Register Now

Login

Lost Password

Enter your email to reset your password.

BY Author

Medidas de Seguridad en los S.I. (Hardering)

VÍTALY establece como principal objetivo de Seguridad de la Información en sus Sistemas, las siguientes bases sobre las aplicaciones externas y aquellas internas necesarias para su funcionamiento:

  • Disponibilidad: Para asegurar que todas las personas autorizados y procesos tengan acceso a la información cuando lo requieran.
  • Integridad: Para preservar la veracidad, completitud de la información y los métodos de procesamiento.
  • Confidencialidad: Para asegurar que a la información solo pueda ser accesible a las personas y procesos que cuenten con la autorización o con los permisos respectivos.
  • Trazabilidad. Para asegurar que las actuaciones de una entidad puedan ser imputadas exclusivamente a dicha entidad 
  • Autenticidad. Necesario para asegurar que la entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

La Política de Hardering de Vítaly está basada en tres principios:

  • Aplicar defensas en profundidad.
  • Otorgar a los usuarios el mínimo de privilegios posible.
  • La mejora continua de las prácticas de configuración disponibles.

Y ‘endurecer’ sus Sistemas creando, entre otras, las siguientes “líneas de seguridad”:

  • Firewall con IPSEC.
  • Las webs públicas están protegidas por un WAF, que, entre otras,  cuenta con las siguientes medidas de seguridad, IDS, DDOS, Block malicious IP addresses, Alert on admin panel request from outside, anti-spoofing, Request rate limiting per session, Dynamic rate limiting per ip origin, Protección OWASP, y protegiendo el tráfico entre los servidores e Internet de diferentes ataques Web tales como Cross Site Scripting, Remote and Local File Inclussion, SQL Injection, Buffer Overflows, Envenenamiento de cookies, etc.
  • Se controla el origen de las solicitudes mediante la configuración “Client Type” de las cabeceras (Browser, SearchBot, FeedFetcher, Crawler, MaskingProxy, AIBot, SiteHelper, etc.).
  • Las webs también cuentan con las siguientes medidas de seguridad: Anti-scraper engine, Facebot crawler, Credential stuffing attack, Restrict HTTP methods, Blocking malicious clients, Alert on high rate of malicious requests.
  • La Red esta segmentada en VLANs.
  • Los entornos están segmentados.
  • El acceso a las Plataformas públicas se realiza mediante doble factor de autenticación, pudiéndose configurar la caducidad de las contraseñas.

La transmisión telemática de la información desde las plataformas públicas de VÍTALY, está cifrada con certificados de seguridad en los servidores mediante SSL, cifrado RSA 2048 bits, certificado reconocido por el Centro Criptológico Nacional.

Estos cifrados SSL se dan tanto desde accesos externos a través del WAF, como de forma interna desde el balanceador, y son analizados y certificados por una solución Zero Trust Network Access.

  • Las conexiones remotas se realizan mediante tunelación VPN/IPSEC. La transmisión telemática de la información está cifrada con certificados de seguridad en los servidores mediante SSL cifrado RSA 2048 bits: certificado recomendado por el Centro Criptológico Nacional,  protocolos TLS v1.3 y TLS v1.2, con cifrado de TLS_AES_128_GCM_SHA256.

Este mismo cifrado se realiza en potenciales conexiones de nuestras aplicaciones con entornos y sistemas externos utilizando conectividad HTTPS sobre XML y SOAP.

Todas las comunicaciones cifradas se analizan mediante tecnología Zero Trust Network Access.

  • Todos los datos se cifran en reposo utilizando diferentes tipos de cifrado como XTSAES-256/AES-256.
  • Diariamente se realiza una copia de seguridad incremental de todas las bases de datos, tanto de clientes como de gestión y una copia completa semanal. Como medida de seguridad, VÍTALY verifica la integridad y disponibilidad de sus BackUp, realizando pruebas de restauración de estas sobre maquinas no productivas.
  • Las retenciones de las copias son:
    • Retención en disco Primario durante un mes de los Backup completos e incremental diario.
    • Retención secundaria en disco o en cinta de los Backup completos semanales durante un mes.
    • La retención de las copias de máquinas productivas son diarias e incrementales excepto los sábados que se realiza backup completo de la máquina, con 14 puntos de restauración.(14 días atrás).
    • Las copias se guardan en bucket de Google Store en Cloud.
  • Se comprueban diariamente las actualizaciones de los servidores.
  • El equipamiento dispone de una solución de seguridad Endpoint, con las siguientes medidas de seguridad: DLP, HIPS (que monitoriza de forma constante, los servidores y puestos de trabajo, en busca de actividades sospechosas), MTD (detección de tráfico malicioso), control Web (Web Filtering), control de Aplicaciones y periféricos, detección de malware con Deep Learning, escaneado de malware, protección contra archivos ransomware, prevención de exploits, Antivirus, cifrado de equipos portátiles, etc., gestionándose desde su Consola de Administración.
  • Las redes Wi-Fi está configurada con protocolos de encriptación WPA2 Enterprise y WPA3 SAE y son monitorizadas. Se cuenta con red de producción y red de invitados estando separadas entre ellas sin tener visibilidad entre ellas.
  • El servidor de correo está protegido con las siguientes funciones de seguridad:
    • Para asegurar la confidencialidad comunicaciones y garantizar el cumplimiento de requisitos reglamentarios, proporciona encriptación TLS integrada de puerta a puerta.
    • Protección contra spam, phishing, virus y malware
    • Denegación de servicio y protección contra ataques de recolección de directorios
    • Seguridad de contenidos entrantes
    • Aplicación de políticas salientes y Gestión del cumplimiento de políticas
    • Prevención de fugas de datos
    • Archivo de mensajes
    • Informes y Clasificación de mensajes
  • Se monitoriza a nivel de Red, Aplicaciones, Servidores, BB.DD., conexiones de los centros, WiFi, etc.
  • El acceso a los Sistemas por parte de los trabajadores de Vítaly Health Services se realiza mediante Zero Trust Network Access (ZTNA), solución de autenticación y autorización, que cuenta con la certificación de conformidad con el Esquema Nacional de Seguridad, categoría ALTA. ZTNA de Netskope, es una capa de seguridad por encima de la autenticación de los usuarios basada en el principio de confianza cero. Únicamente los usuarios autenticados tienen acceso directo a las aplicaciones autorizadas en su perfil y protegiendo cualquier otro recurso de accesos no autorizados
  • Se realiza controles de los derechos de acceso, y revisión de estos.
  • Controles de accesos físicos que cumplen con los puntos de control de la evaluación de riesgos de la ISO27001.
  • Las aplicaciones y sistemas registran en los logs cualquier actividad realizada por los usuarios: consulta, modificaciones, adiciones, eliminaciones, copias, etc. Se puede saber quién ha hecho algo y qué han hecho, y se controlan sus derechos de acceso.
Posted by