Zendesk proporciona una gama de opciones de seguridad que se pueden usar para garantizar la protección y la seguridad de la información privada.
Si sigue las mejores prácticas que se describen en este artículo, podrá aumentar la seguridad de su cuenta de Zendesk y reducir el riesgo de sufrir una violación de seguridad. Sin embargo, aun las mejores políticas de seguridad fallarán si no se observan. Zendesk recomienda encarecidamente que los agentes y administradores reciban capacitación para seguir las mejores prácticas y garantizar un entorno seguro.
Si tiene alguna duda sobre la seguridad de su sistema Zendesk, no deje de comunicarse directamente con Zendesk. Si sospecha una violación de seguridad, debe enviar un ticket con el asunto "Seguridad" junto con todos los detalles. O bien, puede enviar un correo electrónico a security@zendesk.com.
- Aumentar la seguridad de contraseñas para los agentes
- Nunca divulgar nombres de usuario, direcciones de correo electrónico o contraseñas
- Limitar número de agentes con acceso de administrador
- Auditorías de rutina de su cuenta de Zendesk
- Monitorear registros de auditoría de cuentas
- Animar a los agentes a que monitoreen sus cuentas de usuario
- Autenticar usuarios de manera remota con un inicio de sesión único
- Restringir acceso a su cuenta de Zendesk Support con restricciones de IP
- Limitar el acceso o seguir prácticas de codificación segura si se usa la API de REST
- Suprimir los números de las tarjetas de crédito de los tickets
- Permitir adjuntos en modo privado
- Evitar spam en los foros
Aumentar la seguridad de contraseñas para los agentes
Zendesk proporciona varios niveles de seguridad de contraseñas: baja, mediana y alta. Cada quien puede especificar su propio nivel de seguridad de contraseñas personalizado. Un administrador puede establecer un nivel de seguridad de contraseñas para los usuarios finales y otro para los agentes y administradores.
Si aumenta los requisitos de las contraseñas para los agentes, puede ayudar a evitar que usuarios no autorizados adivinen las contraseñas de sus agentes. Con el nivel más alto de seguridad, los agentes deben elegir una nueva contraseña cada 90 días. Si desea más información, consulte Configuración del nivel de seguridad de contraseñas.
También debe requerir que los administradores y agentes seleccionen contraseñas únicas para sus cuentas de Zendesk. En otras palabras, deben usar una contraseña diferente de la que usan para sistemas externos como Salesforce, GoodData, etc. Si un hacker ataca una de las cuentas y descubre la contraseña, su acceso estará limitado solo a esa cuenta.
Por último, podría exigir que los agentes y administradores usen la autenticación de 2 factores. Consulte Administración de la autenticación de dos factores. Recomendamos enviar un mensaje al equipo de soporte con un vínculo al artículo Uso de la autenticación de dos factores en la Guía del agente.
Nunca divulgar nombres de usuario, direcciones de correo electrónico o contraseñas
Si bien hay una línea casi imperceptible entre satisfacer las necesidades de los usuarios y mantener la seguridad, las mejores prácticas estipulan que los agentes y administradores de Zendesk nunca deben divulgar nombres de usuario, direcciones de correo electrónico ni contraseñas.
Si está usando la autenticación de inicio de sesión estándar de Zendesk, la única manera segura de restablecer una contraseña es que el usuario haga clic en el vínculo Olvidé mi contraseña en la pantalla de inicio de sesión de su cuenta de Zendesk. A continuación, se le solicitará al usuario que ingrese una dirección de correo electrónico válida (una ya verificada como usuario legítimo de la cuenta) donde recibirá un correo electrónico con un vínculo para restablecer su contraseña.
Si usa un sistema de autenticación de inicio de sesión único de terceros, como Active Directory, Open Directory, LDAP o SAML, las contraseñas pueden restablecerse de manera similar a través de esos servicios.
Tenga en cuenta que los hackers a veces usan técnicas de ingeniería social para presionar a las personas a que los ayuden dándoles la contraseña para una cuenta. En algunos casos, para lograrlo contactan al personal de servicio al cliente durante las noches o fines de semana cuando suponen que hay menos personal con experiencia trabajando. Incluso pueden pretender que ha habido una infracción de seguridad y que es necesario restablecer la contraseña de inmediato con un texto nuevo que ellos proporcionan.
Algunos hackers cuentan con herramientas que les permiten imitar direcciones de correo electrónico para que parezca que vienen de dominios legítimos de correo electrónico. Como resultado, aun lo que parece ser una solicitud de correo electrónico legítima de un usuario puede en realidad no venir de esa dirección. Si alguien que pretende ser un administrador o usuario de una cuenta se comunica con usted, debe tomar nota de la dirección IP (se muestra en la vista de eventos y notificaciones de los tickets) y verificar su identidad por separado (por ejemplo, llamando al número de teléfono que aparece en su perfil de usuario). En caso de duda, nunca proporcione información confidencial ni haga cambios en una cuenta en nombre de otra persona. Los usuarios legítimos deberían poder cambiar la configuración de su cuenta utilizando los métodos descritos anteriormente.
Le recomendamos ofrezca capacitación para sus agentes sobre estos tipos de riesgos de seguridad y también cree una política de seguridad que todo el mundo conozca y pueda consultar si ocurren estos tipos de incidentes.
Limitar número de agentes con acceso de administrador
Los administradores tienen acceso a partes de su cuenta de Zendesk a las que no pueden acceder los agentes normales. Por ejemplo, todas las funciones de seguridad que se describen en este documento están a disposición de los administradores únicamente. Al limitar el número de agentes que tienen acceso de administrador, se reduce el riesgo de seguridad. El rol de agente proporciona el acceso que los agentes típicos necesitan para administrar y resolver tickets.
Puede seleccionar roles de agente predefinidos que conceden permisos adicionales a los agentes. También puede crear sus propios roles de agente personalizados y decidir a qué partes de Zendesk Support pueden acceder los agentes que tienen asignados esos roles. Sin embargo, estos permisos están limitados a las secciones de usuarios, tickets, foros y administración del flujo de trabajo de Zendesk Support. Por ejemplo, solo los dueños de cuenta y los administradores tienen acceso a la configuración de seguridad.
Si le preocupa que sus agentes tengan acceso a la información sobre los usuarios finales, puede crear un rol que no les permita editar los perfiles de los usuarios finales ni ver la lista de todos los usuarios finales. Para evitar que tengan dicho acceso, establezca los dos permisos siguientes:
- ¿Qué acceso tiene este agente a los perfiles de los usuarios finales? Seleccione Solo lectura.
- ¿Puede este usuario ver listas de perfiles de usuario? Seleccione No puede explorar ni buscar usuarios.
Si desea más información, consulte Creación de roles personalizados y asignación de agentes.
Auditorías de rutina de su cuenta de Zendesk
- Revise los roles y el acceso de los agentes en la página Integrantes del equipo para buscar agentes o administradores desconocidos, o direcciones de correo electrónico poco comunes que no se encuentren en el dominio de su compañía.
- Si usa el almacenamiento de correo electrónico, asegúrese de que la dirección de correo electrónico sea legítima. Consulte Almacenamiento de notificaciones de tickets por correo electrónico.Nota: El almacenamiento de correo electrónico está disponible en los planes Enterprise y superiores.
- Verifique que el URL de su logotipo en la página Marca esté correcto y no haya sido cambiado.
- Verifique que todos los destinos que utiliza sean válidos y apunten a direcciones conocidas y correctas. Consulte Notificación a destinos externos.
- Revise todos los destinos y las automatizaciones que envían notificaciones y verifique que estén notificando a las personas correctas.
Zendesk notifica automáticamente a todos los administradores cuando ocurre la mayoría de estos eventos, pero usted debe verificar que las notificaciones se envíen a las personas correctas. Puede crear un grupo en Zendesk que recibirá estas alertas.
Monitorear registros de auditoría de cuentas
Es posible monitorear los distintos eventos de seguridad como la suspensión de usuarios, los cambios de política de contraseñas, la adopción de identidad de usuarios, las exportaciones de datos del cliente, los cambios de definición de los roles personalizados y mucho más a través del registro de auditoría. Esto permite realizar el seguimiento de muchos de los cambios importantes en su cuenta. Si desea más información, consulte Visualización del registro de auditoría para ver cambios.
Animar a los agentes a que monitoreen sus cuentas de usuario
Debido a que los agentes tienen un rol con más privilegios, pueden ser los primeros en darse cuenta cuando un hacker obtiene acceso no autorizado a su cuenta de Zendesk. Para asegurarse el acceso en el futuro, un intruso podría agregar una nueva dirección de correo electrónico al perfil de un administrador e iniciar un restablecimiento de la contraseña.
Zendesk envía una notificación por correo electrónico a los agentes cuando se cambia su contraseña. Además, los agentes pueden monitorear sus cuentas de usuario activando las alertas por correo electrónico para los inicios de sesión desde nuevos dispositivos (consulte Seguimiento de los dispositivos y las aplicaciones que acceden a su cuenta en la Guía del agente de Zendesk). Si ve un nuevo inicio de sesión procedente de una ubicación sospechosa, elimine el dispositivo involucrado para finalizar la sesión del usuario y luego elija otra contraseña.
Autenticar usuarios de manera remota con un inicio de sesión único
Además de la autenticación de usuario que proporciona Zendesk, también puede usar el inicio de sesión único por el cual se autentican a los usuarios fuera de su cuenta de Zendesk. Existen dos tipos: el inicio de sesión único a través de redes sociales y el inicio de sesión único empresarial.
El inicio de sesión único por redes sociales es una opción adicional que puede ofrecer para comodidad de sus clientes. Por ejemplo, puede permitir que el inicio de sesión con Facebook, Google y Twitter esté disponible en la página de inicio de sesión de su Centro de ayuda. Así, sus clientes podrán iniciar sesión ya sea con su propia cuenta de Zendesk o con una de sus cuentas en las redes sociales.
El inicio de sesión único empresarial es distinto al inicio de sesión único por redes sociales. En lugar de ser opcional y adicional al inicio de sesión con la cuenta de Zendesk, el inicio de sesión único empresarial sustituye a todas las demás opciones de inicio de sesión. Una vez que ha sido activado para su cuenta de Zendesk, sus clientes no ven ni usan la página de inicio de sesión de su Centro de ayuda. En lugar de eso, inician sesión en una red corporativa y luego acceden a Zendesk Support con solo hacer clic en un vínculo, y la sesión se inicia de forma automática. Toda la administración y autenticación del usuario tiene lugar fuera de su cuenta de Zendesk. Zendesk admite el inicio de sesión único con Secure Assertion Markup Language (SAML) y Token Web JSON (JWT).
Es importante recordar que si usa el inicio de sesión único basado en JWT o SAML, usted es responsable de verificar la identidad de los usuarios, lo que incluye verificar sus direcciones de correo electrónico. Si no verifica a los usuarios y sus direcciones de correo electrónico, su cuenta podría verse expuesta a un acceso no autorizado; Zendesk no puede garantizar la seguridad de su cuenta.
En ambos casos, ya sea si ofrece un inicio de sesión único a los usuarios a través del inicio de sesión único empresarial o a través de un inicio de sesión único por redes sociales, recomendamos que usted y sus usuarios aprovechen la autenticación de dos factores (también conocida como autenticación de varios factores) que proporcionan estos servicios. Esto agrega una capa más de protección ya que requiere una prueba de identidad adicional. Si está usando JWT o SAML, tendrá que configurar esto para su cuenta de Zendesk. Para el inicio de sesión único por redes sociales, los usuarios tendrán que configurarlo ellos mismos. Todos estos servicios proporcionan la documentación necesaria para configurarlo.
Si desea más información sobre el inicio de sesión único, consulte lo siguiente:
Restringir acceso a su cuenta de Zendesk Support con restricciones de IP
Un administrador puede restringir el acceso a direcciones IP específicas. Esto quiere decir que solo los usuarios de la dirección IP que se agrega manualmente a la cuenta pueden iniciar sesión en Zendesk Support.
Esto se puede aplicar a todos los usuarios o solo a los agentes. Si selecciona solo agentes, esto significa que el acceso de los agentes está restringido pero el acceso de los usuarios finales no lo está.
Si desea más información sobre esta función, consulte Restricción del acceso a su cuenta de Zendesk usando restricciones de IP.
Limitar el acceso o seguir prácticas de codificación segura si se usa la API de REST
Puede usar la API de REST de Zendesk y el Framework de aplicaciones de Zendesk para ampliar la funcionalidad de su cuenta de Zendesk Support.
Si no tiene pensado usar estas herramientas para ampliar Zendesk Support, no active la API. En Administrador > Canales > API, deseleccione las opciones Acceso con token y Acceso con contraseña.
Si desea ampliar su cuenta de Zendesk, se recomienda encarecidamente seguir las mejores prácticas de codificación segura. Una buena referencia sobre este tema es el proyecto Open Web Application Security Project (OWASP), que se encuentra aquí.
Además, las aplicaciones que acceden a las API de Zendesk nunca deberían usar su nombre de usuario y contraseña, más bien deberían usar un token OAuth (consulte Uso de la autenticación OAuth con su aplicación). Esto le permite aislar las acciones realizadas por esta aplicación y revocar el token si cree que ha sido comprometido.
Suprimir los números de las tarjetas de crédito de los tickets
Los usuarios finales a veces incluyen los números de sus tarjetas de crédito en las solicitudes de soporte cuando no lo deberían hacer. Además de estar visibles para cualquier persona que tenga acceso al ticket, el número de tarjeta de crédito se almacena automáticamente en una base de datos con el resto del ticket. Se pueden suprimir, o eliminar, dígitos de los números de las tarjetas de crédito para que ya no se puedan usar. Consulte Supresión automática de números de tarjetas de crédito en los tickets.
Permitir adjuntos en modo privado
Los adjuntos utilizan vínculos en Zendesk Support. Si no se activa la función de adjuntos privados, cualquier vínculo que alguien encuentre se puede usar sin necesidad de autenticarlo primero en Zendesk. Active los adjuntos privados a menos que haya una razón de negocios importante para no hacerlo. Consulte Permitir adjuntar archivos en los tickets.
Evitar spam en los foros
Puede activar un filtro para el Centro de ayuda que bloquea las publicaciones de los usuarios finales que parecen spam. Las publicaciones sospechosas se envían a una cola de spam donde los administradores las pueden revisar y administrar. Si desea más información, consulte Uso de un filtro para evitar spam en el Centro de ayuda.
0 Comentarios
Inicie sesión para dejar un comentario.