Configurar su organización en la Consola del Operador

Lista de comprobación de extremo a extremo para que un administrador de seguridad ponga en marcha un tenant de Zeuslock: organización, SSO, perfil de detección, canales de alerta, grupo piloto y emparejamiento.

Lo que va a configurar en los próximos 30 minutos

La Consola del Operador, en app.zeuslock.ai, es donde convierte un tenant recién creado de Zeuslock en una plataforma DLP lista para producción. Inicie sesión con el correo electrónico utilizado al registrarse: su cuenta inicial se aprovisiona con rol de Propietario. Esta guía acompaña a un operador a través de la secuencia canónica: crear la organización, invitar al equipo, conectar el SSO, elegir qué hallazgos activar, encaminar las alertas, entregar una política a un grupo piloto y solo entonces abrir el acceso a toda la empresa.

Siga los pasos en orden. Cada uno es breve, pero saltarse alguno — sobre todo el grupo piloto — suele provocar oleadas de falsos positivos que erosionan la confianza en la plataforma.

La secuencia de configuración

  1. Cree la organización. Vaya a Ajustes → Organización → Nueva. Introduzca la razón social (aparece en las exportaciones de incidentes y en los DPA), elija la región principaleu-west-3 (París) es el valor por defecto y la opción correcta para cualquier carga de trabajo residente en la UE — y defina el idioma por defecto para la interfaz y las notificaciones a usuarios. La región no se puede cambiar una vez que se registran incidentes; el idioma, sí.
  2. Invite al equipo de seguridad. Navegue a Ajustes → Miembros → Invitar. Zeuslock dispone de cuatro roles, todos delimitados por el principio de mínimo privilegio:
    • Propietario — facturación, eliminación del tenant, asignación de roles. Limítelo a dos personas como máximo.
    • Administrador — políticas, integraciones, SSO, detectores personalizados. El rol operativo del día a día.
    • Operador — revisión de incidentes, triaje, comentarios, escalado. Sin edición de políticas.
    • Auditor — solo lectura sobre todo, incluidos registros de auditoría y exportación CSV. Diseñado para cumplimiento y auditoría interna, especialmente ante la AEPD.
  3. Conecte el SSO. Abra Ajustes → Autenticación → Inicio de sesión único y elija su proveedor de identidad. Los subpasos están más abajo.
  4. Configure el perfil de detección por defecto. En Políticas → Perfil de detección → Por defecto, active las cuatro familias de hallazgos que producen señal desde el primer día: credentials (api_key, password, private_key, JWT, tokens Bearer), PII (email, teléfono, DNI/NIE, pasaporte, IP), financial (credit_card, IBAN, crypto_wallet, connection_string) y source_code. Deje behavioral desactivado hasta disponer de al menos dos semanas de tráfico de referencia: se apoya en normas por usuario que primero deben aprenderse.
  5. Defina los canales de alerta. En Integraciones → Alertas: conecte Slack mediante el botón OAuth (elija el canal que el equipo de guardia realmente lee), añada una URL de webhook entrante de Microsoft Teams, pegue un endpoint HTTPS genérico para su SIEM (Splunk HEC, Microsoft Sentinel o cualquier sistema que acepte JSON firmado con HMAC) y active el resumen por correo electrónico con la cadencia adecuada — diario para equipos de seguridad activos, semanal para organizaciones más pequeñas.
  6. Cree su primer grupo. Vaya a Ajustes → Grupos → Nuevo y cree un grupo llamado piloto-seguridad. Añada al propio equipo de seguridad. Este grupo recibirá cualquier política nueva en primer lugar, para detectar sorpresas sobre su propio personal antes de que afecten a un comercial a las 16:00 de un viernes.
  7. Genere el token de emparejamiento de dispositivos. En Ajustes → Dispositivos → Token de emparejamiento, pulse Generar. Copie el token en su herramienta de gestión de flota (Intune, Jamf, GPO o política de ChromeOS en Workspace) como valor de la variable de entorno ZEUSLOCK_PAIRING_TOKEN. La extensión de navegador y el agente de escritorio se enrolarán automáticamente en el primer arranque, sin intervención del usuario.
  8. Opcional: configure la residencia de los datos. Si su contrato exige procesamiento exclusivamente en Francia, abra Ajustes → Residencia de datos y fije la vinculación regional a fr-only antes de que se registre ningún incidente. Esto confina cada byte de contexto de detección, tráfico de confirmación ML y registro de auditoría a infraestructura francesa. La vinculación es permanente en cuanto el primer incidente impacte al tenant: no hay marcha atrás.

Paso 3 al detalle: conectar su proveedor de identidad

El SSO elimina el problema de las contraseñas y desbloquea el aprovisionamiento SCIM. Configure un único IdP por tenant. Los tres flujos siguientes producen el mismo estado final: una federación SAML 2.0 y, allí donde sea compatible, sincronización SCIM 2.0 de usuarios y grupos.

Okta (SAML 2.0 + SCIM)

En la Consola del Operador, copie la ACS URL y el Entity ID desde Ajustes → Autenticación → SAML. En Okta, cree una aplicación SAML 2.0 llamada Zeuslock, pegue ambos valores, fije el formato NameID a EmailAddress y mapee los atributos email, firstName, lastName, groups. Descargue los metadatos IdP en XML y súbalos a Zeuslock. Para SCIM, active Provisioning → To App, pegue el endpoint SCIM y el token Bearer que aparecen en Autenticación → SCIM y marque Crear / Actualizar / Desactivar usuarios.

Azure AD / Entra ID (SAML 2.0 + SCIM)

En Entra, cree una aplicación empresarial desde la galería buscando Zeuslock, o una aplicación fuera de la galería con el mismo nombre. Configure Inicio de sesión único → SAML con la ACS URL y el Entity ID de la consola. Mapee la reclamación user.mail al NameID. Para SCIM, en el panel de Aprovisionamiento elija el modo Automático, pegue el endpoint SCIM y el token Bearer y asigne el grupo de seguridad que debe sincronizarse. Pruebe con Aprovisionar bajo demanda antes de habilitar la planificación.

Google Workspace (SAML 2.0, SCIM no compatible)

En la Consola de Administración de Google, abra Aplicaciones → Aplicaciones web y móviles → Añadir aplicación SAML personalizada, póngale el nombre Zeuslock, descargue los metadatos IdP de Google y súbalos a Ajustes → Autenticación → SAML → Metadatos IdP. Configure la ACS URL y el Entity ID en el lado de Zeuslock. Workspace no expone SCIM al exterior: en su lugar, active el aprovisionamiento Just-In-Time en Autenticación → SAML → JIT para que los usuarios se creen en su primer inicio de sesión SSO.

Lista de verificación antes del despliegue

No invite al resto de la empresa hasta que se cumplan los tres puntos siguientes:

  • El SSO funciona para 2 o 3 probadores. Pida al menos a tres miembros del equipo de seguridad que cierren sesión y vuelvan a iniciarla a través de su IdP. Compruebe que el mapeo de roles es correcto y que SCIM (si se usa) ha poblado sus pertenencias de grupo.
  • Al menos una alerta de Slack recibida. Desde Integraciones → Alertas → Slack, pulse Enviar alerta de prueba. Verifique que llega al canal correcto y que la rotación de guardia realmente la ve.
  • Al menos un hallazgo real desde su propio navegador. Instale la extensión en su equipo y pegue el número de tarjeta Visa de prueba documentado 4111 1111 1111 1111 en ChatGPT. Compruebe que el incidente aparece en Incidentes → En vivo en menos de diez segundos, con el detector correcto, la severidad correcta y la atribución correcta al grupo piloto.

Despliegue según la secuencia documentada: Monitorizar semanas 1-2, Anonimizar semanas 3-5, Bloquear desde la semana 6. La plataforma permite pasar directamente al modo Bloquear desde el primer día, pero en la práctica eso genera tickets de soporte que dos semanas de observación habrían evitado.

Una vez superada la verificación, amplíe el grupo piloto a un segundo departamento y después a toda la organización. El manual de despliegue de políticas detalla la cadencia recomendada.