-
Pingback: Seguridad OWASP en 3DEXPERIENCE
Seguridad de la nube de 3DEXPERIENCE
La seguridad en la nube es un aspecto que levanta dudas cuando hablamos con clientes sobre 3DEXPERIENCE. Es completamente normal tener cierta cautela ya que hablamos de datos sensibles y que comprometen el día a día de los negocios. Hoy queremos ver este tema para resolver posibles cuestiones y para explicar porqué confiar la seguridad de tus datos a una empresa del nivel de Dassault Systèmes es una apuesta… segura 😉
Desde los inicios de la creación de la plataforma, la multinacional situó la seguridad en el centro del desarrollo e implantación de la 3DEXPERIENCE, garantizando varias capas de seguridad muy bien controladas. En este post vamos a hacer un repaso por las metodologías que se siguieron de forma general y en un próximo post nos centraremos en las llamadas Metodologías OWASP.
Seguridad en profundidad
El concepto de «seguridad en profundidad» de Dassault Systèmes se basa en el desarrollo de numerosos mecanismos independientes para mitigar riesgos. Si se diese un caso de un fallo en el bloqueo de una acción malintencionada, esta no supondrá una amenaza porque sería bloqueada por otros mecanismos a mayores creados para este fin. Estos procesos de seguridad cumplen los más altos estándares del sector industrial, como por ejemplo:
- Las normas ISO 2700x y, en particular, la guía de implantación ISO 27002
- Serie NIST 800
- Metodologías OWASP
- Marco CobIT
Seguridad en internet
3DEXPERIENCE tiene implementados múltiples niveles de seguridad en la nube para asegurar que solo se procese el tráfico y las actividades previstas en su uso. Se emplean mecanismos independientes para filtrar todo el tráfico entrante de Internet, asegurando así la confiabilidad y evitando posibles vulnerabilidades en cadena. Además, su hosting está diseñado para resistir ataques DDoS.
Con el objetivo de garantizar la confidencialidad y la integridad de los datos compartidos se establecen canales de comunicación seguros entre el hosting y las instalaciones del cliente.
Seguridad a nivel de aplicación
La 3DEXPERIENCE se somete a un proceso de diseño y revisión de seguridad periódico muy estricto, con controles de seguridad integrados. El código se ajusta a las mejores prácticas y recomendaciones del sector y se somete a una doble revisión (interna y externa). Se presta especial atención a las principales amenazas OWASP. Cíclicamente, se realizan pruebas de penetración en su ecosistema para añadir una comprobación de protección adicional. Se lleva a cabo un proceso continuo de análisis para supervisar constantemente los distintos módulos de la plataforma.
Seguridad en la nube
Dentro de la nube de Dassault Systèmes, la seguridad del entorno del cliente se mantiene como una de las principales prioridades. Se garantiza la misma, una vez más, mediante capas independientes de soluciones. Además de la restricción del tráfico (cortafuegos), cada cliente trabaja en instancias independientes de los demás sistemas. Esta compartimentación está codificada a nivel de aplicación protegiendo los datos de sus clientes y usuarios.
La estructura del entorno también mitiga los riesgos clásicos de reconocimiento y ataques a la red, como el sniffing y la suplantación de IP, que no son factibles debido al propio diseño de la 3DEXPERIENCE.
Seguridad de los sistemas virtuales
Además de las actividades de seguridad típicas, como el parcheado de sistemas y la revisión de servicios, Dassault Systèmes lleva a cabo simulacros de ataques de forma regular. Estos simulacros no sólo sirven para evaluar la integridad del sistema, sino también la capacidad de reacción de los equipos técnicos y operativos. El carácter cíclico, aunque aleatorio, de estas pruebas garantiza una reunificación de las conclusiones (análisis causal).
Seguridad física
Los datos del cliente (o IP) se almacenan y procesan en centros de datos a los que solo puede acceder personal autorizado. Además, se supervisa y registra en todo momento el acceso físico a dichos centros y se llevan a cabo prácticas de copias de seguridad en caso de emergencia. La redundancia de discos y procedimientos de restauración también se utilizan para proteger el almacenamiento físico de los datos del cliente.
Pruebas y revisiones de seguridad de la nube 3DEXPERIENCE
La constante colaboración entre los equipos de I+D y seguridad permite que este aspecto esté completamente integrado en todo el proceso de desarrollo de soluciones de Dassault Systèmes. Gracias a este trabajo conjunto, la compañía identifica y aborda todos los potenciales problemas a los que se puede enfrentar 3DEXPERIENCE. Además de estos esfuerzos proactivos, se realizan pruebas independientes al menos una vez al año, y en cada cambio significativo de la plataforma, para verificar la seguridad de las distintas capas y la resistencia a intentos de penetración.
Asimismo, 3DEXPERIENCE ofrece a sus usuarios un control de acceso completo basado en roles. Esto permite que los propietarios de los datos establezcan derechos de acceso específicos. Además, el acceso a la aplicación solo se concede a través de una licencia válida. Los mecanismos basados en TLS garantizan una conectividad segura y minimizan el riesgo de escuchas o ataques Man-in-the-Middle.
Este post es un resumen de un informe más extenso de Dassault Systèmes, al que podéis acceder haciendo clic aquí. Esperamos haberos ayudado. Para cualquier consulta, nos podéis escribir a comercial@easyworks.es.
Autor: Xaquín Iglesias
Hola! Soy Xaquín Iglesias, graduado en Publicidad y Relaciones Públicas y gestiono el marketing de Easyworks. ¡Sí, soy ese al que culpar de los mails con promociones! 🙂 Apasionado de la comunicación, la publicidad y el marketing intento "ensamblar" mis conocimientos al gran trabajo de Easyworks.
