La última vez que charlamos con Geoff Belknap, director de seguridad de Slack, le preguntamos qué era lo que más le preocupaba. Su respuesta fue inmediata: ofrecer un producto con las mayores garantías de seguridad y proteger los datos de los clientes. “Cojo todo lo que me preocupa, o lo que preocupa a los clientes, y lo convierto en planes, parámetros y transparencia”, explicó.
Y así, como parte de nuestro compromiso por proteger los datos de los clientes, presentamos la Administración de claves de cifrado en Enterprise Grid de Slack (Slack EKM), un complemento de Enterprise Grid con el que puedes, como cliente, llevar tus claves de cifrado a Slack para tener visibilidad y control absolutos sobre tus datos.
Le pedimos a Belknap que nos contase por qué Slack EKM es beneficioso para los clientes a los que les preocupa especialmente la seguridad de sus datos.
¿Qué es la Administración de claves de cifrado (EKM) en Enterprise Grid?
Geoff Belknap: Slack ya cifra tus datos en tránsito y en reposo. Slack EKM, además, da a los clientes de Enterprise Grid la capacidad de controlar lo que se puede cifrar y descifrar. Lo que hace, en pocas palabras, es añadir una capa de protección adicional para que los clientes —especialmente los de los sectores regulados— puedan compartir conversaciones, datos y archivos en Slack cumpliendo sus propios requisitos de mitigación de riesgos.
Slack EKM tiene dos características que lo hacen especial. La primera es que, al permitir que los clientes lleven a Slack sus propias claves de cifrado —que se gestionan en el servicio de administración de claves de AWS (AWS KMS)—, tienen mucho más control y visibilidad de sus datos más confidenciales.
Sin embargo, lo que hace que el diseño de Slack EKM sea único es que los administradores no tienen que revocar el acceso al producto en su totalidad, sino que pueden hacerlo de manera granular y concreta si se produce una incidencia. Esta revocación granular asegura que los equipos puedan seguir trabajando normalmente mientras los administradores investigan los posibles riesgos.
¿Por qué ofrecemos Slack EKM?
GB: Las organizaciones preocupadas por la seguridad, especialmente en los sectores altamente regulados, como los servicios financieros, gubernamentales y de salud, tienen pocas opciones en cuanto a las herramientas de colaboración que pueden usar, así que quisimos diseñar una experiencia que se adaptase perfectamente a sus necesidades de seguridad.
¿Qué es lo más importante que nuestros clientes deben saber sobre Slack EKM?
GB: Pues que tú, como cliente, tienes el control total de tus propias claves de cifrado y de cuándo las quieres revocar, si es que quieres hacerlo. Y además de poder controlar el acceso de forma muy granular, también puedes ver cómo se usan tus datos. Tienes a tu disposición registros de actividad detallados que te dicen cuándo y dónde se accede a tus datos, por lo que estarás al tanto al momento si se producen riesgos o anomalías.
Si un cliente o administrador revoca el acceso, ¿no está interfiriendo con la capacidad de otras personas de usar Slack y sus funciones?
GB: Precisamente diseñamos Slack EKM para mitigar esa posibilidad. A diferencia de otras soluciones, en Slack EKM no se trata de todo o nada. Puedes revocar el acceso de manera específica, si lo necesitas.
Los clientes pueden, por ejemplo, decidir revocar el acceso a los datos a ciertas horas del día y en ciertos canales. Si hay algo que puede causar un problema, no tienes que darle a un botón y desconectar Slack completamente, dejando a los equipos y departamentos sin acceso a la herramienta. Obviamente, si quieres hacerlo también puedes, pero se trata de ofrecer una solución que mantenga tus datos seguros de manera más sencilla y sin limitar el acceso a las funciones que las personas usan en su día a día.
¿Qué más pueden hacer los clientes de Slack para que sus datos estén seguros?
GB: Ya estés en la empresa más grande del mundo o en un equipo de dos personas colaborando en un espacio de trabajo gratuito de Slack, no te olvides de lo más importante:
- Siempre estate al tanto de a quién invitas a tu espacio de trabajo.
- Párate a pensar sobre qué aplicaciones usas y quién tiene permiso para añadirlas.
- Revisa siempre tus registros de acceso de Slack para que puedas enterarte de conductas no adecuadas. Slack te notificará, por ejemplo, si ha quedado expuesta alguna de tus claves de la API. Slack también te avisará cuando los usuarios inicien sesión desde una nueva IP. Utiliza esa información para proteger a tus usuarios y tomar decisiones de seguridad fundamentadas.
¿Qué es lo más difícil de ser el director de seguridad de Slack?
GB: Ser director de seguridad conlleva muchas responsabilidades, pero tengo la suerte de trabajar en Slack. El equipo al completo ve la seguridad como elemento primordial del éxito de Slack y de nuestros clientes.