Zendesk proporciona una gama de opciones de seguridad que se pueden usar para garantizar la protección y la seguridad de la información privada. En este artículo se tratan las mejores prácticas de seguridad general para ayudarle a comenzar. Se recomienda encarecidamente capacitar a los agentes y administradores para que sigan las mejores prácticas orientadas a garantizar un entorno seguro.
Consulte la Zendesk Suite Actionable Security Guide para ver una lista detallada de las mejores prácticas de seguridad que recomendamos que implemente en su instancia.
- Aumentar la seguridad de contraseñas para los agentes
- Nunca divulgar nombres de usuario, direcciones de correo electrónico o contraseñas
- Limitar el número de agentes con acceso de administrador
- Autenticar usuarios de manera remota con un inicio de sesión único
- Monitorear registros de auditoría de cuentas
- Limitar el acceso o seguir prácticas de codificación segura si se usa la API de REST
- Proporcionar una dirección de correo electrónico para las notificaciones de seguridad
Si tiene preguntas sobre la seguridad de su instancia de Zendesk, contacte a Zendesk directamente. Si sospecha una violación de seguridad, envíe un ticket con el asunto "Seguridad" junto con todos los detalles. O bien, puede enviar un correo electrónico a security@zendesk.com.
Aumentar la seguridad de contraseñas para los agentes
Zendesk proporciona cuatro niveles de seguridad de contraseñas: Recomendado, Alto, Mediano y Bajo. También se puede especificar un nivel de seguridad personalizado. Un administrador puede establecer un nivel de seguridad de contraseñas para los usuarios finales y otro para los agentes y administradores.
Zendesk recomienda encarecidamente que se use el nivel de seguridad de contraseñas Recomendado tanto para los integrantes del equipo como para los usuarios finales con el propósito de proteger su cuenta. Este nivel de seguridad está configurado de acuerdo con requisitos estrictos para las contraseñas, se encarga de verificar que no involucre contraseñas vulneradas y se basa en las mejores prácticas de seguridad y las normas del sector.
Aumente los requisitos de las contraseñas de los agentes para ayudar a evitar que usuarios no autorizados adivinen las contraseñas de sus agentes. También debe requerir que los administradores y agentes seleccionen contraseñas únicas para sus cuentas de Zendesk y eviten utilizar las mismas contraseñas para sistemas externos.
Anime a los agentes a que monitoreen sus propias cuentas. Zendesk envía una notificación por correo electrónico a los agentes cuando se cambia su contraseña. Además, los agentes pueden monitorear sus cuentas activando alertas por correo electrónico para los inicios de sesión desde dispositivos nuevos. Si ve un nuevo inicio de sesión desde un dispositivo sospechoso, elimine el dispositivo para finalizar la sesión del usuario y luego elija otra contraseña.
Exija la autenticación de dos factores para los agentes y administradores, para agregar una capa de seguridad adicional. Recomendamos enviar un mensaje al equipo de soporte con un vínculo al artículo Uso de la autenticación de dos factores.
Considere usar un administrador de contraseñas como 1Password o LastPass. Los administradores de contraseñas ayudan a generar una única contraseña fuerte que se puede usar en todos los demás sitios.
Nunca divulgar nombres de usuario, direcciones de correo electrónico o contraseñas
Los agentes y administradores de Zendesk nunca deben divulgar nombres de usuario, direcciones de correo electrónico ni contraseñas.
Si está usando la autenticación de inicio de sesión estándar de Zendesk, la única manera segura de restablecer una contraseña es que el usuario haga clic en el vínculo Olvidé mi contraseña en la pantalla de inicio de sesión de Zendesk. A continuación, se le solicitará al usuario que ingrese una dirección de correo electrónico válida (una ya verificada como usuario legítimo de la cuenta). Una vez que lo haga, recibirá un correo electrónico con un vínculo para restablecer su contraseña.
Si usa un sistema de autenticación de inicio de sesión único de terceros, como Active Directory, Open Directory, LDAP o SAML, las contraseñas pueden restablecerse de manera similar a través de esos servicios.
Los hackers a veces usan técnicas de ingeniería social para presionar a las personas para que les den la contraseña de una cuenta. Algunos hackers utilizan herramientas que imitan direcciones de correo electrónico para que parezca que vienen de dominios legítimos de correo electrónico. Como resultado, lo que parece ser una solicitud de correo electrónico legítima de un usuario puede en realidad no venir de esa dirección.
Si alguien que pretende ser un usuario o administrador se comunica con usted, tome nota de la dirección IP (se muestra en la vista de eventos de los tickets) y verifique su identidad por separado (por ejemplo, llamando al número de teléfono que aparece en su perfil de usuario). En caso de duda, nunca proporcione información confidencial ni haga cambios en una cuenta en nombre de otra persona. Los usuarios legítimos pueden cambiar la configuración de su propia cuenta.
Informe a los agentes sobre estos tipos de riesgos de seguridad. Además, cree una política de seguridad que todo el mundo conozca y que puedan consultar si se produce este tipo de incidentes.
Limitar el número de agentes con acceso de administrador
Los administradores pueden acceder a partes de su cuenta de Zendesk a las que no pueden acceder los agentes normales. Para reducir el riesgo de seguridad, puede limitar el número de agentes que tienen acceso de administrador. El rol de agente proporciona el acceso que los agentes típicos necesitan para administrar y resolver tickets.
Puede seleccionar roles de agente predefinidos que conceden permisos adicionales a los agentes. En los planes Enterprise, también puede crear sus propios roles de agente personalizados y decidir a qué partes de Zendesk pueden acceder los agentes que tienen asignados esos roles y cómo las van a administrar. Estos permisos están limitados. Por ejemplo, solo los dueños de cuenta y los administradores tienen acceso a la configuración de seguridad.
Si le preocupa que sus agentes tengan acceso a la información sobre los usuarios finales, puede crear un rol que no les permita editar los perfiles de los usuarios finales ni ver la lista de todos los usuarios finales.
Limitar el acceso a información privada en los tickets
En los planes Enterprise, los administradores tienen la oportunidad de designar un grupo como privado. Esa designación limita el acceso de los agentes dentro del grupo, aunque los administradores y líderes del equipo tienen acceso de manera predeterminada y a los agentes se les puede otorgar un permiso para que vean tickets privados. Los agentes que trabajan en tickets privados no pueden @mencionar a personas que no pertenezcan al equipo privado ni iniciar conversaciones secundarias con ellas. Cuando se usan grupos de tickets privados, la visibilidad del contenido de los tickets puede verse reducida de manera significativa.
Si le preocupa que los agentes tengan acceso a información confidencial en los tickets, puede crear grupos privados con los agentes apropiados para encargarse de esos tickets.
Autenticar usuarios de manera remota con un inicio de sesión único
Además de la autenticación de usuario que proporciona Zendesk, también se puede usar el inicio de sesión único por el cual se autentica a los usuarios fuera de Zendesk. Existen dos opciones de SSO: el inicio de sesión único a través de redes sociales y el inicio de sesión único empresarial.
El inicio de sesión único a través de redes sociales permite que los clientes puedan iniciar sesión con su cuenta de Zendesk o con una de sus cuentas de redes sociales, como Google o Microsoft. Si bien estas opciones son prácticas, se recomienda desactivar los inicios de sesión con redes sociales innecesarios.
El inicio de sesión único empresarial no utiliza Zendesk y autentica a los usuarios externamente. Cuando los usuarios van a la página de inicio de sesión de Zendesk o hacen clic en un vínculo para acceder a su cuenta de Zendesk, pueden autenticarse iniciando sesión en un servidor corporativo o en un proveedor de identidad de terceros como OneLogin u Okta.
Cuando se proporciona un inicio de sesión único empresarial o a través de redes sociales, se recomienda aprovechar la autenticación de dos factores (también conocida como autenticación de varios factores) que estos servicios proporcionan. Esto agrega una capa más de protección ya que requiere una prueba de identidad adicional. Si está usando JWT o SAML, tendrá que configurarlos para su cuenta de Zendesk. Para el inicio de sesión único por redes sociales, los usuarios tendrán que configurarlo ellos mismos. Todos estos servicios proporcionan la documentación necesaria para la configuración.
Los agentes y usuarios finales pueden tener distintas maneras de autenticarse. Para proteger Zendesk Support, puede crear una política de autenticación más estricta para los agentes a la vez que proporciona un acceso fácil a los clientes y usuarios finales.
Monitorear registros de auditoría de cuentas
El registro de auditoría hace seguimiento de los cambios importantes en la cuenta. Con el registro de auditoría, es posible monitorear los distintos eventos de seguridad como la suspensión de usuarios, los cambios de política de contraseñas, las exportaciones de datos del cliente, los cambios de definición de los roles personalizados y mucho más.
Limitar el acceso o seguir prácticas de codificación segura si se usa la API de REST
Puede usar la API de REST de Zendesk y el Framework de aplicaciones de Zendesk para ampliar la funcionalidad de su cuenta de Zendesk Support.
Si desea ampliar su instancia de Zendesk, le recomendamos encarecidamente seguir las mejores prácticas de codificación segura. Una buena referencia sobre este tema es el proyecto Open Web Application Security Project (OWASP), que se encuentra aquí.
Proporcionar una dirección de correo electrónico para las notificaciones de seguridad
Si un incidente de seguridad afecta los Datos de servicio, la prioridad número uno y la obligación legal de Zendesk es notificar a nuestros clientes dentro del plazo exigido. Con este fin, le pedimos que agregue la dirección de correo electrónico del contacto o del grupo de seguridad de su organización a donde dirigir las notificaciones de un eventual incidente de seguridad. Consulte Designar una dirección de correo electrónico para recibir las notificaciones de seguridad exigidas.