El camino que Microsoft ha tomado con Office 365 es unificar todos los productos, los que ha adquirido recientemente y desarrollado, para ofrecer una robusta solución de productividad de negocio. Entre asistentes de configuración, videos de ayuda, soporte telefónico en vivo con transición a la nube se logrará gracias a una excelente optimización humana que desde Redmond han preparado. Pero el proceso no es necesariamente infalible. Todavía es posible que uno termine con un entorno de Office 365 mínimamente funcional e inseguro, incluso si ha seguido todas las guías útiles al pie de la letra.
Es esencial recordar que las configuraciones predeterminadas se construyen para el mínimo común denominador. Están diseñadas para que el administrador promedio y el usuario promedio puedan usar el sistema con la menor cantidad de esfuerzo, por lo cual el Ribbon de Office sufrió un ligero rediseño. Eso no significa que estos ajustes son decisiones sólidas, adaptadas a su ambiente óptimo ya que hay infinidad de variables pero son simplemente los ajustes fáciles.
Pero ¿cuándo nuestro trabajo ha tenido algo que ver con tomar el camino fácil?
Para asegurarse de que tiene una base sólida para la implementación de Office 365, tiene que obtener la configuración correcta. Si quiere que el correo electrónico llegue a salvo a su destino sin malware o información sensible, o que el portal de administración esté adaptado a todas las tareas con excepción de las más complejas, o que los dispositivos móviles de los usuarios sean más un impulsor de la productividad que un pasivo, tendrá que ir más allá de la configuración por defecto de Office 365.
A continuación, la manera de asegurarse de que su entorno de Office 365 esté correctamente configurado.
Administración del correo
La primera vez que configure Office 365, se le pedirá configurar el DNS de sus dominios para que funcione con Office 365. Microsoft proporciona registros para el enrutamiento del correo (MX), detección automática (CNAME) y SPF (Sender Protection Framework). No aplicar aquí las configuraciones correctas puede significar la pérdida completa del flujo del correo o la falta de conectividad del cliente.
El SPF conlleva una consideración especial. Este tipo de registro se utiliza para informar a otros sistemas de correo, si el correo electrónico proveniente de su dominio llega desde un sistema autorizado. El registro proporcionado por Microsoft es adecuado si el único lugar desde el cual su correo electrónico se va a generar es Office 365. No muchas vece suele pasar, este no es el caso, porque es posible utilizar herramientas de terceros como Salesforce o MailChimp para enviar correo electrónico en nombre de su dominio o aplicaciones. Con el fin de garantizar la entrega a sus destinatarios, asegúrese de incluir estos servicios en su registro SPF, le recomendamos visitar el sitio de The SPF Project.
Liste todos los dominios autorizados, incluidos los servicios de terceros, como dominios acreditados en el centro de administración de Exchange de Office 365 para asegurar la entrega del correo electrónico a todos sus destinatarios.
Una vez que tenga pleno acceso al centro de administración de Exchange, debe verificar que todos sus nombres de dominio se encuentran listado y declarados como acreditados, como puede ser del tipo apropiado que sea necesario, en Flujo de Correo > Dominios Aceptados, como se muestra en la imagen de arriba.
El flujo seguro de correo
Usted o sus clientes y proveedores podrían requerir el cifrado TLS para el intercambio de correo electrónico. Los proveedores de salud y financieros estarán a menudo sujetos a las regulaciones gubernamentales que requieren esta capa adicional de protección. La configuración predeterminada proporciona cifrado TLS oportunista; en otras palabras, Exchange Online primero intentará conectarse a otro sistema de correo con el cifrado TLS y volverá a texto plano, si es que el proceso no funciona.
Si requiere forzar el cifrado TLS, necesitará crear dos conectores: uno para el envío de correo y otro para la recepción de correo. Para ello, abra el centro de administración de Exchange y vaya a Flujo de Correo > Conectores. Crear el conector de envío es muy sencillo. Haga clic en el signo + (más) y seleccione “Envío de Office 365 a una organización asociada”. Dele al nuevo conector un nombre y escriba la descripción opcional. Por último, ingrese el nombre de dominio de su organización asociada y guarde el conector.
Para asegurar el cifrado TLS mejorado para el correo electrónico enviado entre Office 365 y una organización asociada, establezca un conector de flujo de correo.
El conector para la recepción de correo es un poco más complicado, pero aún bastante sencillo. Comience como antes haciendo clic en el signo +. Esta vez se seleccionará enviar desde su organización asociada a Office 365. A continuación, se le pedirá que especifique si desea establecer que este conector se aplique a nombres de dominio o direcciones IP específicas. Elija lo que sea apropiado para su escenario e introduzca la información en la siguiente pantalla. Elija rechazar cualquier mensaje que no se ha enviado usando el cifrado TLS y, opcionalmente, verifique el certificado TLS. Si quiere que este dominio cubra un rango de IP específico, puede hacerlo aquí y guardar el conector.
Todos los detalles de la configuración de estos conectores se encuentran disponibles en la TechNet Library de Microsoft.
Finalmente, será necesario que realice un revisado de las aplicaciones y se asegure de las líneas de negocio, copiadoras multifuncionales, sistemas de ticketing y otras aplicaciones y dispositivos sean capaces de enviar a través de su nueva cuenta de Office 365. Hay tres opciones disponibles para usted, y Microsoft lo tiene todo documentado con guías paso a paso.
Configuraciones de seguridad
Ahora que todas sus configuraciones de correo electrónico y servicios se almacenan en la nube, se debe prestar mucha atención a la configuración de seguridad. Se necesita solo un intento exitoso de phishing o la llamada ingeniería social para renunciar a las llaves del reino.
Como mínimo, debe establecer y utilizar una cuenta separada de su buzón principal, como cuenta de administrador y configurar sus otros administradores de la misma manera. Además, cada cuenta de administrador debe tener una contraseña de longitud mínima establecida y un periodo de expiración, ambos de cumplimento forzado, diríjase a Configuración del Servicio > Contraseñas, al utilizar la autenticación de factor múltiple, vaya a Usuarios > Usuarios Activos > Establecer Requisitos de Autenticación Multifactor > Configuración, de esta manera el conjunto mínimo de permisos necesarios para hacer el trabajo a través de la configuración de Role Based Access Control (RBAC) para realizarlo seleccione el Centro de Administración de Exchange > Permisos > Roles del Administrador.
La seguridad de su correo electrónico es igualmente importante. La Exchange Online Protection incorporada ofrece formas básicas de protección contra spam y malware, pero no impide la falsificación de direcciones. Debe dedicar algún tiempo a la evaluación de productos de terceros para proporcionar una base sólida para la seguridad del correo electrónico de su entorno de Office 365.
Las cuentas de administrador deben establecerse con el número mínimo de permisos necesarios para hacer el trabajo a través de RBAC.
Office 365
También debe considerar la creación de reglas de transporte para que coincidan con los tipos de datos financieros y personales comunes. Puede hacer esto utilizando plantillas de Data Loss Prevention (DLP) que crean reglas de transporte que se pueden cambiar, o puede crear reglas de transporte que utilizan directamente los tipos de información sensible. Para crear una regla de transporte que bloquee el envío de números de tarjetas de crédito y números de Seguro Social no cifrados, abra el Centro de Administración de Exchange y vaya a Flujo de Correo > Reglas. Haga clic en el signo + y elija “Generar un reporte de incidentes cuando se detecte información sensible…”. Elija el tipo de información sensible que desea detectar, seleccione un destinatario de notificación y la información incluida en la notificación, aunque también es opcional, añada una acción adicional para bloquear el mensaje con o sin un Non-Delivery Receipt (NDR).
Configuración de los dispositivos móviles
La mayoría de los usuarios probablemente quiera usar sus propios dispositivos móviles para acceder al correo electrónico de la empresa. Esto beneficia al usuario ya que solo tendrá que llevar un solo dispositivo, y beneficia a la empresa ya que no tiene que comprar y administrar dispositivos y contratos para sus usuarios. Esos dispositivos móviles, sin embargo, son ahora los puntos de acceso portátil a su sistema de correo o, si utiliza aplicaciones de línea de negocio o tiene una VPN móvil, a toda su red.
Office 365 ofrece ahora gestión de dispositivos móviles (MDM en inglés) como parte de su suscripción, y debe sacar el máximo provecho de esto. Para activar su suscripción MDM, haga clic en Dispositivos Móviles y aceptar el acuerdo de licencia y la política de privacidad.
Una vez que haya completado la configuración MDM, haga clic en “Administrar políticas de seguridad del dispositivo y acceder a las reglas”. Haga clic en el signo + para crear una nueva política, dotándola de un nombre y una descripción opcional. Hay varias opciones disponibles para usted aquí. Puede obligar el bloqueo del PIN (o contraseñas más complejas), conteo de las fallas del inicio de sesión, cierres por inactividad, cifrado de dispositivos y evitar que los dispositivos “rooteados” o con “jailbreak” se conecten.
Si los usuarios van a acceder a Office 365 o al correo electrónico desde sus propios dispositivos, es esencial configurar el MDM de Office 365.
Al menos debe configurar un PIN de seis dígitos, borrado después de 10 intentos, forzar el cifrado de datos y no permitir dispositivos hackeados. Esto debería evitar que el mayor número de ataques básicos contra sus dispositivos, sin molestar en gran medida a sus usuarios.
Los datos y la recuperación en caso de desastre
Es importante señalar que Office 365 no hace una copia de seguridad de su correo electrónico. Microsoft ofrece protección de datos nativa, que incluye varias copias pasivas (copias rezagadas) distribuidas entre dos centros de datos. Esa es una solución fantástica para proporcionar disponibilidad de los datos existentes, pero no asegura una recuperación de punto en el tiempo de los datos eliminados que se encuentran más allá del período de retención de elementos eliminados. Además, ese período de retención es de 14 días por defecto y se puede extender a 30 días, leyó bien son 30 días, donde por medio de una conexión PowerShell remota. Debe ser consciente de que sus datos pueden perderse.
Por suerte hay formas de mitigar esto. Para empezar, Microsoft recomienda que ponga todos los buzones en espera legal. Para ello se requiere un plan de Office 365 más costoso (E3), lo cual puede hacer que esta solución sea prohibitiva para algunas organizaciones. Además, no es una solución de archivo interactivo y de solo lectura para los usuarios, pero se asegura de que todos los datos se mantengan y sean descubribles. Tampoco le da la capacidad de hacer una restauración de punto en el tiempo, así que no es una solución de copia de seguridad en el sentido tradicional o moderno de la palabra.
Conociendo lo que estas limitaciones pueden significar, tiene que buscar una solución de copia de seguridad/recuperación de terceros para Office 365 o una sólida solución de archivo en línea. Usted quiere saber que sus datos están seguros y pueden ser hallados (por cumplimiento normativo y más). Esta es otra área, como la seguridad, en donde puede que tenga que mirar hacia el ecosistema de socios de Office 365 para encontrar la solución que sea la adecuada y pueda resolver estas preocupaciones.
Cuando arme su entorno óptimo Office 365, recuerde que las recomendaciones de configuración anteriores son simplemente lo básico. Considérelas como las configuraciones que de todas formas debe tener para poder funcionar. Si su organización cuenta con un centro de operaciones de seguridad, debe consultar con ellos sobre cómo mejorar aún más su seguridad. ¿Equipo de cumplimiento normativo? Revise añadir más reglas de transporte y configurar prevención de pérdida de datos.
Pero haga lo que haga, no se conforme con la configuración por predeterminada.
-J. Peter Bruzzes y Dustin Cook, InfoWorld
