Gestión de la Seguridad
Caso Práctico
La gestión de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente en el concepto de "fortificación frente a ataques" no se corresponde con las necesidades de negocio.
Es importante que los clientes de "Cater Matters" tengan acceso a información actualizada sobre sus pedidos, pagos pendientes, etcétera y eso requiere la interacción con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales al exterior desde el núcleo TI de la organización.
La dirección de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso a dicha información preservando su confidencialidad e integridad. Esto requiere la revisión del Plan de Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad básicas:
- Se limitan los rangos de IPs que pueden acceder al servicio. Sólo IPs autorizadas de clientes podrán disponer del servicio.
- Se implementan protocolos de encriptación de los archivos XML intercambiados.
- Se requiere autenticación para el acceso al servicio.
- Se monitoriza la interacción con la aplicación para detectar posibles ataques externos.
- Se guarda un registro de uso: quién, cuándo y cómo utilizó la aplicación.
- Se autoriza un solo canal de entrada a los servidores locales a través de los servidores web de la empresa.
Se propone una evaluación periódica del servicio con el objetivo de detectar vulnerabilidades y adoptar medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en un tiempo de rápido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".
