Tarsis.net — Agencia Web y Marketing Digital — Tel: (+34) 911 413 259 EN

Tarsis.net › Agencia Web y Marketing Digital

Entradas etiquetadas ‘extranet’

Securización de una intranet

Tarsis.net

Una de las cosas que se aprenden con la experiencia de años de diseñar, poner en marcha, hacer crecer y mantener intranets –o quizá sería más correcto decir herramientas privadas de colaboración empresarial— es que la seguridad debe ser un elemento presente desde el minuto uno. No vale acordarse de ella a posteriori, y no se pueden tomar atajos.

Para el usuario común, que utiliza servicios Internet de diferentes proveedores ya sea a través de su navegador o de aplicaciones móviles, la seguridad es algo que tiene que ver principalmente con cómo utiliza sus claves de acceso y, quizá, con mantener actualizado su sistema operativo y aplicaciones.

El panorama para los que administramos sistemas es muy diferente. Un examen rutinario del tráfico que atrae nuestro sistema revela información interesante –y a veces terrible– sobre el origen e intenciones de los visitantes. Los ataques contra sistemas son una circunstancia permanente, no episodios aislados. Cualquier sistema conectado a Internet es atacado de forma automatizada y de manera frecuente y permanente.

Pero, dejando aparte los numerosos ataques automáticos –generalmente poco sofisticados y dirigidos a sistemas mal configurados y gestionados–, hay también ataques menos frecuentes, más refinados, y que aspiran a ganar un acceso permanente y silencioso a un sistema en producción, a exfiltrar información valiosa y, finalmente, a dañar la reputación de la organización titular del sistema.

A nadie se le puede escapar que una intranet, que alberga información interna de una empresa referente a sus operaciones del día a día, pero que también puede alojar información estratégica, datos de clientes, de empleados y de proveedores, es por su propia naturaleza un blanco en el que se posan muchas miradas. Por tanto, la seguridad de la instalación debe formar parte de la misma desde su concepción.

La seguridad de un sistema es un concepto que tiene muchas facetas. Un sistema puede ser atacado de muchas formas distintas, a diferentes niveles de la pila de comunicación (¿alguien se acuerda del Modelo OSI?), y por esa razón las medidas que hay que adoptar tienen que cubrir un amplio espectro de posibles tipos de vulnerabilidad. El funcionamiento del sistema puede ser comprometido desde usando fuerza bruta (p. ej. utilizando un ataque de denegación de servicio, DoS o DDoS), hasta mediante el descubrimiento de una clave de usuario demasiado débil y, entre medias, a través de una miríada de posibles puntos débiles de los que es necesario ser consciente en todo momento.

Sin pretender hacer un recuento exhaustivo, sirvan de referencia diferentes elementos importantes que van a entrar en juego cuando se trata de asegurar una intranet:

  • Sistema operativo, que debe estar siempre actualizado a la última versión estable.
  • Configuración. Configuración correcta del sistema operativo y servicios del servidor.
  • Asignación de recursos. El servidor tiene que estar dimensionado para hacer frente a los picos de demanda de los usuarios de la intranet.
  • Filtrado de tráfico. Elementos de filtrado de tráfico (IP, UDP, ICMP), medidas de mitigación de ataques de denegación de servicio.
  • Orígenes de contenido. Configuración correcta de orígenes de tráfico (Content Security Policy), en el caso de servicios web, para impedir la inyección de código hostil desde orígenes no deseados (XSS, Cross-site scripting).
  • Aplicaciones. Medidas de seguridad de aplicación, que impiden que un usuario, autenticado o no, pueda utilizarla para ejecutar código en el servidor, incluida la posibilidad de exfiltración de datos.
  • Claves. Políticas de claves de usuarios (longitud, composición, periodo de validez). Una medida completamente básica y, sin embargo, ampliamente desatendida. También es importante educar a los usuarios para evitar malas prácticas en la custodia de claves, como por ejemplo apuntarlas en post-it a la vista de todo el mundo o compartir la clave con otra persona. Es necesario también hacerles conscientes de la posibilidad de que sean abordados por alguien malintencionado que practique sobre ellos la ingeniería social, para ganar acceso a sus cuentas (por ejemplo, pero no sólo, mediante la técnica conocida como spear phising).
  • ACL. Mecanismos de control de acceso a los contenidos (ACL, Access Control Lists), que autorizan/niegan acceso a según que parte de la intranet en función de quién sea el usuario y los permisos que tenga.
  • API. Es posible también que, dependiendo de la plataforma que hayamos utilizado como base de nuestra intranet, tengamos también que tomar medidas para asegurar la API (Application Program Interface) con la que están dotadas muchas de ellas.
  • Datos. Seguridad de los datos, que deben ser frecuentemente salvaguardados de una forma completa y segura, para el caso en que se produzca una situación de desastre. Piénsese que el software es reemplazable, pero los datos no lo son.
  • Plan de contingencia. ¿Qué vamos a hacer si el sistema tienen una caída grave? ¿Podremos reemplazar sus subsistemas más prioritarios? ¿Tenemos copia de seguridad de los datos? ¿En cuánto tiempo podemos restaurar el servicio y por qué medios?

A pesar de que siempre hay que tomar estas medidas, nunca tendremos la completa seguridad de que no pueda ocurrir algo: malas prácticas o errores humanos, vulnerabilidades no públicas (zero-day) o errores de hardware son posibilidades siempre presentes, y hay que estar en situación de hacerlas frente, porque el trabajo de una organización depende de ello.

Precisamente por eso la vigilancia permanente de administrador es el colofón a todas las medidas que se adopten. No es suficiente con que las medidas estén implantadas, porque existen situaciones en las que esas medidas van a verse desbordadas. La monitorización de los registros de las diferentes partes del sistema para asegurarnos de que el conjunto está funcionando como debe es siempre imprescindible.

Podemos ayudarle. Si su empresa puede beneficiarse con la creación de una intranet/extranet corporativa, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Empresa Tecnología Web

Etiquetas:

Drupal como plataforma para desarrollar intranets y extranets corporativas

Tarsis.net

A diferencia de un sitio web corporativo, que busca solucionar necesidades de comunicación y ventas, una intranet es un sitio web de naturaleza utilitaria, en el que las interacciones se llevan a cabo principalmente a la sombra de los procesos internos de una organización.

Foto de William Iven en Unsplash

Una intranet es un sistema on-line privado — normalmente una web — en el que concurren los usuarios pertenecientes a una misma organización para compartir de forma reservada y segura información, documentos, formación o comunicación. Puesto que una organización suele tener también contacto con diferentes propósitos con otras organizaciones externas, el concepto puede ampliarse a que los usuarios externos puedan también participar del sistema, en cuyo caso nos encontramos en el caso de una extranet.

No se trata de opciones excluyentes, porque los sistemas que proporcionan este tipo de servicios son capaces de albergar a todo tipo de usuarios con su correspondiente control de accesos, para que cada cual pueda acceder únicamente a lo que le corresponde, así que muchas veces una intranet evoluciona de forma natural hacia intranet/extranet. En este artículo utilizaremos el término intranet por simplicidad, aunque en realidad nos referiremos a ambos conceptos.

En Tarsis.net llevamos diez años creando, securizando, desarrollando y manteniendo intranets corporativas. Quisiéramos compartir esa experiencia explicando cuáles son sus ventajas y por qué hemos optado por Drupal como plataforma para el desarrollo de las intranets de nuestros clientes.

¿Para qué necesita una empresa una intranet?

A lo largo de los años hemos visto evolucionar intranets desde meros sitios web privados de comunicación hacia el canal a sistemas que operan en todos los niveles de la organización y que incluyen parte sustancial de los procesos de venta, comunicación interna o soporte de segundo nivel.

¿Qué ventajas para la organización se derivan de disponer de su propia intranet?:

  • Entorno personalizado y  privado de colaboración, con contenidos, comunicación y procesos compartidos y normalizados. Nada que ver con el uso de servicios públicos que proporcionan servicios fragmentarios de manera informal.
  • Control sobre el entorno, sus funcionalidades y la granularidad con que se otorgan permisos a los diferentes tipos de usuarios.
  • Dotación de herramientas de colaboración comunes, tales como calendarios, listas de tareas, grupos de discusión, repositorios de ficheros o mensajería.
  • Existencia de un repositorio de conocimiento, abierto a los empleados de la compañía para su consulta y contribución. Estos repositorios facilitan el trabajo de los empleados existentes, evitan en cierta medida los vacíos de conocimiento cuando un empleado abandona la firma y sirve a los empleados noveles para familiarizarse más rápidamente con el entorno y los procedimientos de trabajo.
  • En algunos casos puede servir para que departamentos de Recursos Humanos puedan publicar plazas vacantes a cubrir a las que puedan aspirar empleados actuales o bien servir para que los empleados pongan en contacto a candidatos externos con la empresa.
  • Como soporte para programas de formación internos o de canal. Las intranets pueden albergar sistemas de elearning que abaraten la prestación de servicios de formación para campos de ventas, técnicos, de soporte o de cualquier otro tipo.
  • Un canal externo permanente para la comunicación con otras empresas con las que trabajamos, ya sean estas clientes, canal de distribución, proveedores u otros.
  • Un canal interno permanente en el que los empleados de la empresa pueden adquirir información, contar a los demás sobre su trabajo o debatir en grupos cerrados o abiertos sobre su actividad.
  • Una significativa reducción de costes y normalización de procesos en todos los puntos anteriores.

Pero no de cualquier manera

Es un hecho estadístico que este tipo de sistemas, pensados de arriba a abajo, tienen considerables dificultades en su implantación, y que su ratio de fracaso es alarmante — notoriamente en el caso de los sistemas CRM — . En el caso de las intranets, y en base a nuestra experiencia, podemos decir que hay cuatro características que debe cumplir para conseguir que su implantación en una organización sea un éxito: Debe ser útil, segura, estable y adaptable.

Si está usted pensando que nos hemos olvidado del coste, pues no lo hemos hecho. Una organización que cuente con los servicios que hemos descrito, o que aspire a disponer de ellos, tendrá en su intranet una fuente permanente de ahorro de costes debido a la concentración de los recursos. Eso por no hablar de los costes que se derivan de una gestión insegura (¿usa usted servicios internet públicos?) de la información. Y esos costes no son sólo en dinero, sino indefectiblemente en reputación.

¿Por qué Drupal?

Aún hoy en día vivimos en un tiempo de inflación de gestores de contenido (CMS). Podría pensarse que, pasados los primeros años de explosión de estos sistemas, el panorama se habría aclarado y quedarían dos o tres, con una cierta especialización, y que los demás habrían pasado al olvido.

No es así de ninguna manera. Si bien es cierto que WordPress es un actor dominante en la oferta de CMS, no es menos cierto que, salvo algunas extensiones especializadas para medios de comunicación on-line, sus características le hacen más indicado para sitio web vistosos, usables y ágiles, pero de escasa complejidad conceptual.

Existe un enorme número de otros sistemas de publicación de contenidos con diferentes filosofías (Typo3, eZ Publish, Joomla, Django, Liferay) y su número crece cada día que pasa. En años recientes se ha hecho notar una tendencia hacia la creación de herramientas que propenden a la extrema simplificación, por ejemplo generadores de sitios web estáticos.

Drupal sin embargo es un sistema de publicación de contenidos más abstracto en su concepción, pero con muchas más posibilidades de crecimiento en entornos que demandan precisamente gestionar la complejidad propia de una organización. En cualquier empresa hay que poder gestionar, con carácter general, individuos (usuarios), departamentos (grupos), categorías (roles) y diferentes niveles de acceso (permisos), aparte de otros aspectos dependientes de cada organización particular.

Por eso Drupal es mucho más indicado que otras herramientas de software para el desarrollo de una intranet corporativa:

  • El núcleo de Drupal provee la infraestructura básica necesaria para un entorno corporativo privado, seguro y los elementos básicos de su administración.
  • Provee también de todo lo necesario para la gestión de contenidos de la parte pública y privada, incluyendo la capacidad de personalizar el interfaz de usuario con el diseño que se requiera.
  • Otros servicios básicos para una intranet o extranet son provistos por módulos (plug-ins).
  • El sistema permite definir de forma flexible y precisa el control de accesos (usuario o rol), es decir, quién puede acceder a qué parte de los contenidos y las aplicaciones y qué permisos tiene sobre ellos.
  • Existe incluso la posibilidad de crear una capa de administración externa (“desacoplada”) que facilite tareas de administración o informes personalizados, propias de cada caso.
  • Una infinidad de módulos de terceras partes pueden proporcionar otros elementos sociales, de comunicación o de utilidad necesarios para adaptarse a las necesidades concretas de esa organización.
  • Drupal permite además embeber aplicaciones particulares, creadas al efecto, dentro del entorno público y/o privado.
  • Drupal es una solución de código abierto, lo cual tiene una miríada de ventajas sobre el software propietario, que van mucho más allá de no tener que pagar un coste de adquisición y/o una licencia anual. Estas ventajas se extienden desde la seguridad hasta la independencia a la hora de hacer que el software que necesita tu negocio funcione como tú quieras que funcione, no como otros lo hayan pensado por ti.
  • Drupal tiene una larga experiencia en la creación de sitios web complejos y sofisticados, que van más allá de meros escaparates, sitios web sencillos o blogs. Tiene además una enorme comunidad de contribuyentes que mejoran su código y amplían sus capacidades de forma permanente. Por si esto fuera poco, no le faltan usuarios de referencia, tales como la Casa Blanca, el 10 de Downing Street, el Gobierno de Francia, la BBC, la Universidad de Stanford o la Universidad de Oxford. No se puede decir que sean sitios que no requieran sofisticación, seguridad y gestión de la complejidad.

 

Podemos ayudarle. Tarsis.net es organización miembro de la Drupal Association. Si su empresa puede beneficiarse con la creación de una intranet/extranet corporativa, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Empresa Tecnología Web

Etiquetas: