...
| Info |
|---|
La documentación completa de adecuación al ENS de Onesait Platform está disponible para los usuarios de la versión Enterprise. Además, se revisa y ajusta para cada implantación. |
...
En la implantación de la plataforma se realizará un análisis de riesgos, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida. Es ; es decir, una presentación con tablas que describa los siguientes aspectos:
...
La siguiente tabla representa un análisis de riesgos con las amenazas más comunes en este tipo de sistemas.
AMENAZA | Salvaguardas | R. Riesgo residual |
Errores y riesgos no intencionados | ||
[E.1] Errores de los usuarios | Principio de mínimos privilegios. Toda la información quedará trazada. | Bajo |
[E.2] Errores del administrador | La organización realizará formaciones específicas a los administradores. | Bajo |
[E.4] Errores de configuración | Toda la configuración es probada en entornos de prueba y preproducción antes de su paso a producción. | Bajo |
[E.20] Vulnerabilidades de los programas (software) | La puesta en producción de una nueva versión pasa por pruebas funcionales y de seguridad en los entornos de prueba y preproducción. Las versiones de software instaladas son versión estable versiones estables y con los parches de seguridad recomendadas por los fabricantes. | Bajo |
[E.21] Errores de mantenimiento / actualización de programas (software) | La puesta en producción de una nueva versión pasa por pruebas funcionales y de seguridad en los entornos de prueba y preproducción. | Bajo |
[E.24] Caída del sistema por agotamiento de recursos | La Infraestructura TIC cuenta con un sistema de monitorización y alertas que avisa al administrador del sistema cuando los recursos lleguen a los límites establecidos. La infraestructura tiene capacidad elástica. | Bajo |
[E.25] Pérdida de equipos | Los equipos tienen medidas de seguridad para proteger los datos contra acceso no autorizado. Indra tiene establecidas directrices y políticas de seguridad, y procedimientos. | Bajo |
[A] Ataques intencionados | ||
[A.3] Manipulación de los registros de actividad (log) | Los archivos de Log están protegidos por usuarios del sistema Sólo usuarios administradores pueden acceder a estos archivos con permisos de escritura. Las aplicaciones que generan estos Logs tienen permiso de escritura con usuario logado mediante certificado de clave privada. | Bajo |
[A.4] Manipulación de la configuración | Los archivos de configuración están ubicados en localizaciones protegidos por usuarios de sistema. Sólo usuarios administradores pueden acceder a estos archivos con permisos de escritura. Las aplicaciones que generan estos Logs tienen permiso de escritura con usuario logado mediante certificado de clave privada. | Bajo |
[A.5] Suplantación de identidad del usuario | El acceso debe realizarse mediante autenticación, configurable con doble factor o por certificados como DNI. La organización ha de seguir en todo momento las normas de tratamiento de contraseñas establecidas. | Bajo |
[A.6] Abuso de privilegios de acceso | La organización debe seguir las normas el principio de mínimos privilegios. Se seguirán políticas de empresa de formación y concienciación. | Bajo |
[A.12] Análisis de tráfico | Todas las comunicaciones serán cifradas mediante certificados de clave privada y firmados por entidad certificadora. Toda comunicación ha de realizarse tras identificación en el sistema. Protección firewall contra ataques. | Bajo |
[A.14] Interceptación de información (escucha) | Todas las comunicaciones serán cifradas mediante certificados de clave privada y firmados por entidad certificadora. Toda comunicación ha de realizarse tras identificación en el sistema. | Bajo |
[A.15] Modificación deliberada de la información | El personal recibe periódicamente cursos de formación y concienciación en esta materia. La organización ha de seguir en todo momento las normas de tratamiento de contraseñas establecidas. | Bajo |
[A.18] Destrucción de información | El personal recibe periódicamente cursos de formación y concienciación en esta materia. La información está protegida en los sistemas bajo privilegios espacialesespeciales. La organización ha de seguir en todo momento las normas de tratamiento de contraseñas establecidas. | Bajo |
[A.19] Divulgación de información | El personal debe recibir la formación necesaria para no difundir sus claves. La organización ha de seguir en todo momento las normas de tratamiento de contraseñas establecidas. | Bajo |
...
USER (ROLE_USER): Este rol tiene acceso en modo consulta a la plataforma, es decir, puede consumir información de la plataforma generada por otros, pero no subir información, puede por tanto consumir dashboards, APIs, consultar ontologías, ...
DEVELOPER (ROLE_DEVELOPER): Este rol puede usar todas las capacidades DaM e IoT de la plataforma sin restricciones, puede crear ontologías, APIs, reglas, ... Es el usuario tipo de la plataforma, y el que se crea por defecto. Tiene limitada su acceso a las capacidades IA de la plataforma, para controlar el consumo de recursos de la instalación.
ANALYTICS (ROLE_DATASCIENTIST): Este rol amplía las capacidades del rol Developer, permitiendo el acceso a las herramientas analíticas e IA, por tanto, tiene acceso al DataFlow, a los Notebooks, a los Modelos, ...
ADMINISTRATOR (ROLE_ADMINISTRATOR): Este rol tiene acceso de administración al Control Panel de la Plataforma, desde . Desde ahí puede gestionar todos los conceptos de una instancia de la plataforma creados por el resto de usuarios, incluyendo gestión de usuarios, ontologías, permisos, ...
...
DEVOPS (ROLE_DEVOPS): Este rol se encarga de gestionar el proceso de CI/CD de la plataforma, tiene . Tiene acceso al Jenkins que se gestiona desde la plataforma, desde donde puede lanzar los pipelines de compilación y generación de versiones, tanto de plataforma como de verticales y micro servicios desplegados sobre la plataforma.
OPERATIONS (ROLE_OPERATIONS): Este rol sólo tiene acceso a las herramientas de monitorización de la plataforma, pudiendo saber el estado en el que se encuentra cada módulo y pudiendo generar alertas desde estas.
SYS_ADMIN (ROLE_SYS_ADMIN): Este rol tiene los accesos de administración de sistema, permitiendo el acceso a la infraestructura subyacente de la plataforma.
...
Onesait Platform puede ser configurada con diversos mecanismos de autenticación en función de los requisitos de seguridad:
Usuario y contraseña.
Certificados digitales: Como puede ser el DNI electrónico u otros firmados y expedidos por autoridades competentes.
Doble factor de autenticación: Autenticación acompañada de SMS o email con código de verificación.
...
Se retiren cuentas y contraseñas estándar.
Se aplica la regla de "mínima funcionalidad": De , de forma que sólo quedarán activas aquellas funcionalidades requeridas para el cumplimiento de requisitos.
Se eliminará o desactivará mediante el control de la configuración, aquellas funciones que no sean de interés, no sean necesarias, e incluso, aquellas que sean inadecuadas al fin que se persigue.
Se aplicará la regla de "seguridad por defecto". Es decir, todos los recursos protegidos por defecto y los permisos sobre ellos deben ser otorgados por los usuarios responsables.
...