Dic 05

Cómo proteger su programa para Servicios de Asistencia Técnica SAT en la nube

Publicado por : Xavier Biseul / Etiquetas : , , , ,

Cómo proteger su programa para Servicios de Asistencia Técnica SAT en la nube

La otra cara de la moneda: la apertura que implica el paso al modo SaaS (en la nube) también expone a la empresa a nuevos riesgos. Sin embargo, existen soluciones específicas para proteger los datos en la nube y en los dispositivos móviles.
 
Archivo de clientes, historiales, planos de acceso, informes de intervención, etc. Un programa para Servicios de Asistencia Técnica SAT contiene cierto número de datos sensibles que conviene proteger. Este deber de protección reviste más importancia desde la aplicación, el pasado 25 de mayo, del nuevo reglamento europeo de protección de datos.
 
En caso de filtración de datos, el RGPD prevé sanciones que pueden alcanzar los 20 millones de euros o el equivalente al 4% de la facturación anual; será la autoridad de control la que tenga en cuenta el importe más alto de los dos. Más allá de este riesgo financiero, la piratería puede dañar la reputación de una empresa de manera duradera. A otra escala, Facebook es un ejemplo de ello…

El paso a la nube expone a nuevos riesgos

Versatilidad, multitud de funcionalidades, desmaterialización de la cadena de información, movilidad, etc. Las ventajas de una solución en modo SaaS ya las hemos alabado como se merece. El paso a la nube nos expone, sin embargo, a nuevos riesgos. Hasta ahora, los datos dormían “bien arropados” en los servidores de la empresa o en centros de datos privados.
 
Con un funcionamiento “cerrado”, la aplicación solo tenía contactos limitados con el exterior, por lo que resultaban suficientes los modelos de protección tradicionales tipo cortafuegos y los sistemas de prevención de intrusiones.
 

El fin del modelo tipo “fortaleza”

Con la nube, cambia el modelo: la aplicación se abre al mundo. Interactúa con los usuarios, a veces en situación de movilidad, e incluso con terceras aplicaciones a través de distintas interfaces de programación (API) o servicios web. Una aplicación para Servicios Técnicos, por ejemplo, va a interactuar con un programa contable para generar automáticamente las facturas.
 
Los sistemas de protección tipo “fortaleza”, que se limitaban a proteger los puestos de trabajo y los servidores en los que estaba instalada la aplicación, hoy en día han quedado desfasados. Como actualmente los datos han hecho acto de presencia en la nube, conviene adoptar nuevas respuestas.

DLP y CASB, los dispositivos de la era de la nube

Como su propio nombre indica, una solución de DLP (Data Loss Protection) va a evitar las filtraciones de datos sensibles, realizando un seguimiento continuo de estos, tanto si están archivados, almacenados o en proceso de tratamiento. Se pueden aplicar reglas de negocio para evitar, por ejemplo, que se imprima tal archivo, que se envíe a una dirección de correo electrónico desconocida, que se guarde en una memoria USB o que se aloje en un espacio de almacenamiento en línea.
 
De manera complementaria, una solución CASB (Cloud access security brokers) va a controlar, por su parte, los flujos de redes. Actuando a modo de centinela, analiza de manera continuada el tráfico que entra y sale del sistema de información. El CASB permite proteger una aplicación de extremo a extremo, desde la nube a los terminales conectados de los usuarios.

El factor humano: el eslabón más débil de las políticas de seguridad

Acumular herramientas no sirve de nada si no todos los colaboradores están sensibilizados con esta cuestión. Se suele decir que el factor humano es el eslabón más débil de las políticas de seguridad. Las técnicas denominadas de ingeniería social explotan los “fallos” humanos para robar datos o usurpar identidades.
 
Por lo tanto, conviene recordar, incansablemente, los principios básicos de la prevención: no se hace clic en un link sospechoso, procedente de un remitente desconocido; hay que cerrar la sesión abierta en el ordenador al salir de la oficina; conviene elegir una contraseña que sea a la vez compleja y fácil de recordar, y cambiarla con regularidad, etc.
 
También hay que luchar contra el “shadow IT” (TI en la sombra), que consiste en utilizar servicios no aprobados por la empresa. Algunos colaboradores utilizan habitualmente sistemas de webmail como Gmail o Yahoo Mail, o aplicaciones para compartir archivos como Dropbox o WeTransfer. Disponer de un programa para Servicios de Asistencia Técnica SAT oficial, que responda a todas las necesidades de los usuarios, evita este tipo de desviaciones.

MDM y MAM para gestionar flotas de dispositivos móviles

Algunos grupos son más vulnerables que otros. Es el caso de los técnicos de mantenimiento de campo que, al estar permanentemente sobre el terreno, no se benefician de todos los sistemas de protección que están a disposición de sus colegas sedentarios. Están expuestos, sin embargo, a riesgos específicos, como el robo de datos guardados en su smartphone o tablet.
 
Además de la necesidad de concienciar a los técnicos sobre los problemas de seguridad, existen soluciones para proteger específicamente los dispositivos móviles. Las herramientas de MDM (Mobile Device Management) permiten a un administrador gestionar una flota de dispositivos autorizados a acceder a los servicios de la empresa. Gracias a él podemos asegurarnos de que se respetan las normas de seguridad establecidas. En caso de robo, se puede bloquear el dispositivo móvil a distancia.
 
Las soluciones de MAM (Mobile Application Management) permite, por su parte, gestionar las aplicaciones móviles. Un administrador puede prohibir la instalación o el acceso a aplicaciones que no son conformes con la política de seguridad, controlar la manera en que se utilizan y comparten los datos, restringir determinadas acciones, como copiar, pegar o guardar, etc.

El papel decisivo del programador

Por último, el paso a la nube exige una mayor participación del programador. El RGPD recuerda, en particular, que los subcontratistas deben adoptar todas las medidas necesarias para proteger los datos de sus clientes. Praxedo no ha esperado a la entrada en vigor del reglamento para responder a este requerimiento.
 
La aplicación Praxedo está alojada en unas infraestructuras específicas de OVH, proveedor líder en Europa en servicios de alojamiento, que garantiza el cumplimiento del RGPD. Los datos se guardan sistemáticamente en varios servidores ubicados en emplazamientos distantes y la tasa de disponibilidad constatada de la aplicación es superior al 99,8%.
 
El acceso a la aplicación se realiza mediante el protocolo HTTPS, con el mismo nivel de seguridad que el exigido para los pagos en línea. Praxedo recurre, asimismo, a empresas especializadas en la realización de pruebas de intrusión externas y, de este modo, se pueden corregir más rápidamente los posibles problemas de seguridad observados.
 

Artículos similares :

Acerca del autor

Xavier Biseul es un periodista independiente. Especialista en temas relacionados con las nuevas tecnologías y la transformación digital de las empresas, colabora con muchos títulos de la prensa impresa y digital.

Pruebe el experto Praxedo

Prueba sin compromiso, no tarjeta de crédito requerida
une bonne idée, faites un essai gratuit
Prueba gratuita

Si prosigue con la navegación, acepta usted la utilización de cookies para personalizar su visita y asegurarle una mejor experiencia en nuestra web. Para ampliar esta información, haga clic aquí.