Nuestra estrategia de seguridad incluye los siguientes componentes
- Seguridad organizativa
- Seguridad de aplicaciones/datos
- Seguridad operativa
- Gestión de incidentes
- Divulgación responsable
- Controles del cliente para la seguridad
Disponemos de un Sistema de Gestión de la Seguridad de la Información (ISMS) que tiene en cuenta nuestros objetivos de seguridad y los riesgos y atenuantes relativos a todas las partes interesadas. Empleamos políticas y procedimientos estrictos que abarcan la seguridad, disponibilidad, procesamiento, integridad y confidencialidad de los datos de los clientes.
Comprobación de los antecedentes de los empleados
Cada empleado se somete a un proceso de verificación de antecedentes antes de comenzar a trabajar con nosotros. Contratamos a prestigiosas agencias externas para que realicen esta comprobación en nuestro nombre. Lo hacemos para verificar sus antecedentes penales, sus antecedentes laborales, si los hay, y su formación académica. Hasta que no se realice esta comprobación, no se asignarán al empleado tareas que puedan suponer riesgos para los usuarios.
Concienciación sobre la seguridad
Cada empleado, en el momento de su incorporación, firma un acuerdo de confidencialidad y una política de uso aceptable, tras lo cual recibe capacitación en seguridad de la información, privacidad y cumplimiento. Además, evaluamos su comprensión mediante pruebas y cuestionarios para determinar en qué temas necesitan más capacitación. Les proporcionamos capacitación sobre aspectos específicos de la seguridad que puedan necesitar en función de sus roles.
Educamos continuamente a nuestros empleados sobre la seguridad de la información, la privacidad y el cumplimiento de las normas en nuestra comunidad interna, donde nuestros empleados se registran regularmente, para mantenerlos al día sobre las prácticas de seguridad de la organización. También organizamos eventos internos para fomentar la concienciación e impulsar la innovación en materia de seguridad y privacidad.
Equipos de seguridad y privacidad dedicados
Contamos con equipos dedicados a la seguridad y la privacidad que implementan y gestionan nuestros programas de seguridad y privacidad. Regulan y mantienen los sistemas de defensa, desarrollan procesos de revisión de la seguridad y monitorean constantemente nuestras redes para detectar actividades sospechosas. Proporcionan servicios de consultoría y orientación en dominios específicos a nuestros equipos de ingeniería.
Auditoría interna y cumplimiento
Contamos con un equipo dedicado al cumplimiento de las normas para revisar los procedimientos y políticas en Endpoint Central con el fin de alinearlos con las normas y determinar qué controles, procesos y sistemas son necesarios para cumplirlas. Este equipo también realiza auditorías internas periódicas y facilita auditorías y evaluaciones independientes por parte de terceros.
Para más detalles, consulte nuestra cartera de cumplimiento.
Seguridad de los endpoints
Todas las estaciones de trabajo entregadas a los empleados de Endpoint Central funcionan con versiones actualizadas del sistema operativo y están configuradas con software antivirus. Están configuradas de forma que cumplan nuestras normas de seguridad, que exigen que todos los puestos de trabajo estén correctamente configurados, parcheados y que sean controlados y monitoreados por las soluciones de gestión de endpoints de ManageEngine. Estas estaciones de trabajo son seguras de forma predeterminada, ya que están configuradas para cifrar los datos en reposo, tienen contraseñas seguras y se bloquean cuando están inactivas. Los dispositivos móviles utilizados con fines empresariales se registran en el sistema de gestión de dispositivos móviles para garantizar que cumplan nuestros estándares de seguridad.
Seguro desde el diseño
Nos adherimos a las directrices de codificación segura del ciclo de vida de desarrollo de software (SDLC) y todos nuestros desarrolladores son conscientes de estas directrices. Como paso siguiente, examinamos los cambios en el código en busca de posibles problemas de seguridad revisándolo manualmente primero y utilizando después nuestro analizador de código. Antes del lanzamiento de cualquier nueva función, se lleva a cabo todo este proceso. Si surge algún problema durante esta comprobación, se rectifica inmediatamente. Además, en la capa de aplicación se implementa un sólido marco de seguridad basado en los estándares OWASP. Este marco proporciona medios para mitigar amenazas como la inyección SQL, el scripting entre sitios, los ataques DoS en la capa de aplicación, la inyección de código, la omisión de autenticación y las vulnerabilidades relacionadas con la carga de archivos. Por si fuera poco, realizamos sesiones periódicas para mantener informados a los desarrolladores sobre las prácticas de codificación segura.
Identidad y control de acceso
Inicio de sesión único (SSO):
proveedor de identidades de su empresa, como AD FS, Okta, etc., con los servicios de Endpoint Central como proveedor de servicios. El SSO simplifica el proceso de inicio de sesión, garantiza el cumplimiento de las normas de seguridad y proporciona un control de acceso efectivo a los usuarios/administradores. Esto también reduce el riesgo de fatiga de contraseñas y, por tanto, de contraseñas débiles.
Autenticación de dos factores:
La autenticación de dos factores proporciona una capa adicional de seguridad al exigir al usuario una verificación adicional. Esto reduce el riesgo de acceso no autorizado si la contraseña de un usuario se ve comprometida. La autenticación de dos factores puede realizarse a través del correo electrónico o de una aplicación de autenticación como Zoho OneAuth, Google Authenticator, Microsoft Authenticator, DUO Auth, etc.
Control de acceso basado en roles:
El control de acceso basado en roles permite que solo los usuarios autorizados accedan a una función específica. Los usuarios solo pueden acceder a las funcionalidades permitidas a su rol designado. Seguimos permisos basados en roles para minimizar el riesgo de exposición de los datos.
Agente de seguridad
Comunicación de confianza:
El agente siempre envía su identidad, que está cifrada, al servidor para la autenticación mutua. Solo un agente con un certificado de confianza puede contactar o interactuar con el servidor. Se puede configurar para adaptarlo a las necesidades de cada uno. Consulte este documento para obtener más información al respecto.
Autenticación de certificados de clientes:
El servidor de Endpoint Central utiliza la autenticación de certificados de cliente para autenticar los equipos instalados con agentes que intenten establecer una conexión con el servidor. Cada agente tendrá un certificado único y su correspondiente clave privada firmada por la autoridad de certificación raíz de confianza del servidor. Si la validación del certificado y de la clave se realiza correctamente, el servidor se conecta al agente o, de lo contrario, se interrumpe la conexión. Obtenga más información sobre cómo configurarlo aquí.
Varios::
i) El acceso de un agente a cualquier dato del servidor está restringido únicamente a su dominio actual.
ii) Todos los binarios de los agentes se firman utilizando la firma ZOHOCORP.
iii) Las rutas de carga de los archivos DLL están restringidas a los directorios instalados por el agente.
iv) La ruta binaria del servicio del agente está restringida a la carpeta del agente.
Cifrado
a) En tránsito:
- Cualquier transferencia de datos de la aplicación del agente al servidor se realiza mediante un protocolo de cifrado robusto, HTTPS. Los usuarios pueden elegir HTTPS como protocolo predeterminado para todas las comunicaciones directamente desde la consola web.
- Los usuarios pueden desactivar la versión anterior de TLS en la consola web. La compatibilidad con versiones anteriores de TLS está presente para gestionar equipos que funcionen con versiones anteriores de Windows. Además, TLS 1.2 y los cifrados seguros son compatibles con los sistemas más recientes.
b) En reposo:
Los datos sensibles, como contraseñas, autenticadores y similares, que se almacenen en la base de datos se cifran mediante el estándar de cifrado avanzado (AES) de 256 bits. Se obtiene una clave de instalación única que se utiliza para el cifrado de cada cliente.
Protección de bases de datos
Solo se puede acceder a la base de datos proporcionando credenciales específicas de la instancia y está limitada al acceso del host local. Las contraseñas almacenadas tienen un hash unidireccional y se filtran de todos nuestros logs. Además, la base de datos reside únicamente en el entorno del cliente.
Protección binaria de aplicaciones
Evita la carga de DLL de malware desde los binarios del agente.
General
En Endpoint Central, disponemos de verificación de firmas para nuestros archivos PPM (parche). Durante la actualización de PPM, si se manipula alguno de los archivos de PPM, UpdateManager se negará a cargar el archivo para la actualización del servidor.
Seguridad de los datos de los clientes
Los datos del cliente residen únicamente en su propio entorno, en el caso de la versión on-premise. Los clientes del servicio en la nube disponen de un registro de auditoría detallado que abarca todas las operaciones realizadas por el usuario.
Nota: En caso de que algún cliente requiera ayuda para resolver algún problema, es posible que necesitemos los logs del cliente. El cliente carga los logs a través de un portal seguro de nuestra propiedad, al que solo puede acceder personal autorizado, y nos concede el permiso para acceder a ellos. Los logs se borrarán automáticamente transcurridos 25 días desde el momento de su carga.
Gestión de vulnerabilidades y parches
Contamos con un proceso dedicado a las vulnerabilidades que analiza activamente en busca de amenazas de seguridad o vulnerabilidades utilizando una combinación de herramientas de análisis de terceros certificados, y herramientas internas. Posteriormente, se realizan pruebas automatizadas y manuales. Además, el equipo de seguridad revisa activamente los informes de seguridad entrantes y monitorea las listas de correo públicas, las entradas de blog y los wikis para identificar incidentes de seguridad que puedan afectar a la empresa. Una vez que identificamos una vulnerabilidad que requiere reparación, se registra, se prioriza según su gravedad y se le asigna un propietario. Además, identificamos los riesgos asociados y los mitigamos parcheando los sistemas vulnerables o aplicando los controles pertinentes.
Tras evaluar la gravedad de la vulnerabilidad basándonos en el análisis de impacto, nos comprometemos a resolver el problema dentro de nuestro SLA definido. Dependiendo de la gravedad, enviamos avisos de seguridad a todos nuestros clientes describiendo la vulnerabilidad, el parche y las medidas que debe tomar el cliente.
Continuidad del negocio
- Disponemos de energía de reserva, sistemas de control de temperatura y sistemas de supresión y protección contra incendios para garantizar la continuidad de la actividad. Existen planes de continuidad de la actividad dedicados a la asistencia técnica.
- Disponemos de un plan bien diseñado de continuidad de la actividad y recuperación en caso de desastre que nos ayuda, en caso de interrupciones prolongadas del servicio que afecten a los servicios prestados a los clientes por factores ajenos a nuestra voluntad, por ejemplo, desastres naturales, catástrofes provocadas por el hombre, etc., a reanudar las operaciones de gestión de endpoints en la mayor medida posible y en un plazo mínimo. El plan abarca todas nuestras operaciones internas que garantizan la continuidad de los servicios a nuestros clientes. Disponemos de tres equipos de recuperación, a saber, el Equipo de Gestión de Emergencias (EMT), el Equipo de Recuperación de Desastres (DRT) y el equipo de Servicios Técnicos de Tecnologías de la Información (TI), para una mejor coordinación y asistencia entre los distintos equipos.
Contamos con un equipo dedicado a la gestión de incidentes. Le notificamos los incidentes de nuestro entorno que le conciernen, junto con las medidas adecuadas que debería tomar. Controlamos y cerramos los incidentes con las medidas correctivas adecuadas. Siempre que proceda, le proporcionaremos las pruebas necesarias sobre los incidentes que le afecten. Además, implementamos controles para evitar que se repitan situaciones similares.
Respondemos a los incidentes de seguridad o privacidad de los que nos informa a través de incidents@zohocorp.com, con alta prioridad. En caso de incidentes generales, lo notificaremos a los usuarios a través de nuestros blogs, foros y redes sociales. En el caso de incidentes específicos de un usuario individual o de una organización, notificaremos a la parte afectada a través de correo electrónico (utilizando la dirección de correo electrónico con la que se ha suscrito para recibir avisos de seguridad/notificación de violaciones de la seguridad de los datos y no su dirección de correo electrónico principal que está registrada con nosotros).
1. Para recibir avisos de seguridad puntuales sobre vulnerabilidades críticas o incidentes de seguridad, inicie sesión en Endpoint Central y vaya a Admin->Ajustes de seguridad->Ajustes de seguridad personalizados y suscríbase.
2. Para recibir notificaciones inmediatas en caso de cualquier violación de la seguridad de los datos, suscríbase a Notificación de la violación de la seguridad de los datos.
Nota: Es necesario que el usuario se suscriba a los avisos de seguridad/notificación de violación de la seguridad de los datos para recibir las notificaciones respectivas, ya que estos correos electrónicos solo pueden enviarse a los miembros suscritos.
Existe un programa de notificación de vulnerabilidades en "Bug Bounty", para llegar a la comunidad de investigadores, que reconoce y recompensa el trabajo de los investigadores de seguridad. Nos comprometemos a trabajar con la comunidad para verificar, reproducir, responder, legitimar e implementar soluciones adecuadas para las vulnerabilidades notificadas.
Si por casualidad encuentra alguna, le rogamos que la envíe a https://bugbounty.zohocorp.com/bb/info. Si desea informarnos directamente sobre vulnerabilidades, envíenos un correo electrónico a security@zohocorp.com.
En Endpoint Central nos tomamos la seguridad muy en serio y nos esforzamos continuamente por crear un entorno seguro con riesgos de seguridad mínimos. Sin embargo, como cliente, usted también asume la responsabilidad, ya que la seguridad es una calle de doble sentido. Se necesita un enfoque de "manos a la obra" para seguir reforzando constantemente la seguridad. Por favor, lea atentamente las recomendaciones de seguridad de Endpoint Central para saber qué puede hacer por su parte para lograr la máxima seguridad.
Conclusión
La seguridad de sus datos es su derecho y una misión interminable de Zoho. Seguiremos trabajando duro para mantener sus datos seguros, como siempre hemos hecho. Si tiene más dudas sobre este tema, eche un vistazo a nuestras preguntas frecuentes o escríbanos a security@manageengine.com.
