Usted estĆ” aquĆ:
Acceso de usuario invitado: Acceso externo predeterminado de colaboraciĆ³n de toda la organizaciĆ³n
Este control establece la lĆnea base mĆ”s restrictiva para la visibilidad de registros para todos los usuarios externos para la organizaciĆ³n, de modo que no se comparten datos de forma predeterminada a menos que se autoricen a travĆ©s de reglas de colaboraciĆ³n.
Nombre de control
Acceso de usuario invitado: Acceso externo predeterminado de colaboraciĆ³n de toda la organizaciĆ³n
ConfiguraciĆ³n recomendada
ConfiguraciĆ³n de colaboraciĆ³n>ModificaciĆ³n predeterminada de colaboraciĆ³n de toda la organizaciĆ³n>Establecer acceso externo predeterminado como Privado.
DescripciĆ³n general de control
Este control establece la lĆnea base mĆ”s restrictiva para la visibilidad de registros para todos los usuarios externos para la organizaciĆ³n, de modo que no se comparten datos de forma predeterminada a menos que se autoricen a travĆ©s de reglas de colaboraciĆ³n.
Riesgo de seguridad si no estĆ” configurado
Cuando el acceso externo estĆ” establecido en un nivel pĆŗblico, cualquier invitado o socio externo no autenticado puede ver o modificar registros que no son de su propiedad, omitiendo el principio de menor privilegio.
Escenarios de amenazas
Un usuario de Internet anĆ³nimo va a un portal de cara al pĆŗblico y visualiza correctamente una lista de todos los contactos de clientes internos o casos de asistencia porque la colaboraciĆ³n de objetos subyacente se dejĆ³ abierta al pĆŗblico.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
Mantener valores predeterminados externos permisivos lleva a la revelaciĆ³n no intencionada de datos confidenciales, dando como resultado posibles responsabilidades legales y una infracciĆ³n de las leyes de privacidad de datos.
Mayor riesgo cuando
Si los valores predeterminados de toda la organizaciĆ³n para objetos que contienen datos confidenciales (por ejemplo, informaciĆ³n financiera o informaciĆ³n de identificaciĆ³n personal) estĆ”n establecidos como lectura o escritura pĆŗblica para la comunidad de usuarios externos.
Bajo riesgo cuando
Si la compaƱĆa ya implementĆ³ permisos a nivel de objeto restrictivos que impiden que los perfiles externos accedan a los datos incluso si el modelo de colaboraciĆ³n estĆ” abierto.
Consideraciones de negocio e integraciĆ³n
Pasar a un modelo de colaboraciĆ³n privado requiere una auditorĆa exhaustiva de los procesos de negocio existentes para asegurarse de que los usuarios externos legĆtimos aĆŗn tienen las reglas de colaboraciĆ³n necesarias para realizar su trabajo.
RemediaciĆ³n recomendada
Vaya a ConfiguraciĆ³n de colaboraciĆ³n en ConfiguraciĆ³n, haga clic en Modificar en la secciĆ³n Valores predeterminados de toda la organizaciĆ³n y actualice la columna Acceso externo predeterminado a Privado para todos los objetos relevantes.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica un modelo de colaboraciĆ³n externo privado como un requisito de seguridad fundamental, que exige que toda la visibilidad de datos externos se otorgue explĆcitamente en vez de heredar a travĆ©s de una configuraciĆ³n predeterminada amplia.
