He visto muchas empresas que debido a la pandemia de la Covid-19 han tenido que empezar a utilizar herramientas en el cloud de forma precipitada y, muchas veces, sin una formación y una experiencia previa. Creo que estas actuaciones pueden tener como resultado que se abran brechas de seguridad en el acceso a la información de dichas entidades.
Y esto es lo que sucede: los usuarios han empezado a utilizar Teams como herramienta eficaz para la comunicación y la colaboración. Han creado sus Equipos (casi siempre basándose en su estructura departamental) y así se pueden comunicar entre ellos y compartir documentación. Hasta aquí todo estupendo.
Pero hay que tener una cosa en cuenta; cuando se crea un Equipo en Teams tenemos 3 opciones: Privado, Público o Para toda la organización. Se cree que el Equipo Para toda la organización es aquel de acceso totalmente abierto. Por esta errónea percepción se elige la opción equipo Público, porque se da por hecho que se pueden controlar los miembros que acceden al equipo. Sin embargo, eso no es del todo cierto: si el grupo es Público cualquier usuario de la organización puede unirse a él sin ninguna supervisión.
El problema se agrava al acceder a SharePoint. Cuando se crea un equipo en Teams y se empiezan a subir archivos a alguno de sus canales se crea, automáticamente, un site en SharePoint y todos los usuarios de la organización que acceden a esta herramienta pueden ver como el mismo programa les propone el acceso a sites de Equipos de los que no son miembros. Esto se hace evidente al acceder a los permisos del site y comprobar que tiene acceso toda la organización, excepto los invitados o externos.
A este problema que he expuesto le encuentro dos soluciones:
- La primera, asegurarse de que los usuarios conocen y comprenden perfectamente la repercusión que supone crear un Equipo en Teams y dejar este asunto bajo su responsabilidad.
- La segunda, controlar la creación de Equipos mediante la aplicación de directivas de seguridad.
Yo aconsejo esta última opción y por ello os dejo el enlace de la documentación de Microsoft que explica como implementar esa restricción para crear Equipos.
