Agradezco a todos por participar en el webinar de hoy. En cuanto a la agenda, comenzaremos con una breve visión general del producto CrowdStrike. Hablaremos de los diferentes módulos disponibles con su suscripción. Es posible que tengan un subconjunto de algunos de estos elementos. Si tienen alguna pregunta sobre alguna de las adiciones, no duden en informárnosla. Hablaremos sobre algunos de los diferentes aspectos de soporte. Hay un número de teléfono disponible para que llamen a Dell si tienen alguna pregunta sobre la herramienta CrowdStrike que les gustaría que resolviéramos. Luego, hablaremos de algunos de los diferentes aspectos de la planificación de la implementación. A medida que comenzamos a implementar CrowdStrike en el entorno, hay ciertas cosas que debemos entender.
Definí una serie de aspectos sobre la implementación que deben considerarse para garantizar que, cuando empiecen a usar la herramienta, no haya problemas. Para ello, también compartiremos algunas prácticas recomendadas sobre cómo configurar la consola CrowdStrike y las diferentes etapas por las que pasarán. Además, habrá un apéndice, en el que se repasarán muchos de los temas que abordaré durante la presentación de hoy. Esta presentación de diapositivas se compartirá con todos los participantes para que la tengan a mano en caso de que deseen revisar alguna parte del material. A continuación, les recomendaremos seguir algunos pasos para garantizar que todo se configure correctamente.
Dicho esto, si hay alguna pregunta fuera de este ámbito, o algún tema que deseen analizar, no duden en enviar un mensaje al chat para abordarlo durante la presentación. Ahora hablaré sobre el producto CrowdStrike mediante una visión general de los diferentes módulos que se pueden aprovechar directamente en la consola de la herramienta. En primer lugar, desde una perspectiva general, tenemos Falcon Prevent en el extremo izquierdo, que forma parte de la herramienta de seguridad. Básicamente, es el elemento de protección principal de la herramienta antivirus de CrowdStrike.
Este es el antivirus que permite a CrowdStrike tomar medidas y bloquear elementos que se consideran sospechosos dentro de la consola. Además de eso, tenemos Falcon Insight, que es el impulsor de toda la información detallada que se entrega en el back-end de CrowdStrike. Cada vez que se ejecuta un proceso en un terminal en el que CrowdStrike está instalado, Falcon Insight identifica los procesos que podrían derivar del archivo que se ejecutó. Realiza un seguimiento de la hora de inicio, la hora de detención y la solicitud de DNS. Es probable que se capturen unos 100 eventos en los entornos de Mac, Windows y Linux. Device Control permite a CrowdStrike bloquear los puertos USB, de modo que los usuarios solo puedan usarlos bajo su control.
En otras palabras, se puede configurar que solo ciertos equipos puedan utilizar dispositivos USB, como dispositivos de almacenamiento masivo. También se puede configurar que ninguna computadora o ningún equipo del entorno pueda usar un dispositivo USB, como un dispositivo de almacenamiento masivo. Falcon Discover. Gracias a la información que recopilamos a través de la herramienta Falcon Insight, les brindamos detalles sobre las aplicaciones que se utilizan en el entorno. También podemos ver las cuentas en las que se inicia sesión. Además, si analizamos y obtenemos la caché de ARP, podemos ver los dispositivos que se conectan desde el dispositivo o desde la capa de red. Falcon OverWatch
es un servicio administrado de búsqueda de amenazas disponible a través de CrowdStrike. CrowdStrike cuenta con un equipo de cazadores de amenazas que buscan activamente casos de penetración o intrusión práctica tipo teclado dentro del entorno. Si identifican un caso que parece sospechoso en este sentido, pueden compartir con ustedes todos los aspectos de lo sucedido, los registros de fecha y hora asociados a la actividad, los equipos que podrían verse afectados, y los detalles correspondientes. Falcon Spotlight es una herramienta que permite ver las diferentes vulnerabilidades que pueden estar activas en el entorno debido a la falta de parches en las actualizaciones de seguridad de Microsoft. Este podría ser un indicador que podemos clasificar en una escala de cómo priorizar la aplicación de parches en algunos de estos elementos teniendo en cuenta contra qué protegen. Falcon X es una combinación de la herramienta Sandbox que vemos en el extremo derecho y la herramienta Falcon Prevent que vemos en el extremo izquierdo.
Si se utiliza la herramienta Falcon Prevent en el modo de cuarentena y CrowdStrike identifica un archivo ejecutable dentro del entorno, que se intenta ejecutar y se considera sospechoso, podemos ponerlo en cuarentena. Cuando ese archivo se pone en cuarentena, se traslada automáticamente al entorno de pruebas a través de Falcon X, se detona y, a continuación, se presenta un informe completo sobre lo que habría sucedido si se hubiera ejecutado ese archivo. Por último, Falcon MalQuery permite acceder a la base de datos de malware de CrowdStrike, que es bastante grande y en la que pueden realizar búsquedas, extraer un archivo sospechoso que pueda haber, ver si ya se analizó y realizar otras acciones similares. Por supuesto, Sandbox, que ya expliqué, permite cargar archivos en un entorno de pruebas para detonarlos en la plataforma elegida. Esta es una visión general amplia de los diferentes productos disponibles en el portafolio de CrowdStrike. Es probable que tengan solo un subconjunto de estos elementos. Al final, infórmennos si tienen alguna pregunta sobre alguno de ellos.
Ahora hablaré sobre el soporte. El soporte de Dell está disponible de manera telefónica. El número de teléfono que aparece aquí es para Estados Unidos. Si desean comunicarse con nosotros, o si tienen un equipo que desea comunicarse con nosotros desde algún lugar en el extranjero, desde una ubicación internacional, pueden consultar el listado del enlace que se encuentra aquí. Como mencioné, esta presentación estará disponible para que tengan esa información a mano en el futuro. Ahora hablaré sobre la planificación de la implementación. Esta es la etapa en la que reflexionamos sobre la implementación de CrowdStrike en el entorno, por lo que debemos analizar las diferentes preguntas y consideraciones clave que se nos vienen a la mente cuando pensamos en incorporar un nuevo antivirus en el entorno. La primera pregunta que se me ocurre es, en términos generales, cuál es el plan para realizar una implementación completa.
Debemos tener claro si la implementación se realizará en estaciones de trabajo, servidores o ambos, y contar con algún tipo de cronograma. Estos son algunos de los aspectos clave en los que suelo pensar cuando voy a incorporar un nuevo producto en mi entorno. Otro aspecto relacionado específicamente con CrowdStrike que debemos saber es cuál es la solución antivirus actual dentro del entorno. ¿Esa solución se ejecutará junto con CrowdStrike o se eliminará gradualmente? Este proceso se puede realizar en etapas. Por un lado, podemos instalar CrowdStrike y eliminar la solución antivirus preexistente de inmediato, o podemos hacerlo dentro de un par de meses.
La razón por la que pregunto esto y lo anoté como pregunta clave es porque, más adelante en la presentación, cuando lleguemos a la sección de prácticas recomendadas, hablaremos sobre algunas de las diferentes ideas al respecto. Si ejecutamos la solución en conjunto con otro antivirus, debemos configurarla de cierta forma. Si la ejecutamos sin ningún otro producto antivirus presente, el procedimiento será diferente. Hay diferentes funcionalidades de protección que debemos aprovechar en cada caso. Solo asegúrense de tener eso claro cuando volvamos a abordar esa idea en unos cinco minutos, una vez que lleguemos a esa sección. Otro aspecto que se debe considerar es la VPN en uso. En realidad, lo único que se debe tener en cuenta es si Junos Pulse está presente en el entorno, específicamente una versión anterior del agente de Junos Pulse o Pulse Secure dentro del entorno. Es posible que tenga algún tipo de conflicto con el agente de CrowdStrike. La ejecución de otros clientes VPN en el equipo no es algo de lo que preocuparse.
Si ejecutan algo en su equipo, podemos incluir un enlace con esta presentación para que puedan leer lo que el equipo de Pulse Secure tiene que decir al respecto y las versiones del agente que pueden verse afectadas. En lo que respecta a los métodos avanzados de instalación, con el agente de CrowdStrike hay dos elementos que me gustaría destacar específicamente, los cuales se mencionan en la guía de implementación, pero a veces se pasan por alto. Solo quiero asegurarme de destacarlos claramente para que estén al tanto. El primero es la protección con contraseña a prueba de manipulaciones que se puede aprovechar en el momento de la instalación. Cuando se instala CrowdStrike en el entorno, se puede bloquear para que no se pueda desinstalar, a menos que se ingrese una contraseña. Tengan eso en cuenta. Si instalan el agente y desean volver en el tiempo o si, en un momento posterior, desean instalar la protección con contraseña, eso también es posible.
Esa funcionalidad está disponible. Es algo que se debe considerar al analizar si se desea tener el ajuste a prueba de manipulaciones, ya que cualquier persona con derechos de administrador, o derechos de administrador elevados, puede desinstalar el agente si así lo desea, a menos que el parámetro de contraseña esté presente. El otro elemento consiste en decidir si la instalación se realizará en una plantilla de máquina virtual. El motivo es que puede haber parámetros especiales de instalación que también se pueden aprovechar aquí y que varían. Si se trata de una imagen persistente, se podría requerir un switch. Si se trata de una imagen no persistente, el requisito puede ser diferente. Como mencioné, toda esta información se detalla de una manera bastante específica en la guía de implementación de CrowdStrike, especialmente en cuanto a Windows en el caso de los dos elementos y también Mac en el caso de la protección con contraseña.
En lo que respecta al inicio de sesión único, CrowdStrike también es compatible con SAML 2.0, lo que significa que, si desean usar SAML o un producto de inicio de sesión único para iniciar sesión en la interfaz de usuario de CrowdStrike, en lugar de utilizar el método actual que requiere una autenticación de dos factores, pueden hacerlo. Solo deben enviarnos los metadatos y nosotros nos encargaremos de configurarlo. En cuanto a las API, si desean utilizar los datos de CrowdStrike fuera de la solución, también deben tener esto en cuenta. Hay varias API disponibles. En primer lugar, debemos comprender qué información deseamos recuperar fuera de CrowdStrike y dónde nos gustaría colocarla. Algunas organizaciones ponen toda la información en un lago de datos y la almacenan en frío, por ejemplo. Diría que la mayoría de los equipos tendrán, si utilizan algún tipo de SIM, la información que surge de las detecciones,
incluidas las áreas en las que hemos marcado las alertas, y enviarán esa información a nuestra SIM. Esa API, probablemente la más común y la más utilizada por nuestros clientes, se denomina API de streaming, en caso de que deseen tomar nota. Pero, como dije, de todas las API diferentes, hay varias que están disponibles y todas contienen información diferente. En la interfaz de usuario de CrowdStrike, pueden revisar la documentación para comprender mejor si les gustaría recuperar esa información en otro lugar. En cuanto a la configuración de la red, hay dos dominios a través del puerto 443 mediante los cuales se comunicará CrowdStrike. Por lo tanto, necesitaremos una ruta de comunicación clara bidireccional desde el puerto 443 a través de esos dos dominios para evitar cualquier interrupción en la ruta de comunicación. Además, la comunicación debe ser muy clara
y no puede haber ninguna inspección de paquetes. Si hubiera una inspección SSL, por ejemplo, se interrumpiría el flujo de comunicación de CrowdStrike, lo cual causaría varios problemas. Diría que, en términos generales, si personas que recién están conociendo el producto, como los participantes de hoy, comienzan la implementación y tienen algún tipo de interferencia, se darán cuenta de que tendrán problemas para iniciar sesión en el agente de CrowdStrike si no tienen un bypass y hay algún tipo de inspección SSL, por ejemplo, en el firewall. Solo asegúrense de tener un bypass.
Si el firewall no permite ingresar dominios, que sé que algunos no lo hacen, también tenemos una lista de direcciones IP estáticas disponibles en la guía de implementación de Windows o en cualquiera de las guías de implementación que aquí se indican. Es algo que se debe considerar en cuanto a la configuración de la red. En lo que respecta a los sistemas operativos soportados, CrowdStrike soporta Windows 7 Embedded o Windows SP1 y versiones más recientes. También soporta Windows Server 2008 R2 y versiones más recientes. En el caso de Mac, soporta Sierra y versiones más recientes en este momento, pero eso llegará a su fin.
Tengan en cuenta que, si tienen productos Sierra o equipos Mac con sistema operativo Sierra en el entorno, deberán actualizarlos. Básicamente, que CrowdStrike llegue al final del ciclo de vida en julio significa que seguirá funcionando sin problemas, pero no lanzaremos ninguna actualización ni mejora nueva para esos equipos. Deberán bloquear esos equipos en una compilación específica del agente para que CrowdStrike siga funcionando. A finales de septiembre, CrowdStrike dejará de ofrecer soporte por completo. Seguiremos operando en esos equipos, pero ya no ofreceremos soporte. Por lo tanto, si tienen algún problema, la solución o la respuesta de la organización de soporte será que ya no es soportado y que deben obtener una versión más reciente, y, por lo tanto, un sistema operativo más reciente también. Por su parte, Linux es más complejo, por así decirlo.
Es necesario que el kernel sea compatible. Soportamos varias versiones de Linux, pero, en lugar de apéndices en la guía de implementación de Linux, habrá una lista de todos los kernels que soporta CrowdStrike. Asegúrense de echarle un vistazo si desean implementar una flota de Linux de manera significativa. Hay un pequeño asterisco en la parte inferior que hace referencia a algo llamado Modo de funcionalidad reducida. Esta característica existe tanto en Windows como en Linux. Básicamente, se trata de un mecanismo de seguridad que hemos implementado o creado para evitar la pantalla azul en los equipos de los clientes.
Está disponible tanto en Linux como en Windows. Dado que operamos dentro del kernel, buscamos constantemente la compatibilidad del kernel para garantizar un funcionamiento íntegro. Si alguna vez hay un cambio en el kernel, que no es soportado, ingresaremos a este modo de seguridad, o Modo de funcionalidad reducida, para evitar causar ese tipo de problema. Diría que la única vez que esto realmente sucede en Windows es cuando se aplican demasiados parches o durante Patch Tuesday, que creo que fue hace dos días. Después de Patch Tuesday, los artículos de la base de conocimientos publicados y las actualizaciones de seguridad que Microsoft publica supondrán un cambio en el kernel. Si desean actualizar automáticamente esos equipos, pueden realizar la actualización más rápido que la certificación de CrowdStrike y decir que funciona correctamente con esas versiones de kernel.
Notarán que esos equipos tendrán el estado reducido de funcionalidad, ya que CrowdStrike normalmente tarda unas 48 horas en certificar el último kernel o las versiones más recientes lanzadas por Microsoft. En algún momento del día de hoy, es probable que publiquemos una certificación para los parches que Microsoft publicó el martes. Por lo tanto, la pregunta y la recomendación en este caso es que simplemente esperen, si no lo han hecho ya, para aplicar los parches hasta quizás el viernes después de Patch Tuesday. De este modo, CrowdStrike tendrá tres días para realizar la certificación. Publicamos y emitimos avisos que indican cuándo las certificaciones están listas. Esto es algo a lo que pueden prestar atención. Por otra parte, para profundizar, CrowdStrike básicamente tendrá una cantidad limitada de visibilidad.
La visibilidad en los equipos seguirá siendo alta cuando estén en el estado reducido de funcionalidad en Windows, pero será limitada. Tengan en cuenta que descartamos ciertos aspectos del kernel para evitar ese tipo de problema. Del mismo modo, cuando publicamos la certificación, no es necesario que el usuario intervenga para garantizar que los equipos cuenten con esa certificación. Tengan eso en cuenta. Lo último que se debe considerar es que todo esto es específico de Windows. La misma lógica se aplica en cierta medida a la flota de Linux. La única diferencia en el caso de Linux es que la publicación de la certificación para Linux se realiza a través de una actualización de agente, por lo que se debe actualizar el agente para que la certificación esté presente en los equipos. En segundo lugar, cuando estamos en el estado reducido de funcionalidad, perdemos toda la visibilidad. No se pierde solo un alcance limitado de visibilidad.
En el modo de funcionalidad reducida en Linux, la visibilidad se pierde por completo. Esas son las diferencias entre ambos. Ahora hablaré de algunas de las prácticas recomendadas. Esta sección se centrará en la configuración de los ajustes de la consola CrowdStrike. Primero hablaré de algo que llamamos grupos. Los grupos permiten configurar colecciones de hosts para aplicar diferentes políticas a diferentes equipos. De manera similar a la forma en que Active Directory permite configurar diferentes OU para diferentes equipos, CrowdStrike permite configurar diferentes grupos en diferentes equipos. Hay dos tipos diferentes de grupos disponibles:
los estáticos y los dinámicos. Los grupos dinámicos permiten agrupar los equipos según la semejanza de algún tipo de atributo, como la versión del sistema operativo, las OU, el nombre del sitio y los elementos que se extraen, por supuesto, mediante Active Directory. Esos son algunos elementos a partir de los cuales pueden agrupar los equipos de forma dinámica. También tenemos los grupos estáticos, que permiten definir manualmente los equipos, ya sea seleccionándolos uno por uno o cargando una lista de los nombres de los equipos en la interfaz de usuario. A la derecha, vemos que los grupos están asociados a diferentes políticas. Hoy nos centraremos en las políticas de actualización de sensores y las políticas de prevención. Yo diría que una pregunta que surge con bastante frecuencia, especialmente para los recién llegados a la solución, es: "¿qué sucede si estoy utilizando en una máquina con Windows 10 que he agrupado dinámicamente según el sistema operativo de Windows 10?" Por lo tanto, algo así como una política piloto o un grupo piloto.
En el extremo derecho, vemos que el equipo se agrega a un grupo que se asocia a una determinada política. ¿Cómo delegamos qué política se aplicará al equipo cuando se aplica a diferentes grupos que están vinculados a diferentes políticas? Este gráfico me ayuda un poco a explicar esto y es algo con lo que pueden estar familiarizados si iniciaron sesión en la interfaz de usuario. En el extremo izquierdo, se encuentran todos los dispositivos que están en el entorno. A medida que nos desplazamos por un nivel, todos los equipos entrarán a la política predeterminada hasta que se creen las políticas personalizadas a las que se asociarán los diferentes grupos.
En el ejemplo anterior, tengo una política piloto que tal vez se asocie a la política 1 y una política dinámica que se asociará a la política 2. Para delegar cuál de esas políticas se aplicará a mi equipo, utilizaremos algo llamado orden de precedencia. Esto significa que, independientemente del equipo o de la ubicación del equipo, se aplicará la política que esté en primer lugar en esa lista. En este caso, se aplicaría la política 1. Un ejemplo más concreto es la actualización de los sensores. Una vez que instalemos CrowdStrike en el entorno, habrá un mecanismo de nube que podemos utilizar y aprovechar para actualizar y desactualizar los agentes dentro del entorno.
No es necesario hacerlo a través de la herramienta de implementación, como SCCM o Jamf en el caso de Mac, por ejemplo. Basta con hacer clic en algunos botones en la interfaz de usuario de CrowdStrike para que la actualización comience a enviarse a través de nuestro sistema de entrega en la nube. A la derecha, pueden ver mi recomendación a partir de una cadencia de actualización. Hay dos maneras diferentes de actualizar los equipos. Podemos actualizarlos de manera automatizada, es decir, en cuanto CrowdStrike publica un nuevo agente, se conecta automáticamente a todos los equipos. Esa es una forma. La otra manera es bloquearlo en un número de compilación estático específico y, a continuación, a medida que pasa el tiempo y si están satisfechos con el rendimiento de un subconjunto de equipos, pueden extenderlo al resto del entorno.
A la derecha, vemos que mi recomendación es crear un tipo de política piloto para recibir las actualizaciones de CrowdStrike de manera automatizada. Esa política piloto sería un grupo estático en el que se seleccionaron manualmente tal vez un par de docenas de equipos. A medida que pasa el tiempo y si están seguros de que ninguno de los probadores piloto tiene quejas o problemas, podrían implementar esa actualización en todas las estaciones de trabajo. Esperen un poco de tiempo, impleméntenla en los servidores y así sucesivamente. Esta sería la lógica y el método que les recomendaría para las actualizaciones. Muchas organizaciones actualizan automáticamente todos los equipos.
En mi caso, soy más cauteloso en cuanto a las actualizaciones. Yo lo haría así, pero depende de cada uno. Ahora hablaré de las funcionalidades de prevención. Esto puede parecer una tabla optométrica, así que desglosaré lo que vemos aquí. Verticalmente, cada una de estas filas se asigna a una funcionalidad de prevención específica que CrowdStrike posee dentro de la interfaz de usuario. En el lado derecho, hay tres fases separadas que les recomendamos analizar cuando comiencen a aprovechar CrowdStrike en su entorno.
La primera fase es lo que llamamos implementación rápida con un AV preexistente. Esto significa que, si hay otra solución antivirus, se recomienda adoptar un enfoque más gradual para incorporar CrowdStrike en el entorno. Se recomienda tener habilitado este conjunto inicial de opciones en la implementación. Esto permitirá que CrowdStrike tenga la máxima visibilidad del entorno sin llegar a bloquear los procesos que considere sospechosos. Esto se debe a que, al incorporar un nuevo antivirus en el entorno, es posible que se bloqueen elementos legítimos, es decir, elementos considerados legítimos. Si lo hacemos de esta manera, obtendremos ese nivel de visibilidad.
Si identificamos un falso positivo, podemos incluirlo en la lista blanca. En la fase dos, podemos adoptar una postura de prevención más estricta, en la que activamos varias de las funcionalidades de protección, después de implementar la lista blanca para evitar el bloqueo de aplicaciones legítimas. Si desean incorporar CrowdStrike en un entorno que no tiene un AV preexistente, les recomiendo comenzar con el nivel dos, el nivel intermedio, solo porque esta será la configuración que brindará… un nivel de protección adecuado ante cualquier amenaza que consideremos sospechosa. Eso sería todo en esa fase. En cuanto se sientan cómodos con eso, pasarán a la fase “Well Protected”. Este es un enfoque de tres fases. La razón por la que adoptamos este enfoque, como mencioné anteriormente, es que debemos considerar si estamos usando un AV o no.
En este contexto, la primera fase es para los casos en los que se usa otro AV. La segunda es para los casos en los que no hay un AV preexistente. Si hay uno y queremos avanzar en estas fases mientras seguimos ejecutando la herramienta heredada en paralelo, ciertamente podemos hacerlo. Solo hay dos opciones que debemos asegurarnos de mantener desactivadas. Estas son “Sensor Anti-Malware Prevention”, en el centro de la pantalla, y “Quarantine & Security Registration”. Estas son las únicas dos opciones que pueden no funcionar bien si hay otra herramienta antivirus presente en los equipos. Simplemente deben mantenerlas desactivadas si desean ejecutar CrowdStrike en conjunto a largo plazo. Todo lo demás debería funcionar bien con cualquier AV preexistente.
La misma lógica se aplica a Mac. Si hay un AV preexistente en estos equipos, la única opción que debemos mantener desactivada es la funcionalidad “Quarantine”. Esto nos lleva al apéndice. En el apéndice, simplemente se repasan algunos de los temas. Hablamos de RFM. Si desean obtener información o tienen preguntas sobre detalles específicos, pueden consultar los diferentes enlaces que se encuentran aquí. En cuanto a las prácticas recomendadas de implementación, hablamos de la creación de políticas. Debemos implementar el agente para comenzar a recopilar datos. A medida que empezamos a recopilar datos, podemos encontrar elementos que consideremos como falsos positivos.
Debemos monitorear y clasificar todas esas detecciones, hacer una lista blanca de los falsos positivos y, luego, una vez que nos sintamos cómodos con el nivel de ruido, podemos pasar a un nivel de protección más adecuado. En cuanto al enfoque por fases, aquí simplemente se ofrecen más detalles sobre la política 1, la política 2 y la política 3, y su justificación. Eso se aplica tanto a Windows como a Mac, como ya hemos mencionado. En cuanto a los próximos pasos, debemos asegurarnos de obtener acceso al portal de soporte de CrowdStrike.
En el portal de soporte de CrowdStrike, ofrecemos una gran cantidad de contenido de soporte. En este caso, recomendamos comunicarse con el equipo de soporte de Dell mediante una llamada a fin de obtener acceso para todo el equipo. Solo necesitaremos los nombres, apellidos y correos electrónicos de todos los usuarios que necesiten acceso. Lo otro que debemos entender son las alertas de detección por correo electrónico. Cada vez que CrowdStrike detecte algo sospechoso dentro de un entorno, se marcará una detección y se enviará una alerta por correo electrónico automáticamente. Queremos saber quiénes son los contactos de correo electrónico de su equipo que deberían recibir ese aviso. Es un mensaje bastante genérico,
que dice que hay una alerta de gravedad alta y se incluye el enlace para que le echen un vistazo. Por último, si están suscritos al servicio OverWatch de CrowdStrike, también deberán indicarnos a quién debemos enviar un correo electrónico en caso de que identifiquemos algo sospechoso en el entorno. Si identificamos algo como una intrusión práctica tipo teclado, podemos comunicarnos con ustedes. En ese contexto, si nos comunicamos con ustedes directamente, es probable que se trate de un caso de “prioridad uno”. Por este motivo, recomendamos configurar algún tipo de lista de distribución. Así concluyen los temas que tenía previsto compartir durante el webinar de incorporación de hoy.