Inquietudes sobre la privacidad en Slack: ¿Cómo protege Slack sus datos?

Slack es una parte integral de muchos lugares de trabajo modernos que ofrece una plataforma dinámica para que los equipos colaboren y compartan información. Sin embargo, la comodidad de Slack no puede ir en detrimento de la privacidad y la seguridad. Esta entrada de blog repasa las medidas de seguridad de Slack, explora los posibles riesgos para la privacidad y ofrece consejos para navegar con seguridad por este paisaje colaborativo.

¿Hasta qué punto es seguro Slack?

Slack es una popular herramienta de colaboración SaaS que ofrece canales para debates organizados, mensajería directa para conversaciones privadas e integraciones con diversas aplicaciones de terceros para mejorar la productividad. Estas herramientas fomentan la innovación y la productividad, pero también introducen riesgos inherentes. Se comparte información sensible, tienen lugar discusiones confidenciales y las líneas entre la comunicación interna y externa pueden difuminarse.

En cuestión de segundos, los datos sensibles y la información confidencial pueden verse comprometidos, desde los registros de nóminas hasta las listas de clientes y los informes financieros. Aquí es donde "riesgo de colaboración" entra en juego el aumento de la posibilidad de que usuarios no autorizados accedan a información restringida, lo que conduce a la violación de datos y al uso indebido de la información dentro de un entorno de colaboración.

Principales preocupaciones sobre la privacidad en Slack

Aunque Slack ofrece algunas medidas para proteger los datos contenidos en su espacio de trabajo, dista mucho de estar libre de riesgos. Las principales preocupaciones sobre la privacidad en Slack incluyen:

Falta de encriptación de extremo a extremo

Slack encripta los datos en tránsito y en reposo utilizando protocolos TLS 1.2, encriptación AES256, encriptación conforme a FIPS 140-2 y firmas SHA2 cuando es compatible. Sin embargo, Slack no ofrece cifrado de extremo a extremo, lo que significa que los mensajes podrían ser interceptados por piratas informáticos. Para mitigar este riesgo, Slack ofrece la funcionalidad "traiga su propia llave" (BYOK), que proporciona a las empresas un mayor control sobre el cifrado de sus datos.

Vulnerabilidades de integración de terceros

Slack ofrece más de 2600 aplicaciones e integraciones que pueden conectarse de forma nativa a Slack. Entre ellas se incluyen herramientas de mejora del flujo de trabajo y la productividad, mejoras de la ciberseguridad, juegos y bots. Cualquiera de estas herramientas, conectada a una instancia de Slack en el lugar de trabajo, podría potencialmente abrir una puerta trasera para el malware a través de la cual se puede acceder indebidamente a los datos o exfiltrarlos.

Historiales de mensajes que se pueden buscar y exportar

Por defecto, Slack conserva todos los datos indefinidamente para los planes de pago, y durante un año para los planes gratuitos. Dependiendo de su plan de Slack, cualquier empleado puede buscar en Slack mensajes de meses o incluso años atrás y exportar los datos que encuentre. Tan sólo 100 empleados enviarán más de 400.000 mensajes al año, lo que creará un enorme conjunto de datos potencialmente repleto de información confidencial y privada.

Compartir datos con los anunciantes

Slack informa de que comparte algunos datos identificables con anunciantes para su uso. Algunos de los datos que Slack recopila incluyen identificadores de usuario e información de contacto, información financiera, geolocalización, actividad en la red y mucho más. Esto puede presentar riesgos adicionales que los propietarios de cuentas Slack deben tener en cuenta.

Puntos ciegos y controles de datos limitados

Slack ofrece a los usuarios varias formas diferentes de colaborar, incluyendo dentro de canales públicos y privados o mensajes directos. Cada método viene con diferentes ajustes de visibilidad, que van desde totalmente privado (usuarios DMing sí mismos) a completamente sin restricciones (la publicación de mensajes en los canales públicos). Dependiendo del nivel de cuenta, la configuración administrativa y las herramientas de retención de datos de terceros que se utilicen, es posible que los administradores y propietarios no tengan una visibilidad completa de todos los lugares en los que hablan los empleados. Para complicar aún más las cosas, las cuentas de usuario también conservan la capacidad de editar o borrar sus propios mensajes en cualquier momento después de enviarlos.

Enlaces públicos a archivos privados

Al publicar un enlace en Slack, los usuarios finales podrían crear involuntariamente enlaces públicos a archivos privados, exponiendo datos confidenciales a personas no autorizadas. En algunos casos de acciones legales y reglamentarias, esto puede significar que los propios archivos pueden convertirse en pruebas, incluso si nunca se subieron directamente a Slack.

Cómo aborda Slack la privacidad de los datos

Slack se toma muy en serio la privacidad de los datos de los usuarios y ha implementado medidas para salvaguardar la información sensible y garantizar un lugar de trabajo digital seguro. Esto incluye ser transparente sobre qué datos se recopilan sobre los usuarios y cuánto tiempo se conservan esos datos.

Además, los usuarios pueden gestionar quién tiene acceso a sus canales y mensajes de Slack utilizando las funciones de seguridad integradas de Slack. Controles como la autenticación de dos factores (2FA), la limitación de los miembros a dominios verificados y/o la exigencia de la aprobación del administrador para cada nuevo usuario, y la desactivación de los usuarios inactivos pueden ayudar a restringir el acceso a los datos sólo a los empleados.

Los administradores pueden restringir aún más la visibilidad de los datos sensibles utilizando canales privados y mensajes de grupo para garantizar que los detalles confidenciales sólo se compartan cuando sea necesario y que no se puedan buscar de forma generalizada. Además, las organizaciones pueden permitir la colaboración con proveedores y contratistas a través de Slack Connect para evitar que usuarios externos accedan al espacio de trabajo completo de Slack.

Junto con los ajustes de administración para garantizar la privacidad y la seguridad, Slack ofrece formas de abordar y mitigar los posibles problemas de seguridad a través de proveedores de confianza para la prevención de pérdida de datos (DLP), eDiscovery, detección de amenazas internas y mucho más.

Las certificaciones de seguridad y cumplimiento de Slack incluyen ISO 27001, SOC 2 y FedRAMP Moderate, y Slack admite el uso conforme a HIPAA, FINRA, GDPR y CCPA/CPRA.

Preguntas frecuentes sobre privacidad y seguridad de Slack

¿Qué son las amenazas internas en Slack?

Las amenazas internas son usuarios de Slack que, por error o malicia, exponen los datos de la empresa a un acceso no autorizado, pérdida o exfiltración. Slack ofrece oportunidades únicas para que las amenazas internas prosperen sin ser vistas debido a su compleja estructura de permisos y a la limitada visibilidad de la actividad de los usuarios.

¿Son privados los datos de Slack?

Slack protege todos los datos generados por los usuarios con funciones de seguridad y encriptación diseñadas para mantener su privacidad. Los administradores del espacio de trabajo pueden apoyar estos esfuerzos configurando los controles de seguridad y privacidad disponibles para minimizar el riesgo en su instancia de Slack, desplegando integraciones de seguridad y privacidad de terceros y educando regularmente a los empleados sobre cómo utilizar Slack de forma segura y protegida. Algunos ejemplos de formación de los empleados deberían ser cómo establecer contraseñas seguras y mantenerlas a salvo, cómo detectar ataques de phishing y ransomware, y qué hacer si sospechan que se ha producido un incidente de ciberseguridad.

¿Cómo puedo mejorar la seguridad en Slack?

Los administradores de Slack pueden hacer cumplir las políticas de seguridad de varias formas, como estableciendo la autenticación multifactor, creando políticas claras de control de acceso, limitando el acceso de los usuarios invitados y utilizando Slack Connect para la colaboración externa. También es importante establecer una política de uso aceptable de Slack e imponer su cumplimiento mediante una supervisión continua de la conformidad.

¿Recopila Slack datos personales?

Sí, Slack recopila algunos datos personales sobre sus usuarios. Algunos ejemplos son los nombres de usuario, las direcciones de correo electrónico y el contenido de los mensajes necesarios para el funcionamiento de la plataforma. Slack también recopila información sobre las sesiones de usuario, las cookies, los metadatos de audio y vídeo, la actividad de la red y mucho más. Encontrará todos los detalles en la política de privacidad de Slack.

Cómo mejorar la seguridad en Slack

Mediante la aplicación de medidas de seguridad proactivas, las organizaciones pueden aprovechar las ventajas colaborativas de Slack y, al mismo tiempo, minimizar los problemas de privacidad y los riesgos de seguridad. Slack ofrece muchas funciones e integraciones que permiten a los administradores del espacio de trabajo reducir los riesgos de seguridad de la información y mejorar la protección de los datos. Sin embargo, es igualmente importante educar a los usuarios sobre sus funciones y responsabilidades en la protección de su instancia de la aplicación Slack. Esto incluye:

• Creación de políticas de uso aceptable para Slack y formación de los empleados sobre cómo seguirlas
• Establecimiento de directrices para conceder y revocar el acceso a Slack durante el on/offboarding
• Evaluar periódicamente las aplicaciones de terceros conectadas a Slack en cuanto a seguridad y privacidad
• Utilizar una solución que pueda detectar problemas de seguridad en Slack en tiempo real

Proteja y asegure sus datos de Slack con Mimecast Aware

Mimecast Aware respalda la privacidad y la seguridad de los datos en Slack y GovSlack utilizando automatizaciones impulsadas por IA para detectar los riesgos de los datos en el momento en que se producen. Mimecast Aware se conecta a Slack a través de API nativas para una integración perfecta sin impacto alguno en el usuario final y utiliza un procesamiento del lenguaje natural (PLN) propio para analizar los mensajes de Slack en tiempo real. Algunos de los riesgos que Aware puede detectar son los datos regulados (PII/PCI/PHI), la propiedad intelectual, el intercambio de códigos y archivos, y las fluctuaciones en el sentimiento y la toxicidad en el lugar de trabajo.

Con Mimecast Aware, los administradores de Slack pueden reforzar su postura de privacidad mediante una potente búsqueda federada que identifica los riesgos con una precisión casi humana, aumentando la seguridad y minimizando al mismo tiempo los falsos positivos. Aware es el único proveedor de Slack y GovSlack aprobado para eDiscovery y DLP, lo que permite a los usuarios tomar el control granular de sus datos de Slack, reducir los riesgos de información privilegiada, y hacer cumplir las políticas internas y la necesidad reglamentaria. Descubra por qué las principales organizaciones del mundo confían en Aware para garantizar la seguridad y privacidad de sus datos de Slack.