Im Zuge der Corona-Pandemie ist die digitale Transformation mit atemberaubender Geschwindigkeit vorangeschritten. . Die weit verbreitete Übernahme technologischer Entwicklungen, die wir erst in einigen Jahren für möglich gehalten hätten, ist blitzschnell in nur wenigen Monaten eingetreten. Unternehmen haben Cloud-Lösungen eingeführt, damit ihre Mitarbeiterinnen und Mitarbeitermiteinander vernetzt bleiben. Und da immer mehr Arbeitsplätze vollständig oder vorübergehend ins Home-Office verlagert werden, ist Sicherheit wichtiger denn je.

Bedrohungen der Cybersicherheit, wie zum Beispiel Betrug durch Phishing und Spam, sind während der Pandemie stark angestiegen, da Kriminelle die Situation ausnutzen, um die Systeme von Remote-Workern und Unternehmen anzugreifen. Im April hat Google im Verlauf von nur einer Woche und im Zusammenhang mit Corona-Betrügereien mehr als 18 Millionen Malware- und Phishing-E-Mails pro Tag sowie 240 Millionen tägliche Spam-Nachrichten gemeldet. Anfällige Branchen, zum Beispiel Banken und Unternehmen aus dem Gesundheitswesen, waren besonders stark betroffen. Laut einem Bericht von VMware Carbon Black ist die Anzahl der Angriffe auf den Finanzsektor zwischen Februar und April 2020 um 238 % angestiegen.  

Immer mehr Unternehmen, besonders auch aus stark regulierten Branchen, nutzen Slack für die Zusammenarbeit. Deshalb möchten wir die aktuell strengsten Sicherheits- und Compliance-Richtlinien einhalten und sogar noch übertreffen. Von Anfang an haben wir Slack so entwickelt, dass Unternehmen dort sicher kommunizieren und zusammenarbeiten können – sowohl intern als auch über die Unternehmensgrenzen hinaus. Unsere Plattform ermöglicht es uns, das Wichtigste nicht aus den Augen zu verlieren und Innovationen, von denen unsere Kunden profitieren, schnell umzusetzen. Das gilt besonders in Zeiten wie diesen, in denen Sicherheit extrem wichtig ist.  Slack bietet eine sichere Lösung für die Zusammenarbeit auf Unternehmensebene. 

Aktuell führen wir weitere Sicherheitsebenen für Unternehmen ein. Im Folgenden geben wireinen ausführlichen Einblick in unsere aktuellen Angebote zu den Themen Sicherheit und Compliance sowie eine Vorschau auf das, was noch kommt. 

Sichere Zusammenarbeit mit externen Unternehmen, dank Slack Connect

Vor einiger Zeit haben wir Slack Connect eingeführt, eine sicherere und produktivere Methode der Kommunikation zwischen Unternehmen. Mit Slack Connect können Unterhaltungen mit Partnern, Lieferanten,, Kunden und anderen externen Dienstleistern vom E-Mail-Postfach zu Slack verlagert werden. Die Vorteile von Slack sind enorm: schnellere Kommunikation, engere Beziehungen, mehr Transparenz und höhere Sicherheit.

Mit Slack Connect haben Administratorinnen und Administratoren die Kontrolle über die Daten ihres Unternehmens und können den externen Zugriff überwachen. Und im Gegensatz zu E-Mails, bei denen die Gefahr von Spam und Phishing besteht, erhalten Projekt-Teams in Channels nur Nachrichten und Dateien von verifizierten Mitgliedern. Außerdem gelten alle Sicherheitsfunktionen und Compliance-Standards von Slack auf Unternehmensebene auch für Slack Connect. Dazu gehören, , die Aufbewahrung von Daten, der Schutz vor Datenverlust, eDiscovery sowie schon bald auch EKM. 

Im Laufe des Jahres führen wir  eine weitere Funktion ein, mit der Administratorinnen und Administratoren externe Unternehmen vor der Zusammenarbeit in Slack ganz einfach hinsichtlich der Sicherheitsstandards prüfen können. So erhalten sie die Gewissheit, dass sie mit vertrauenswürdigen Partnern zusammenarbeiten. Alle verifizierten Unternehmen werden mit einem Badge gekennzeichnet. Administratorinnen und Administratoren, die externe Channels genehmigen, sehen so auf einen Blick, ob ein neues Unternehmen den Sicherheitsstandards entspricht. Das Ergebnis?  Ein schnellerer und sicherer Prozess zum Einrichten von Channels für Administratorinnen und Administratoren sowie Benutzerinnen und Benutzer.
 
Im Zuge der Weiterentwicklung von Slack Connect investieren wir auch weiter in Angebote, durch die Unternehmen noch mehr ihrer Richtlinien zu Sicherheit und Compliance auf Daten anwenden können, die sie mit externen Partnern teilen.

Mit Slack entsprechen Unternehmen und Organisationen den Compliance-Standards ihrerRegion und Branche

Im Folgenden ein US Beispiel dazu, wie Slack die FedRAMP-Stufe „moderat“ erhalten hat.

Im April 2018 haben sich Mitarbeiterinnen und Mitarbeiter von Slack mit Vertreterinnen und Vertretern des FedRAMP Program Management Office getroffen und sechs Monate darauf hat Slack die FedRAMP Tailored-Autorisierung erhalten. Auch wenn diese Zertifizierung sicherlich schon ein Meilenstein war, wollten wir unbedingt die nächste Stufe der Sicherheitskonformität erreichen.

Mit Unterstützung des U.S. Ministeriums für Veteranenangelegenheiten haben wir von da an daran gearbeitet, die FedRAMP-Autorisierung der Stufe „moderat“ zu erhalten. Unsere zuständigen Partner für regulatorische Angelegenheiten haben unser Produkt mit mehr als 300 strengen Sicherheitskontrollen geprüft. Am 20. Mai 2020 hat Slack schließlich die Betriebszulassung (Agency Authorization to Operate, ATO) der Stufe „moderat“ erhalten.

Die FedRAMP-Autorisierung der Stufe „moderat“, von Slack spiegelt unsere kontinuierlichen Investitionen in und unsere Unterstützung für Kunden im öffentlichen Sektor der USA wider. Da immer mehr Regierungsbehörden auf Cloud-Lösungen umsteigen, können IT-Administratoren und -Administratorinnen sowie Sicherheitsfachleute sicher sein, dass Slack einige der allgemein am meisten anerkannten Sicherheitsstandards erfüllt und übertrifft. Darüber hinaus bieten wir Lösungen, die Projekt-Teams des öffentlichen Sektors bei der Erfüllung von Compliance-Anforderungen unterstützen.

Diese neueste Autorisierung bedeutet mehr Sicherheit für Slack-Kunden – einschließlich Unternehmen aus dem Privatsektor, die keine FedRAMP-autorisierte Umgebung benötigen. Sämtliche Kunden, die die kommerziellen Angebote von Slack nutzen, können von den erhöhten Sicherheitsmaßnahmen profitieren, die für eine FedRAMP-Zertifizierung erforderlich sind.

Diese FedRAMP-Zertifizierung der Stufe „moderat“, ist aber nur ein Teil des Sicherheitsprogramms von Slack. Slack zertifiziert seine Dienste außerdem nach:

• ISO 27001
• ISO 27017
• ISO 27018
• SOC 2 Type 2
• SOC 3
• Cloud Security Alliance 

Slack hilft seinen Kunden auch bei der Compliance mit der Datenschutz-Grundverordnung (DSGVO), der Financial Industry Regulation Authority (FINRA) und dem Health Insurance Portability and Accountability Act (HIPAA).

Weitere Optionen für die Datenaufbewahrung in Regionen außerhalb der USA

Millionen von Menschen arbeiten täglich in Slack zusammen, aber da Daten in der Vergangenheit hauptsächlich in den Vereinigten Staaten gespeichert wurden, war der Einsatz von Slack für einige Unternehmen nicht möglich. . Slack schließt diese Lücke mit dem Angebot der Datenresidenz für Slack.

Die Datenresidenz gibt globalen Teams mehr Kontrolle darüber, wo ihre Daten gespeichert werden. Mit der Datenresidenz für Slack haben Unternehmen die Option, ihre Daten außerhalb der USA zu speichern, etwa in Sydney, Frankfurt, Paris, Tokio, London – und seit neuestem auch in Montreal.

In Slack besteht die Möglichkeit gewisse Benutzergruppen voneinander abzutrennen, um vertrauliche Informationen zu schützen.

Natürlich sind wir alle für das Teilen von Informationen, aber manchmal müssen Administratorinnen und Administratoren den Datenfluss aus Sicherheits- und Compliance-Gründen auch kontrollieren. In manchen Unternehmen ist es wichtig, so etwas wie eine Firewall zwischen Gruppen oder Abteilungen einzurichten, damit es nicht zu Interessenkonflikten kommt oder um vertrauliche Informationen zu schützen. 

Im Laufe dieses Jahres werden wir bei Slack auch die Funktion der Informationssperre anbieten. Mit solchen Sperren können Administratorinnen und Administratoren bestimmte Benutzergruppen davon abhalten, Nachrichten an andere Benutzergruppen zu senden oder diese anzurufen. 

Ein praktisches Beispiel: Eine Investment-Bank unterhält dann in Slack eine Gruppe für Trader und eine andere für Investment-Bankerinnen und -Banker. Beide Gruppen lassen sich so konfigurieren, dass sie nicht miteinander kommunizieren können. Die Zusammenarbeit mit anderen Mitarbeiterinnen und Mitarbeitern im Unternehmen bleibt dabei aber weiterhin möglich. Durch diese kleinteiligen Steuerungsmöglichkeiten können Administratorinnen und Administratoren Regeln und Richtlinien einhalten, ohne gleich die Zusammenarbeit im ganzen Unternehmen zu blockieren. 

[ad id=”23373″ /]

Mehr Transparenz und Kontrolle über Daten

Mit dem Slack Enterprise Key Management werden Daten geschützt

Slack Enterprise Key Management (EKM) wird auch den Anforderungeren der sicherheitsbewusstesten und reguliertesten Unternehmen gerecht. Mit dieser Funktion können Unternehmen dank der Nutzung von Key Management Service (KMS) von Amazon eigenen Verschlüsselungscodes verwalten. Das erhöht die Transparenz und die Kontrolle über die Nachrichten und Dateien in Slack.

„Verschlüsselung und Unterstützung von Enterprise Key Management zählen für Marktführer im Bereich Unternehmenskollaboration den geschäftskritischen Anforderungen“, sagt Irwin Lazar, VP und Service Director von Nemertes Research, einem Forschungs- und Beratungsunternehmen. „Da Slack Unternehmensdaten sowohl innerhalb des Unternehmens als auch innerhalb von verbundenen Workspaces schützt, können Organisationen die Sicherheit ihrer Daten gewährleisten und gesetzliche Vorschriften und Compliance-Anforderungen erfüllen.“

Unsere EKM-Lösung ist einzigartig und so entwickelt worden, dass alle Funktionen und die Leistung von Slack uneingeschränkt erhalten bleiben. Zugleich haben Administratorinnen und Administratoren die Möglichkeit, je nach Bedarf den Zugriff auf bestimmte Bereiche zu entziehen. Dadurch können Projekt-Teams in Slack immer sicher und ohne Unterbrechungen weiterarbeiten.

Die neuen Erweiterungen unserer EKM-Lösung geben noch präzisere Kontrolle über die vorhandenen Tools und Funktionen von Slack, darunter: 

• Workflow-Builder (derzeit verfügbar): Das visuelle Tool, mit dem Slack-Benutzerinnen und -Benutzer wiederkehrende Aufgaben ohne Codierung automatisieren können, ist jetzt noch sicherer. Unternehmen können jetzt mit eigenen Verschlüsselungscodes Workflows und Formulardaten sichern. 
• Datenresidenz (wird in Kürze bereitgestellt): Schon jetzt haben Kunden die Möglichkeit, mit der Datenresidenz für Slack auszuwählen, wo ihre Daten gespeichert werden. Bald können Unternehmen auswählen, wo sie ihre Verschlüsselungscodes aufbewahrt haben möchten. 
• Slack Connect (wird in Kürze bereitgestellt): Die Kommunikationsumgebung, in der Unternehmen mit externen Partnern, Kunden und Anbietern kommunizieren, erhält in den kommenden Monaten eine zusätzliche EKM-Option. Nachrichten und Dateien, die Unternehmen in Channels versenden, die es mit externen Unternehmen teilt, können dann mit eigenen Codes verschlüsselt werden.

Umfassender Überblick über die eigenen Daten mit der Splunk-App für Slack

Mit der neuen Splunk-App für Slack erhalten Unternehmen Einblicke in die eigenen Slack-Daten und können so Trends erkennen, verdächtiges Verhalten überwachen und Maßnahmen einleiten.

In der sofort gebrauchsfertigen Integration wird unsere Audit Logs API genutzt, um Aktivitätsdaten aus Slack direkt nach Splunk zu befördern. Benutzerinnen und Benutzer können die Daten in vorab erstellten Dashboards visualisieren, die Anmeldungen, Dateivorgänge, installierte Apps, Berechtigungen, Aktivitäten in Channels und Aktionen von Administratorinnen und Administratoren anzeigen. Der Zugriff auf diese Daten ermöglicht es operativen Projekt-Teams und Sicherheitsteams, verdächtige Aktivitäten zu kennzeichnen und schnell datenbasierte Maßnahmen zu ergreifen.

Persönliche und geschäftliche Daten können mit Microsoft Intune gesichert werden

Wenn jeder sein eigenes Gerät mit an den Arbeitsplatz bringen darf, stehen Administratorinnen und Administratoren sowie Sicherheitsteams vor einem Problem: Mitarbeiterinnen und Mitarbeiter möchten, dass persönliche Daten geschützt bleiben, und Administratorinnen und Administratoren haben die Pflicht, Unternehmensdaten zu sichern. Zwar verwalten Administratorinnen und Administratoren keine privaten Geräte von Mitarbeiterinnen und Mitarbeitern, aber sie benötigen soviel Zugriff auf sie, dass sie vertrauliche Daten unwiderruflich löschen können, wenn beispielsweise das private Gerät gestohlen wird oder verlorengeht. 

Glücklicherweise gibt es dafür Lösungen. Im Laufe des Jahres wird Slack Support für Microsoft Intune, die mobile App-Verwaltung (MAM), anbieten. Mit Intune können Benutzerinnen und Benutzer über ihr eigenes Mobilgerät (iOS, Android, Windows) auf Unternehmensinformationen zugreifen, ohne dass die Geräte hierfür direkt vom Unternehmen verwaltet werden müssen. Auf Unternehmensebene bietet Intune Administratorinnen und Administratoren die Kontrolle darüber, wie Daten in Anwendungen geschützt werden, die auf dem Mobilgerät installiert sind.

Dank der Slack-Unterstützung von Intune können Benutzerinnen und Benutzer auf alle Funktionen zugreifen, die sie von der mobilen Slack-App gewöhnt sind. Zugleich haben Administratorinnen und Administratoren die Tools, die sie zur Vermeidung von Datenlecks brauchen. Sowohl mit Intune verwaltete als auch nicht verwaltete Geräte werden abgedeckt. Benutzerinnen und Benutzer können innerhalb der von Intune verwalteten und gesicherten Anwendungen auch Daten kopieren und einfügen.

Wir sorgen für schnelle Innovationen, damit die Sicherheits-Ansprüche unserer Kunden gewährleistet sind

Die Arbeit von Projekt-Teams sieht heute völlig anders aus als noch vor ein paar Monaten. Schon vor der Pandemie waren Unternehmen auf der Suche nach Optimierungsmöglichkeiten für die Zusammenarbeit zwischen unterschiedlichen Projekt-Teams und Standorten. Dieser Trend hat weiter zugenommen. Weitreichende Umbrüche in Bezug auf den Arbeitsplatz, wie Remote-Work, unterstreichen den Bedarf an sicheren Lösungen für die Zusammenarbeit.

Als speziell entwickelte Plattform führen wir immer schneller Innovationen ein, um deine Sicherheitsbedürfnisse zu erfüllen. Das bedeutet, dass wir die größten Sicherheitsrisiken durch E-Mails, nämlich Spam und Phishing, gnadenlos eliminieren. Außerdem achten wir immer auf die Compliance-Anforderungen für Meetings und ergänzen laufend Sicherheitsfunktionen, mit denen deine Systeme, Abläufe und Informationen sicher bleiben. Veränderungen werden immer schneller, aber wir auch: Wir sind für unsere Kunden da. [#]

[ad id=”22729″ /]

In the wake of the Covid-19 pandemic, digital transformation is happening at warp speed. The kind of widespread technological adaptation that we expected to see years from now has been truncated to a matter of months as organisations adopt cloud solutions to keep their teams connected. And as more and more workplaces go fully remote, security has never been more paramount.

Cybersecurity threats, including phishing scams and spam, are spiking as bad actors take advantage of the pandemic to target remote workforces and corporate systems. In April, Google reported more than 18 million daily malware and phishing emails related to Covid-19 scams in just one week and more than 240 million daily spam messages. Security-sensitive industries, such as banking and health care, have been hit especially hard. A report by VMware Carbon Black found that attacks targeting the financial sector grew by 238% from February to April 2020.  

As organisations, particularly those in regulated industries, turn to Slack to collaborate, we’ve set out to meet and exceed some of the most stringent security and compliance standards around. We built Slack from the start to give businesses a more secure way to communicate and collaborate, both internally and across organisational boundaries. Although we haven’t been around as long as some software suites built on legacy applications, our purpose-built platform allows us to stay focused and innovate swiftly to meet the needs of our customers – especially during times like these, when security is of the utmost importance. As a result, Slack continues to provide a secure, enterprise-grade collaboration solution. 

Today we are introducing even more powerful layers of security. Here’s an in-depth look at our latest security and compliance offerings and a preview of what’s ahead. 

Securely collaborate with external organisations, with Slack Connect

We recently launched Slack Connect, a more secure and productive way for organisations to communicate with each other. With Slack Connect, you can move your conversations with partners, suppliers, industry peers, customers and others out of email and into Slack. The benefits are big: faster communication, stronger relationships, more transparency and heightened security.

With Slack Connect, admins can maintain control over their organisation’s data and monitor external access. And unlike email – which leaves users open to the risk of spam and phishing – when everyone works in channels, teams receive messages and files only from verified members. What’s more, all of Slack’s enterprise-grade security features and compliance standards extend to Slack Connect, including retention, support for data loss prevention and e-discovery and, soon, EKM.

Later this year, we’re also introducing a feature to help admins quickly vet external organisations before connecting, giving them the peace of mind that they’re working with trusted parties. All verified organisations will be identified with a badge, so admins approving external channels can determine at a glance whether a new organisation is credible. The result? A faster, more secure process for setting up channels for admins and users alike.
 
As Slack Connect evolves, we’ll continue to invest in offerings that allow organisations to apply more of their security and compliance policies to the data they share with their external partners.

Meet industry and regional compliance standards with Slack

Slack is FedRAMP Moderate authorised

In April 2018, Slack met with the FedRAMP Program Management Office and, within six months, received FedRAMP Tailored authorisation. While this certification was certainly a milestone, we were eager to reach the next level of security compliance.

With sponsorship from the U.S. Department of Veterans Affairs, we set out to become FedRAMP Moderate authorised. Our regulatory partners put our product to the test, with more than 300 rigorous security controls. On 20 May 2020, Slack achieved FedRAMP Agency Authority to Operate (ATO) at the Moderate impact level.

Slack’s FedRAMP Moderate authorisation reflects our continued investment in and support for customers in the U.S. public sector. As more government agencies move to the cloud, IT administrators and security professionals can rest assured that Slack meets some of the most broadly recognised security standards and offers solutions to help public-sector teams address compliance requirements.

This latest authorisation translates to a more secure experience for Slack customers, including private-sector businesses that don’t require a FedRAMP-authorised environment. All customers using Slack’s commercial offerings benefit from the heightened security measures required to achieve a FedRAMP Moderate authorisation.

Slack’s FedRamp Moderate authorisation is only one part of our security program. Slack also certifies its service with:

• ISO 27001
• ISO 27017
• ISO 27018
• SOC 2 Type 2
• SOC 3
• Cloud Security Alliance 

Slack also helps its customers remain compliant with the General Data Protection Regulation (GDPR), the Financial Industry Regulatory Authority (FINRA) and the Health Insurance Portability and Accountability Act (HIPAA).

More options for storing your data in regions outside the U.S.

Millions of people collaborate in Slack each day, but because data is primarily stored in the U.S., many teams remain on the sidelines. To bridge this gap and make Slack available to more teams, we offer data residency for Slack.

Data residency gives global teams more control over where their data is stored. With data residency for Slack, you have the option to store your data at rest outside the U.S., including in Sydney, Frankfurt, Paris, Tokyo, London – and now Montreal.

Keep user groups separated with information barriers

While we’re all in favour of information sharing, there are times when admins need to control the flow for security and compliance purposes. For some businesses, it’s important to establish communication firewalls between groups or departments to avoid conflicts of interest or to safeguard sensitive information. 

Later this year, Slack will offer information barrier functionality. These barriers can be used by admins to prevent specific user groups from messaging or calling other user groups.

In practice, an investment bank could maintain one group in Slack for traders and another for investment bankers. The two groups could be configured so that they cannot communicate with each other but can still collaborate with others in the organisation. This level of granular control allows admins to meet rules and regulations without blocking organisation-wide collaboration. 

[ad id=”23139″ /]

Gain increased visibility and control over your data

Keep your data protected with Slack Enterprise Key Management

Slack Enterprise Key Management (EKM) provides peace of mind for the most  security-conscious and regulated organisations. The feature allows you to manage your own encryption keys using Amazon Key Management Service (KMS), giving you increased control and visibility over your messages and files in Slack.

‘Enterprise collaboration leaders rate encryption and support for enterprise key management as critical business requirements,’ says Irwin Lazar, the VP and service director for Nemertes Research, a research and advisory firm. ‘Slack’s ability to protect enterprise data both inside the enterprise and within federated workspaces gives organisations the ability to ensure the security of their data, as well as to meet regulatory and compliance requirements.’

Our EKM solution is uniquely designed to maintain all of Slack’s features and performance, while allowing administrators to revoke key access as needed. This ensures that teams can continue working securely and interruption-free in Slack.

New enhancements to our EKM solution will give you more precise control over existing Slack tools and features, including: 

• Workflow Builder (currently available): The visual tool that allows Slack users to automate routine tasks without any coding just got more secure. Organisations can use their own encryption keys to encrypt workflows and form data. 
• Data residency (coming soon): Customers already have the option to choose where their data is stored at rest with data residency for Slack. Soon businesses will be able to choose where they want their encryption keys kept too. 
• Slack Connect (coming soon): The communications environment that lets you have conversations with external partners, clients and vendors will have an added EKM option in the coming months. Messages and files sent by your organisation in channels shared with external organisations will be encryptable using your own keys.

Get a bird’s-eye view of your data with the Splunk app for Slack

With the new Splunk app for Slack, you’ll gain operational insights into your Slack data so that you can uncover trends, monitor suspicious behaviour and take action.

The out-of-the box integration leverages our Audit Logs API to bring Slack activity data directly into Splunk. Users can visualise the data in pre-built dashboards showcasing logins, file actions, apps installed, permissions, channel activity and admin actions. With this data at their fingertips, security and operations teams have the ability to flag suspicious activity and make swift data-based decisions.

Keeping personal information private and business data safe with Microsoft Intune

The bring-your-own-device approach to workplace technology puts admins and security teams in a tricky spot: Employees prefer to keep personal information private, and admins have an obligation to keep corporate data secure. Although admins don’t manage an employee’s personal device, they need enough access to wipe sensitive data clean if, say, the employee’s personal device is lost or stolen. 

Fortunately, there are solutions. Later this year, Slack will offer support for Microsoft Intune mobile application management (MAM). Intune allows users to access corporate data from their personal mobile devices, including iOS, Android and Windows, without having these devices directly managed by the organisation. At the organisational level, Intune enables admins to control how data is protected within the applications installed on the mobile device.

With Slack’s support for Intune, users can access all the features they expect from Slack’s mobile app, while admins have the tools to prevent data leakage. Both Intune managed and unmanaged devices will be covered. Users will also be able to copy and paste data between other Intune managed and secured applications.

We’re committed to innovating faster to keep you secure

The way teams work has changed dramatically over the past few months. Before the pandemic, organisations were already looking for ways to optimise collaboration among different teams and offices. Now that trend has accelerated. Major workplace shifts, such as remote work, underscore the need for secure collaboration solutions.

As a purpose-built platform, we’re innovating faster than ever to meet your security needs. That means we’re relentless about eliminating the top security risks that come with email: spam and phishing. And we’re committed to meeting compliance requirements and adding security features to keep your systems, operations and information secure. The pace of change has picked up, and so have we: We’re here for our customers. [#]

[ad id=”22720″ /]

フィッシング詐欺やスパムといったサイバーセキュリティに対する脅威は急増しており、攻撃者はパンデミックの状況を悪用してリモートワーカーや企業システムを標的にしています。4 月には Google が、わずか 1 週間で新型コロナウイルス関連詐欺に関するマルウェアとフィッシングメールの数が 1 日あたり 1,800 万件以上、スパムメッセージは 1 日あたり 2 億 4,000 万件以上に上ったと発表しました。銀行や医療など、セキュリティが特に重要な業界は特にひどい攻撃を受けています。VMware Carbon Black によるレポートによると、金融業界を標的とする攻撃が 2020 年 2 月から 4 月にかけて 238% 増加したことがわかりました。 

Slack はさまざまな組織、特に規制の厳しい業界でのコラボレーションを実現するために活用されています。そのため、私たちは最も厳しいセキュリティ基準やコンプライアンス基準のいくつかを上回ることを目指してきました。私たちは、企業が社内外を問わずより安全にコミュニケーションやコラボレーションができる方法の実現を目指して Slack を作りました。Slack はレガシーアプリケーションをベースに構築されたソフトウェアスイートほど長い歴史があるわけではありません。目的に特化したプラットフォームだからこそ、特に今回のようにセキュリティが何よりも大事な時に、ユーザー企業の皆さまが抱えているニーズを満たすことに集中し、迅速にイノベーションを実現することができるのです。その結果、Slack は安全なエンタープライズ級のコラボレーションソリューションを提供し続けています。

本日、Slack はさらに強力なセキュリティレイヤーを導入しました。この記事では、最新のセキュリティ・コンプライアンスソリューションの詳しい内容と、この先の展開について紹介していきます。

Slack コネクトで社外組織とのコラボレーションを安全に

先日リリースした Slack コネクトは、より安全かつ生産的に組織同士がコミュニケーションする方法です。Slack コネクトを使うと、これまでメールで行っていたパートナーやサプライヤー、同業他社、顧客などとのコミュニケーションを Slack に移行できます。これによってコミュニケーションのスピードが上がり、関係がさらに深まり、透明性とセキュリティの強化が実現できるという大きなメリットが得られます。

Slack コネクトなら、管理者は組織のデータを継続的にコントロールし、外部からのアクセスを監視することができます。また、チャンネルでメッセージやファイルをやり取りするのは認証済みのメンバーだけです。これはスパムやフィッシング詐欺のリスクにさらされるメールとは異なる点です。さらに Slack コネクトには、データ保持、データ損失防止、eDiscovery への対応など、Slack のエンタープライズ級のセキュリティ機能とコンプライアンス基準がすべて実装されています。近日中に EKM にも対応予定です。

また年内には、外部のオーガナイゼーションとつながる前に管理者がすばやく相手を調べられる機能を導入するため、メンバーは信頼できる相手と安心してやり取りできます。認証済みのオーガナイゼーションはバッジで識別できるようになるため、外部のチャンネルを承認する管理者は新しいオーガナイゼーションが信頼できるかどうかを一目で判断することが可能です。つまり、管理者もユーザーも、さらにすばやく安全にチャンネルを設定できるようになるということです
 
Slack コネクトの進化に合わせて、組織が外部のパートナーと共有するデータに自社のセキュリティやコンプライアンスポリシーをもっと適用できるよう、私たちは引き続きこの分野に投資していく予定です。

Slack で業界や地域のコンプライアンス基準に対応

Slack は FedRAMP Moderate 認定を取得しています

Slackは 2018 年 4 月に FedRAMP プログラムマネジメントオフィスと面談し、それから半年も経たずFedRAMP Tailored 認定を取得しました。この認定の取得が重要な節目であることは確かですが、私たちはさらに高いレベルのセキュリティコンプライアンス基準を達成したいと考えました。

退役軍人省 から支援を受け、FedRAMP Moderate 認定を目指すことにしたのです。規制当局のパートナーは、300 以上の厳しいセキュリティ管理項目において Slack 製品をテストしました。そして 2020 年 5 月 20 日、私たちは FedRAMP Agency Authority to Operate（ATO）の影響レベル「中」を達成したのです。

Slack が FedRAMP Moderate 認定を取得したことは、私たちが米国の公共部門で働くユーザーの皆さまに対して継続的に投資しサポートしていくということですクラウドに移行する政府機関が増加するなか、Slack は業界の標準セキュリティ規格を超える水準を実現し、公共部門の各コンプライアンス要件を満たすソリューションも備えているため、IT 管理担当者やセキュリティ担当者の皆さまも安心です。

今回の認定取得で、ユーザーの皆さまは Slack をより安全に利用できるようになりました。もちろん、FedRAMP 認定のある環境を必要としない民間企業の皆さまも含まれます。Slack のサービスを利用する全員が、FedRAMP 認定取得に向けて強化されたセキュリティ対策の恩恵を受けることができるのです。

FedRamp Moderate 認定の取得は、Slack のセキュリティプログラム全体のほんの一部に過ぎません。Slack のサービスは次の認定も取得しています。

• ISO 27001
• ISO 27017
• ISO 27018
• SOC 2 Type 2
• SOC 3
• クラウド セキュリティ アライアンス 

また、Slack はユーザー企業の皆さまが、一般データ保護規則（GDPR）、米国金融業規制機構（FINRA）、医療保険の相互運用性と責任に関する法律（HIPAA）を遵守できるようサポートします。

米国以外の様々な地域にデータを保管

数百万人のユーザーが日々 Slack でコラボレーションを実現しています。しかしデータの主な保管場所が米国であることで、十分に活用できないチームもありました。このギャップを埋めて、より多くのチームが Slack を活用できるようにするために、私たちは Slack のデータレジデンシー機能を提供しています。

データレジデンシー機能は、グローバルに展開するチームがデータの保管場所をコントロールできるようするものです。 この機能を使うと、保管中のデータを、シドニー、フランクフルト、パリ、東京、ロンドンなどの米国外の場所に保管することができます。そしてこのたび新たにモントリオールが追加されました。

情報障壁でユーザーグループを分離

情報を共有することは基本的に良いことですが、場合によってはセキュリティとコンプライアンスを確保する目的で、管理者が情報の流れをコントロールする必要があります。一部の企業では、利益相反の防止や機密情報の保護を実現するために、グループや部門間にコミュニケーションのファイアウォールを設けることが重要です。

Slack は今年中に、情報障壁機能を提供する予定です。管理者はこれらの障壁を利用して、特定のユーザーグループがほかのユーザーグループにメッセージを送信したり通話したりできないように設定できるようになります。

例えば投資銀行では、Slack のあるグループをトレーディング部門向けに、別のグループを投資銀行部門向けにすることが可能です。この 2 つのグループが互いにコミュニケーションすることはできませんが、組織内のほかのチームとはコラボレーションできるように設定できるようになります。このように細かいレベルでコントロールすることで、組織全体でのコラボレーションを妨げずに規則や法令を遵守することができるのです。

[ad id=”23389″ /]

データをもっと把握しコントロールできるように

Slack Enterprise Key Management でデータを常に保護

Slack Enterprise Key Management（EKM）は、セキュリティを特に重視する組織や規制の対象となる組織に安心を届けます。この機能では、独自の暗号化キーを Amazon Key Management Service（KMS）を使用して自社で管理できるため、Slack 内のメッセージやファイルに対するコントロールと可視性を高めることができます。

「企業のコラボレーション担当者は、暗号化と Enterprise Key Management を重要なビジネス要件であると考えています」と、研究・顧問会社である Nemertes Research の VP and Service Director を務める Irwin Lazar 氏は言います。「Slack では、企業のデータを社内および連携しているワークスペース内のどちらでも保護できるため、組織はデータのセキュリティを確保し、規制やコンプライアンスの要件を満たすことができます」。

Slack EKM ソリューションでは、Slack のすべての機能とパフォーマンスは維持しながら、管理者が必要に応じてキーへのアクセスを無効にできるよう設計されています。そのため、チームは何にも邪魔されることなく Slack で安全に業務を続けることができます。

Slack EKM ソリューションへの新たな機能強化で、既存の Slack のツールと機能をより細かくコントロールできるようになります。例えば次のようなものです。

• ワークフロービルダー（現在利用可能） : Slack のユーザーがコーディングすることなく定型タスクを自動化できるビジュアルツールがさらに安全に。組織独自の暗号化キーを使って、ワークフローとフォームデータを暗号化できます。
• データレジデンシー（まもなくリリース） : Slack のデータレジデンシー機能では現在データの保管場所を選べますが、まもなく、暗号化キーを保管する場所も選べるようになります。
• Slack コネクト（まもなくリリース） : 今後数か月以内に、外部のパートナー、クライアント、ベンダーと会話できるコミュニケーション環境に EKM オプションが追加される予定です。独自のキーを使って、外部のオーガナイゼーションとの共有チャンネル内で自社から送信されるメッセージやファイルを暗号化できるようになります。

Slack 版 Splunk アプリでデータを俯瞰

新しい Slack 版 Splunk アプリを利用すると、Slack データの運用状況に関するインサイトが得られるようになります。これによってトレンドを把握し、不審な挙動を監視して対処することができます。

このすぐに使えるインテグレーションは Slack の 監査ログ API を活用していて、Slack のアクティビティデータを Splunk に直接取り込みます。構築済みのダッシュボードには、ログイン、ファイルへのアクション、インストールされたアプリ、権限、チャンネルのアクティビティ、管理者のアクションが表示され、ユーザーがデータを可視化することができます。またこのデータにはすぐにアクセスできるため、セキュリティチームや運用チームが不審なアクティビティを見つけて、データに基づいた意思決定を速やかに行うことが可能になります。

Microsoft Intune で個人情報やビジネスデータを保護

個人的なデバイスを仕事で使うことは、管理者とセキュリティチームにとって対応が難しいところです。従業員は個人のプライベートな情報を守りたい一方で、管理者には企業データを安全に保つ義務があるからです。管理者は個人所有のデバイスを管理しないものの、デバイスの紛失や盗難があった場合に備えて機密データをきれいに消去できるアクセス権限が必要です。

幸いにも、その解決策があります。今年中に、Slack はMicrosoft Intune モバイルアプリケーション管理（MAM）のサポートを提供する予定です。Intune によって、組織がユーザーの個人所有のモバイルデバイス（iOS、Android、Windows など）を直接管理することなく、そのデバイスから会社のデータにアクセスできるようになります。管理者が組織レベルで、モバイルデバイスにインストールされたアプリ内のデータを保護する方法をコントロールできるようになるのです。

Slack が Intune をサポートすることで管理者がデータ漏えいを防ぐツールを手に入れる一方で、ユーザーは Slack のモバイルアプリの機能すべてに変わらずアクセスできます。これは Intune の管理対象デバイスと管理対象外デバイスの両方に対応する予定です。ユーザーは Intune の管理対象デバイスと保護されたアプリとの間で、データのコピーや貼り付けを行うこともできます。

よりすばやいイノベーションで、セキュリティ確保を実現

この数か月で働き方が劇的に変わりました。パンデミックが起こる前からすでに、多くの組織はチームや部門間でのコラボレーションを効率化する方法を探していました。今はその傾向が加速しています。リモート体制への移行など働き方に大きな変化が起こったことで、安全なコラボレーションソリューションの必要性が高まっています。

Slack は目的に特化したプラットフォームとして、これまで以上のスピードでイノベーションを実現し、ユーザー企業の皆さまのセキュリティニーズに応えていく予定です。つまり、メールの使用によるスパムやフィッシングといった主なセキュリティリスクの解消に休むことなく取り組んでいくということです。またコンプライアンス要件を満たし、ユーザー企業の皆さまのシステム、運用、情報を保護するセキュリティ機能を充実するため、日々努力を重ねていくことを約束します。変化のスピードが上がるなか、私たちもペースを上げています。Slack は引き続き、皆さまをしっかり支えていく予定です[#]

[ad id=”22736″ /]

Security is top of mind for many of our customers, especially those in the public sector. As a growing number of government agencies, from the U.S. Department of Veterans Affairs (VA) to the General Services Administration’s (GSA) 18F Office, choose Slack, a channel-based messaging platform, we’ve introduced new measures to meet the highest security and compliance standards.

Even federal regulators who set the standards for security compliance look to Slack to get their work done. For them and all of our customers in regulated industries, we’ve leveled up our security program to become FedRAMP Moderate authorized. 

The move comes as part of a larger push to provide enterprise-grade security for organizations of all sizes. That requires delivering a best-in-class collaboration experience while meeting our customers’ unique security and compliance needs. 

Here’s what becoming FedRAMP Moderate authorized means for our customers and a look into how we achieved compliance. 

Slack’s FedRAMP journey

What is FedRAMP?

The Federal Risk and Authorization Management Program, or FedRAMP, is a government-wide program that provides a standardized approach to cloud security. Cloud-based software systems must be FedRAMP authorized before any federal agency or organization can use them. This approach keeps all federal data secure—a practice that’s ultimately in the public’s best interest. Among industry experts, FedRAMP is considered the gold standard for cloud security.  

How did Slack become FedRAMP Moderate authorized?

In April 2018, Slack met with the FedRAMP Program Management Office and, within six months, received FedRAMP Tailored authorization. While this certification was certainly a milestone, we were eager to reach the next level of security compliance. 

With sponsorship from the VA, we set out to become FedRAMP Moderate authorized. Our regulatory partners put our product to the test—more than 300 rigorous security controls. On May 20, 2020, we achieved FedRAMP Agency Authority to Operate (ATO) at the Moderate impact level. 

This means we comply with the U.S. government’s regulations on:

• • Access control: effectively limiting and managing access to customer data
  • Encryption methodologies: securing data in transit and at rest with FIPS 140-2 validated cryptography
  • Network security and server hardening: implementing CIS benchmarks and vendor best practices to secure all network infrastructure
  • Vulnerability management: efficiently identifying and resolving potential risks
  • Incident management: responding swiftly and appropriately when incidents occur
  • Business continuity and disaster recovery: providing seamless service without interruption
  • System monitoring, logging and alerting: monitoring all company-owned servers and workstations to maintain system security
  • Secure software development lifecycle: leveraging open-source tools and bug reporting to identify, triage and resolve potential security vulnerabilities 

What does this next level of security compliance mean for my organization?

Slack’s FedRAMP Moderate authorization reflects our continued investment in and support for customers in the U.S. public sector. As more government agencies move to the cloud, IT administrators and security professionals can rest assured that Slack meets and exceeds some of the most broadly recognized security standards and offers solutions to help public-sector teams address compliance requirements. 

This latest authorization translates to a more secure experience for Slack customers, including private-sector businesses that don’t require a FedRAMP-authorized environment. All customers using Slack’s commercial offerings can benefit from the heightened security measures required to achieve FedRAMP certification. 

To maintain customers’ trust, we will continue to develop security and compliance features that support:

• Identity and device management, including single sign-on, domain claiming and support for enterprise mobility management
• Data protection, including Slack Enterprise Key Management (Slack EKM), audit logs, and integrations with top data loss prevention providers
• Information governance, including global retention policies, custom terms of service and support for e-discovery

Can I still use my third-party integrations?

You can still use third-party integrations, but you’ll need to review what data the integration will have access to and the application provider’s FedRAMP compliance for any app installed in your workspace. Slack apps typically use the APIs from the service providers of that integration. If the APIs connect to a FedRAMP-authorized service offering, then you will remain in compliance when using those third-party integrations. This is one of the primary customer responsibilities to ensure that your deployment of Slack remains compliant.

How the Department of Veterans Affairs keeps VA.gov running in Slack

Not only did the VA sponsor our authorization, the agency also relies on Slack to plan and execute large-scale initiatives, including an overhaul of its widely used website.

The VA is the nation’s second-largest federal agency, and its public-facing website (VA.gov) draws more than 800,000 users every week, including veterans, veterans advocates, veterans service organizations and other intermediaries. At the height of the Covid-19 crisis, that number nearly tripled in one week. Many of these visitors require regular access to the site for critical information, tools and services.

Behind the scenes, the VA’s web and development teams work together in Slack channels to ensure that the website stays up and running. 

Development teams at the VA use Slack to:

• Connect apps and integrations, such as GitHub and Jenkins, so that teams have greater visibility into alerts and notifications
• Quickly identify incidents and issues, including mobile notifications that alert developers of problems
• Create communities of practice that exchange knowledge and create consistency across service offerings

In 2019 the VA’s web and development teams collaborated in Slack to re-launch VA.gov. The new website boasts an impressive 99.97% uptime over the past year, allowing the agency to deliver on its promise to connect thousands of veterans and advocates with the resources they need. 

And the VA has continued to expand its usage of Slack. In early 2020, it purchased 20,000 Slack licenses to roll out the platform across all of its departments. By moving teams to Slack, the VA aims to drive transparency, expand collaboration, and bring new hires, contractors and partners into the fold. This new way of working not only benefits employees and partners but also U.S. veterans, who gain access to more seamless services. 

Get in touch

If you have questions about Slack’s security features, operations or compliance certifications, please don’t hesitate to reach out to your account executive or get in touch. [#]

Menschen unterlaufen nunmal Fehler, beim Analysieren von Datenn – insbesondere wenn es sich um riesige, unstrukturierte Datensätze handelt. Die gute Nachricht ist: Es gibt Splunk. Diese App hilft dabei, Daten zu untersuchen, zu beobachten, zu analysieren und datenbasierte Maßnahmen zu ergreifen. 

Mit der Data-to-Everything-Plattform von Splunk können Unternehmen ihre Daten in verwertbare Erkenntnisse umwandeln, mit denen sie die Betriebskosten senken und Risiken minimieren können. Kurz gesagt: sie ist ein Lebensretter. Und das Beste daran: Sie kann nahtlos mit Slack verwendet werden.

Denn Splunk veröffentlicht jetzt eine brandneue Splunk Audit API-App für Slack. Die App kann in Kombination mit dem Slack-Add-on für Splunk verwendet werden, um Audit-Logs aus Slack Enterprise Grid-Accounts in Splunk zu übertragen.

Die eigentliche Magie spielt sich aber in den Splunk-Dashboards ab. Mit der Integration können Administratorinnen und Administratoren sowie Sicherheitsteams Slack-Daten für Anmeldungen, Dateiaktionen, App-Installationen, Berechtigungen und Administratoraktionen visualisieren Dank der übersichtlichen Darstellung von Slack-Aktivitäten können IT- und Sicherheitsmitarbeiterinnen und -mitarbeiter verdächtiges Verhalten erkennen und datenbasierte Entscheidungen treffen, um die Sicherheit ihres Unternehmens zu gewährleisten.

Diese neue Splunk-Integration hilft Unternehmen außerdem dabei, wertvolle Einblicke in ihre Betriebsabläufe zu gewinnen und Nutzungstrends zu bestimmen, damit sie auf Basis ihrer Slack-Daten vorausschauende Maßnahmen ergreifen können. Anhand dieser Informationen können Unternehmen ihr Service-Niveau verbessern, Betriebskosten senken, Risiken minimieren, die Zusammenarbeit mit DevOps verbessern und potentielle neue Produkt- und Serviceangebote ermitteln. 

Mit der Splunk-App für Slack kannst du:

Eine Übersicht über deine Daten erstellen

Splunk erfasst Aktivitätsdaten aus den Audit-Logs von Slack und unterstützt dich bei deren Visualisierung mit Dashboards. Anmeldungen, Dateiaktionen, installierte Apps, Berechtigungen, Channel-Aktivitäten und Administrator-Aktionen sind mit einem Klick verfügbar.

Compliance-Anforderungen einhalten

Schütze dein Unternehmen vor unbefugten Systemzugriffen, indem du ITOps- und SecOps-Teams die Möglichkeiten zur Überwachung verdächtigen Verhaltens gibst.

Überprüfen und korrigieren

Durch die Aufbereitung deiner Slack-Daten in Splunk erhältst du ein umfassenderes Verständnis für die Trends in deinem Unternehmen. So kannst du bessere datenbasierte Entscheidungen treffen.

Die neue Splunk-App ist nur eine der vielen Möglichkeiten, mit denen wir weiterhin die hohe Sicherheit von Slack gewährleisten. Weitere Informationen, wie du die Splunk-Integration installieren und nutzen kannst, findest du hier in unserem Schritt-für-Schritt-Leitfaden. [#] 

Splunk の Data-to-Everything プラットフォームを利用すれば、企業はデータを実用的なインサイトに変えることができ、運用コストの削減やリスクの軽減につながります。つまり、ビジネスにとってのライフセーバーのようなツールです。そんな Splunk を、Slack でシームレスに使えるようになりました。

このたび、Slack 用の新しい Splunk Audit API アプリがリリースされます。このアプリを Splunk 用の Slack アドオンで使うと、Slack Enterprise Grid アカウントの監査ログを Splunk に取り込むことができるようになります。

特に注目なのが、Splunk ダッシュボードの機能です。このインテグレーションにより、管理者とセキュリティチームは、表示ログイン、ファイルのアクション、アプリのインストール、権限、管理アクションに関する Slack データを可視化できます。IT 担当者とセキュリティ担当者は、Slack でのアクティビティの全体像を把握することで、不審な挙動を発見し、データに基づいてすばやく意思決定し、会社の安全を守ることができるのです。

この新しい Splunk インテグレーションを通じて、企業はビジネスを進めるための貴重なインサイトを得ることができます。さらに、利用傾向を把握することで、Slack データに対して前向きなアクションを取ることが可能になります。企業がこの情報を活用すれば、サービスレベルの向上や運営コストの削減、リスクの軽減、DevOps コラボレーションの強化ができるほか、新しい製品やサービスを作る機会を逃さないでしょう。

Slack 用 Splunk アプリでできること :

データ全体像を俯瞰で把握

Splunk は Slack の監査ログからアクティビティデータを取り込み、それをダッシュボードで可視化します。ログイン、ファイルのアクション、インストールしたアプリ、権限、チャンネルアクティビティ、管理アクションなどはすべて、いつでもすぐに見ることができます。

コンプライアンス要件への対応

ITOps および SecOps チームに不審な挙動を監視する権限を与えることで、システムへの不正なアクセスから会社を守ります。

調査と修正

Splunk で Slack データを蓄積することで、社内で起こっている傾向をより詳しく理解することができます。これにより、データに基づいたより良い意思決定が可能になります。

新しい Splunk アプリは、Slack が最大限安全なツールであり続けるためのたくさんの方法の 1 つにすぎません。Splunk のインテグレーションをインストールして使うための詳細な手順については、こちらのガイドを参照してください。 [#] 

Même les régulateurs fédéraux, dont le rôle est de définir ces normes de sécurité, font confiance à Slack dans le cadre de leur travail. Pour eux, ainsi que pour tous nos clients du secteur public, nous avons renforcé notre programme de sécurité pour obtenir l’autorisation FedRAMP Moderate. 

Cette mesure s’inscrit dans une dynamique visant à fournir une sécurité de haut niveau pour toutes les entreprises, quelle que soit leur taille. Pour cela, nous devons proposer un service de grande qualité tout en répondant aux besoins uniques de nos clients en matière de sécurité et de conformité. 

Voici ce que l’autorisation FedRAMP Moderate signifie pour nos clients et comment nous avons obtenu cette conformité. 

Slack et FedRAMP

FedRAMP, qu’est-ce que c’est ?

Le FedRAMP (Federal Risk and Authorization Management Program – programme fédéral de gestion des risques et des autorisations) est un programme gouvernemental qui réglemente et standardise la sécurité dans le cloud. Les systèmes logiciels fonctionnant avec le cloud doivent obtenir l’autorisation FedRAMP pour qu’une agence ou une organisation fédérale puisse les utiliser. Cette approche garantit la sécurité de toutes les données fédérales, dans l’intérêt du public. Parmi les experts du secteur, le FedRAMP est considéré comme la norme de sécurité pour le cloud. 

Comment Slack a obtenu l’autorisation FedRAMP Moderate ?

En avril 2018, Slack a rencontré le Bureau de gestion du programme FedRAMP et, six mois plus tard, nous avons reçu l’autorisation FedRAMP Tailored. Et si cette certification constitue une étape importante pour nous, nous comptons bien aller plus loin et renforcer davantage la sécurité et la conformité. 

Avec l’appui du VA, nous avons cherché à obtenir l’autorisation FedRAMP Moderate. Nos partenaires réglementaires ont mis nos produits à l’épreuve via plus de 300 contrôles de sécurité approfondis. Le 20 mai 2020, nous avons reçu l’autorisation FedRAMP qui valide l’exercise d’une activité à un niveau de sécurité standard (FedRAMP Authority Agency to Operate, ATO). 

Cela signifie que nous sommes en conformité avec les réglementations du gouvernement américain en matière de :

• • contrôle d’accès, en limitant et en gérant avec efficacité l’accès aux données de nos clients
  • méthodes de chiffrement, en sécurisant les données en transit et stockées grâce à la cryptographie validée FIPS 140-2
  • sécurité réseau et renforcement de serveur, en mettant en œuvre les critères de référence du CIS et les pratiques adaptées pour les fournisseurs afin de sécuriser toutes les infrastructures de réseau 
  • gestion des vulnérabilités, en identifiant et en éliminant efficacement les risques potentiels
  • gestion des incidents, en répondant rapidement et de manière appropriée en cas d’incident
  • maintien de l’activité et de la reprise après un incident, en fournissant un service sans faille et en continu
  • surveillance, archivage et signalement : en gérant l’ensemble des serveurs et postes de travail appartenant à l’entreprise pour garantir la sécurité du système 
  • cycle de développement logiciel sécurisé, en utilisant des outils open source et le signalement des bugs pour identifier, classer et résoudre les vulnérabilités potentielles en matière de sécurité 

Concrètement, qu’est-ce que ce haut niveau de sécurité implique pour mon organisation ?

L’autorisation FedRAMP Moderate de Slack témoigne de notre investissement continu et de notre soutien aux clients du secteur public américain. De plus en plus d’agences gouvernementales se tournent désormais vers le cloud. Que les administrateurs informatiques et les professionnels de la sécurité se rassurent, Slack garantit le respect des normes de sécurité les plus reconnues. L’entreprise propose des solutions pour aider les équipes du secteur public à répondre aux exigences de conformité. 

Cette autorisation récente se traduit par une sécurité renforcée pour les clients de Slack, y compris les entreprises du secteur privé pour lesquelles une autorisation de la FedRAMP n’est pas requise. Tous les clients ayant recours aux prestations de Slack peuvent bénéficier des mesures de sécurité renforcées requises pour obtenir la certification FedRAMP. 

Pour conserver la confiance des clients, nous continuerons à développer des fonctionnalités de sécurité et de conformité qui prennent en charge :

• la gestion des identités et des appareils, y compris l’authentification unique, la revendication de la propriété de noms de domaines et l’assistance pour la gestion de la mobilité de l’entreprise
• la protection des données, y compris la gestion des clés de chiffrement Slack Enterprise (Slack EKM), des journaux d’audit et des intégrations avec les meilleurs fournisseurs de prévention de la perte des données (DLP).
• la gouvernance des informations, notamment des politiques de rétention globales, des conditions de service personnalisées et une prise en charge de la eDiscovery

Puis-je toujours utiliser mes intégrations tierces ?

Vous pouvez toujours utiliser des intégrations tierces, mais vous devrez vérifier à quelles données l’intégration aura accès et la conformité FedRAMP du fournisseur d’applications pour toutes celles installées dans votre espace de travail. Les applications Slack utilisent généralement les API des fournisseurs de services de cette intégration. Si les API se connectent à une offre de service autorisée par FedRAMP, vous resterez en conformité lorsque vous utiliserez ces intégrations tierces. Il s’agit de l’une des principales responsabilités du client pour garantir que votre déploiement de Slack reste conforme.

Comment le Département des anciens combattants des États‑Unis fait fonctionner VA.gov dans Slack

Le Département des anciens combattants n’a pas seulement parrainé notre autorisation : l’agence compte également sur Slack pour planifier et exécuter des initiatives à grande échelle, y compris une refonte de son site web très fréquenté.

Le Département est la deuxième plus grande agence fédérale du pays, et son site web destiné au public (VA.gov) attire chaque semaine plus de 800 000 utilisateurs, notamment des anciens combattants et leurs défenseurs, des organisations de services aux anciens combattants et d’autres intermédiaires. Au pic de la crise du Covid 19, ce chiffre a presque triplé en l’espace d’une semaine. Nombre de ces visiteurs avaient besoin d’un accès régulier au site pour obtenir des informations, des outils et des services indispensables.

En coulisses, les équipes web et de développement du Département collaborent dans les canaux Slack pour s’assurer que le site web reste pleinement opérationnel. 

Les équipes de développement du Département des anciens combattants utilisent Slack pour :

• connecter des applis et des intégrations, comme GitHub et Jenkins, afin que les équipes aient une meilleure visibilité des alertes et des notifications
• identifier rapidement les incidents et les problèmes au moyen de notifications mobiles qui signalent les problèmes aux développeurs
• créer des groupes d’utilisateurs qui échangent des connaissances et rationalisent les offres de services

En 2019, les équipes web et du développement du Département ont collaboré dans Slack pour publier une nouvelle version de VA.gov. L’année dernière, le nouveau site web affichait un impressionnant taux de disponibilité de 99,97 %, permettant ainsi à l’agence de tenir sa promesse de mettre en relation des milliers d’anciens combattants et d’adhérents avec les ressources dont ils ont besoin. 

Le Département a ensuite continué à étendre son utilisation de Slack. Début 2020, il a acheté 20 000 licences Slack pour installer l’outil dans tous ses services. En transférant ses équipes dans Slack, le Département souhaite renforcer la transparence, étendre sa collaboration et attirer de nouvelles recrues, entrepreneurs et partenaires. Cette nouvelle méthode de travail profite non seulement aux employés et aux partenaires, mais également aux vétérans américains, qui ont accès à des services plus adaptés. 

Prenez contact avec nous

Si vous avez des questions sur les fonctionnalités liées à la sécurité, sur les opérations ou les certifications de conformité de Slack, n’hésitez pas à vous adresser à votre responsable de compte ou contactez-nous.[#]

Security is a top priority for many of our customers, especially those in the public sector. As a growing number of government agencies, from the US Department of Veterans Affairs (VA) to the General Services Administration’s (GSA) 18F office, choose Slack, a channel-based messaging platform, we’ve introduced new measures to meet the highest security and compliance standards.

Even federal regulators who set the standards for security compliance look to Slack to get their work done. For them, and for all our customers in regulated industries, we’ve levelled up our security programme to become FedRAMP Moderate authorised. 

The move comes as part of a larger push to provide enterprise-grade security for organisations of all sizes. That requires delivering a best-in-class collaboration experience while meeting our customers’ unique security and compliance needs. 

Here’s what becoming FedRAMP Moderate authorised means for our customers, and a look at how we achieved compliance. 

Slack’s FedRAMP journey

What is FedRAMP?

The Federal Risk and Authorization Management Program, or FedRAMP, is a US government-wide programme that provides a standardised approach to cloud security. Cloud-based software systems must be FedRAMP authorised before any federal agency or organisation can use them. This approach keeps all federal data secure – a practice that’s ultimately in the public’s best interest. Among industry experts, FedRAMP is considered to be the gold standard for cloud security.  

How did Slack become FedRAMP Moderate authorised?

In April 2018, Slack met with the FedRAMP Program Management Office and, within six months, received FedRAMP Tailored authorisation. While this certification was certainly a milestone, we were eager to reach the next level of security compliance. 

With sponsorship from the VA, we set out to become FedRAMP Moderate authorised. Our regulatory partners put our product to the test – with more than 300 rigorous security controls. On 20th May 2020, we achieved FedRAMP Agency Authority to Operate (ATO) at the Moderate impact level. 

This means that we comply with the US government’s regulations on:

• • Access control: effectively limiting and managing access to customer data
  • Encryption methodologies: securing data in transit and at rest with FIPS 140-2 validated cryptography
  • Network security and server hardening: implementing CIS benchmarks and vendor best practices to secure all network infrastructure 
  • Vulnerability management: efficiently identifying and resolving potential risks
  • Incident management: responding swiftly and appropriately when incidents occur
  • Business continuity and disaster recovery: providing seamless service without interruption
  • System monitoring, logging and alerting: monitoring all company-owned servers and workstations to maintain system security
  • Secure software development life cycle: leveraging open-source tools and bug reporting to identify, assess and resolve potential security vulnerabilities 

What does this next level of security compliance mean for my organisation?

Slack’s FedRAMP Moderate authorisation reflects our continued investment in and support for customers in the US public sector. As more government agencies move to the cloud, IT administrators and security professionals can rest assured that Slack meets and exceeds some of the most broadly recognised security standards and offers solutions to help public-sector teams to address compliance requirements. 

This latest authorisation translates to a more secure experience for Slack customers, including private-sector businesses that don’t require a FedRAMP-authorised environment. All customers using Slack’s commercial offerings can benefit from the heightened security measures that are required to achieve FedRAMP certification. 

To maintain customers’ trust, we will continue to develop security and compliance features that support:

• Identity and device management, including single sign-on, domain claiming and support for enterprise mobility management
• Data protection, including Slack Enterprise Key Management (Slack EKM), audit logs and integrations with top data loss prevention providers
• Information governance, including global retention policies, customised terms of service and support for e-discovery

Can I still use my third-party integrations?

You can still use third-party integrations, but you’ll need to review what data the integration will have access to and the application provider’s FedRAMP compliance for any app installed in your workspace. Slack apps typically use the APIs from the service providers of that integration. If the APIs connect to a FedRAMP-authorised service offering, then you will remain in compliance when using those third-party integrations. This is one of the primary responsibilities for customers to ensure that your deployment of Slack remains compliant.

How the US Department of Veterans Affairs keeps VA.gov running in Slack

Not only did the VA sponsor our authorisation, the agency also relies on Slack to plan and execute large-scale initiatives, including an overhaul of its widely used website.

The VA is the second-largest federal agency in the US, and its public-facing website (VA.gov) draws more than 800,000 users every week, including veterans, veterans’ advocates, veterans’ service organisations and other intermediaries. At the height of the Covid-19 crisis, that number nearly tripled in one week. Many of these visitors require regular access to the site for critical information, tools and services.

Behind the scenes, the VA’s web and development teams work together in Slack channels to ensure that the website stays up and running. 

Development teams at the VA use Slack to:

• Connect apps and integrations, such as GitHub and Jenkins, so that teams have greater visibility into alerts and notifications
• Quickly identify incidents and issues, including mobile notifications that alert developers to problems
• Create communities of practice that exchange knowledge and create consistency across service offerings

In 2019, the VA’s web and development teams collaborated in Slack to relaunch VA.gov. The new website boasts an impressive 99.97% uptime over the past year, allowing the agency to deliver on its promise to connect thousands of veterans and advocates with the resources that they need. 

And the VA has continued to expand its usage of Slack. In early 2020, it purchased 20,000 Slack licences to roll out the platform across all its departments. By moving teams to Slack, the VA aims to drive transparency, expand collaboration and bring new hires, contractors and partners into the fold. This new way of working not only benefits employees and partners, but also US veterans, who gain access to more seamless services. 

Get in touch

If you have questions about Slack’s security features, operations or compliance certifications, please don’t hesitate to contact your account executive or get in touch. [#]