices claras para Slack

Antes de utilizar cualquier herramienta en el lugar de trabajo, debe evaluarse su seguridad. El establecimiento proactivo de políticas de uso aceptable puede ayudar a los empleados a entender cómo utilizar una herramienta y qué comportamientos deben evitar. Esto puede reducir las actividades no conformes y limitar la exposición de la organización.

Paso 2: Formar a los empleados sobre el uso aceptable

No tiene sentido crear políticas sin formar también a los empleados sobre cómo seguirlas. No entierre las directrices de uso aceptable, sino haga de la formación y los recordatorios una parte habitual de su estrategia de infoseguridad y despliegue una herramienta de moderación de contenidos que pueda apoyar y orientar a los empleados en tiempo real.

Paso 3: Establecer políticas de conservación de datos

Un componente importante del cumplimiento de la normativa es la retención. El tiempo que las empresas conservan la información y la facilidad de acceso a la misma son disposiciones clave de normativas como la HIPAA, la FINRA y el GDPR. Las empresas deben tener un plan para instituir y hacer cumplir los requisitos de retención dentro de Slack.

Paso 4: Activar la supervisión de Slack en tiempo real

Utilice una herramienta que pueda supervisar y analizar los mensajes de Slack en tiempo real para detectar actividades no conformes y de riesgo en el momento en que se producen y tomar medidas correctivas para reducir la exposición al riesgo dentro de Slack.

Cómo Mimecast Aware permite el cumplimiento en tiempo real para Slack

Mimecast Aware facilita a los administradores el establecimiento y la aplicación del cumplimiento y el uso aceptable dentro de Slack. La plataforma impulsada por IA de Mimecast Aware se diseñó para reducir el riesgo y extraer valor de los datos de colaboración de los empleados en Slack y otras herramientas mediante un procesamiento del lenguaje natural (PLN) propio que saca a la superficie más eventos con menos falsos positivos.

Como único proveedor de Slack aprobado tanto para la prevención de la pérdida de datos como para el eDiscovery, Mimecast Aware proporciona una supervisión y un control holísticos de los datos de Slack, satisfaciendo los casos de uso de los equipos de seguridad, cumplimiento e infoseguridad. Mimecast Aware se conecta a Slack a través de la API para capturar un registro completo de todos los mensajes, incluidas las revisiones y eliminaciones, y los almacena en un archivo listo para la búsqueda infundido con metadatos AI/ML para un descubrimiento más rápido y un mejor análisis contextual del quién, qué, dónde, cuándo, cómo y por qué de los incidentes de seguridad.

Las automatizaciones inteligentes toman medidas inmediatas siempre que se detectan incumplimientos y riesgos para los datos, bombardeando mensajes para su revisión o instruyendo automáticamente a los empleados sobre las políticas de uso aceptable para minimizar futuras infracciones. Las políticas de retención bidireccionales se aplican por igual tanto a los datos in situ como a los archivados de Slack, lo que significa que los administradores pueden cumplir con las necesidades normativas y las políticas internas de forma controlada y defendible, respaldados por registros de auditoría exhaustivos.

Con Mimecast Aware, las empresas pueden imponer de forma rápida y sencilla el cumplimiento y el uso aceptable en Slack y otras herramientas de colaboración desde un panel centralizado diseñado y construido para abordar las complejidades únicas de este conjunto de datos.

Preguntas frecuentes sobre la supervisión del cumplimiento de Slack

¿Cumple Slack con la HIPAA?

Aunque Slack no es compatible con HIPAA fuera de la caja, pero se puede utilizar en formas que apoyan y hacen cumplir la HIPAA. Más información sobre el cumplimiento de la HIPAA en Slack.

¿Cumple Slack el GDPR?

El GDPR, y legislaciones relacionadas como CCPA/CPRA, PIPEDA, y LGPD, perfilan cómo las empresas manejan los datos de los individuos, incluidos los empleados. Slack proporciona a los administradores controles y ajustes que ayudan a soportar estas legislaciones en los espacios de trabajo de la empresa. Más información sobre el cumplimiento del GDPR en Slack.

¿Cumple Slack con la norma NIST 800-171?

El NIST SP 800-171 describe los procedimientos que deben seguir las organizaciones no federales cuando manejan información no clasificada controlada (CUI). Slack cuenta con la certificación NIST 800-171.

¿Cumple Slack con el CJIS?

La Política de Seguridad de los Servicios de Información de la Justicia Penal (CJIS) se aplica a cualquier organización que acceda o maneje datos de la justicia penal, como datos biométricos, historiales de casos y datos de incidentes. Lo utilizan en gran medida los primeros intervinientes y las agencias relacionadas. Slack cuenta con la certificación de conformidad CJIS.

¿Está Slack aprobado para su uso en el DoD?

Las agencias gubernamentales y del DoD pueden utilizar GovSlack, una versión segura y conforme de Slack diseñada para uso gubernamental. GovSlack cumple las normas FedRAMP High, DoD SRG IL4 y FIPS 140-2.

¿Tiene Slack encriptación AES de 256 bits?

Slack ofrece una serie de funciones de seguridad y encriptación, dependiendo del nivel del plan Slack y de la configuración del administrador. Entre ellos se incluyen los protocolos TLS 1.2, el cifrado AES256, el algoritmo de intercambio de claves ECDHE_RSA y las firmas SHA2 cuando son compatibles.

¿Cómo cumple Slack con el Consejo de Normas de Seguridad PCI?

Aunque Slack no es un proveedor de servicios con certificación PCI, ofrece funciones de seguridad que los administradores pueden implementar para proteger los datos PCI dentro de Slack como parte de una estrategia de cumplimiento más amplia. Slack también ha completado el Cuestionario de Autoevaluación A (SAQ-A) del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago.

¿Cuál es la diferencia entre Slack y Slack Enterprise Grid?

Slack Enterprise Grid es un nivel de membresía de Slack que permite la funcionalidad de tomar un control más granular de una instancia de Slack para reforzar la seguridad de los datos y las políticas de cumplimiento. Los usuarios de Enterprise Grid también pueden conectar su instancia de Slack al cumplimiento de terceros, DLP, eDiscovery y otras herramientas y aplicaciones de seguridad a través de API.