(Extracto) Adecuación a Esquema Nacional de Seguridad (ENS) de Plataforma

La documentación completa de adecuación al ENS de Onesait Platform está disponible para los usuarios de la versión Enterprise. Además, se revisa y ajusta para cada implantación.

Introducción

En los siguientes subapartados quedan enumeradas la selección de medidas de seguridad de carácter tecnológico que están resueltas por el diseño de la arquitectura de Onesait Platform con un enfoque de seguridad por defecto. También están incluidas medidas relativas a la implantación y explotación de la plataforma.

Antes de continuar con este documento se recomienda la lectura de ENS (Esquema Nacional de Seguridad) y la Plataforma

Marco Operacional

Está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.

Planificación

Análisis de riesgos

En la implantación de la plataforma se realizará un análisis de riesgos, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida; es decir, una presentación con tablas que describa los siguientes aspectos:

  • Identifique y valore cualitativamente los activos más valiosos del sistema.

  • Identifique y cuantifique las amenazas más probables.

  • Identifique y valore las salvaguardas que protegen de dichas amenazas.

  • Identifique y valore el riesgo residual.

Para este propósito se utilizará como base el catálogo de amenazas previsto en la metodología Magerit provisto por la ENS.

La siguiente tabla representa un análisis de riesgos con las amenazas más comunes en este tipo de sistemas.

AMENAZA

Salvaguardas

Riesgo residual

Errores y riesgos no intencionados

[E.1] Errores de los usuarios

Principio de mínimos privilegios.

Toda la información quedará trazada.

Bajo

[E.2] Errores del administrador

La organización realizará formaciones específicas a los administradores.

Bajo

[E.4] Errores de configuración

Toda la configuración es probada en entornos de prueba y preproducción antes de su paso a producción.

Bajo

[E.20] Vulnerabilidades de los programas (software)

La puesta en producción de una nueva versión pasa por pruebas funcionales y de seguridad en los entornos de prueba y preproducción.

Las versiones de software instaladas son versiones estables y con los parches de seguridad recomendadas por los fabricantes.

Bajo

[E.21] Errores de mantenimiento / actualización de programas (software)

La puesta en producción de una nueva versión pasa por pruebas funcionales y de seguridad en los entornos de prueba y preproducción.

Bajo

[E.24] Caída del sistema por agotamiento de recursos

La Infraestructura TIC cuenta con un sistema de monitorización y alertas que avisa al administrador del sistema cuando los recursos lleguen a los límites establecidos.

La infraestructura tiene capacidad elástica.

Bajo

[E.25] Pérdida de equipos

Los equipos tienen medidas de seguridad para proteger los datos contra acceso no autorizado.

Indra tiene establecidas directrices y políticas de seguridad, y procedimientos.

Bajo

[A] Ataques intencionados

[A.3] Manipulación de los registros de actividad (log)

Los archivos de Log están protegidos por usuarios del sistema

Sólo usuarios administradores pueden acceder a estos archivos con permisos de escritura. Las aplicaciones que generan estos Logs tienen permiso de escritura con usuario logado mediante certificado de clave privada.

Bajo

[A.4] Manipulación de la configuración

Los archivos de configuración están ubicados en localizaciones protegidos por usuarios de sistema.

Sólo usuarios administradores pueden acceder a estos archivos con permisos de escritura. Las aplicaciones que generan estos Logs tienen permiso de escritura con usuario logado mediante certificado de clave privada.

Bajo

[A.5] Suplantación de identidad del usuario

El acceso debe realizarse mediante autenticación, configurable con doble factor o por certificados como DNI.

La organización ha de seguir en todo momento las normas de tratamiento de contraseñas establecidas.

Bajo

[A.6] Abuso de privilegios de acceso

La organización debe seguir las normas el principio de mínimos privilegios. Se seguirán políticas de empresa de formación y concienciación.

Bajo

[A.12] Análisis de tráfico

Todas las comunicaciones serán cifradas mediante certificados de clave privada y firmados por entidad certificadora.

Toda comunicación ha de realizarse tras identificación en el sistema.

Protección firewall contra ataques.

Bajo

[A.14] Interceptación de información (escucha)

Todas las comunicaciones serán cifradas mediante certificados de clave privada y firmados por entidad certificadora.

Toda comunicación ha de realizarse tras identificación en el sistema.

Bajo

[A.15] Modificación deliberada de la información

El personal recibe periódicamente cursos de formación y concienciación en esta materia.

La organización ha de seguir en todo momento las normas de tratamiento de contraseñas establecidas.

Bajo

[A.18] Destrucción de información

El personal recibe periódicamente cursos de formación y concienciación en esta materia.

La información está protegida en los sistemas bajo privilegios especiales.

La organización ha de seguir en todo momento las normas de tratamiento de contraseñas establecidas.

Bajo

[A.19] Divulgación de información

El personal debe recibir la formación necesaria para no difundir sus claves.

La organización ha de seguir en todo momento las normas de tratamiento de contraseñas establecidas.

Bajo

Control de acceso

[op.acc.1] Identificación

Cada usuario tiene un identificador único a través de una cuenta. Si un usuario debe tener distintos roles recibirá identificadores distintos de forma que de forma que siempre queden delimitados privilegios y registros de actividad.

Cada cuenta de usuario tiene asociados un rol y unos permisos específicos que pueden ser asignados y revocados. Asimismo, todas las acciones llevadas a cabo por un usuario dejan huella en un registro de auditorías de forma que se puede saber quién ha hecho algo y qué ha hecho.

Las cuentas de usuario son gestionables desde usuarios con roles específicos de forma que puedan ser inhabilitadas. Las cuentas inhabilitadas y sus registros de actividad quedan retenidas en el sistema un periodo de tiempo configurable de forma que puedan cumplirse los periodos de retención aplicables a cada implantación.

[op.acc.2] Requisitos de acceso

El acceso a todos los recursos del sistema está protegido por autenticación y su uso está restringido al usuario que lo creó y a usuarios y grupos a los que se ha concedido acceso de forma específica por roles autorizados.

Existe la posibilidad de marcar recursos para su acceso público. Esta opción nunca es la opción por defecto y debe llevarla a cabo un usuario con permisos especiales sobre ese recurso.

El acceso a los parámetros de configuración y a los módulos/componentes de Onesait Platform están restringidos únicamente a usuarios administradores y operadores del sistema.

[op.acc.3] Segregación de funciones y tareas

El sistema de control de acceso está diseñado con roles específicos con distintas funciones dentro del sistema.

A nivel de usuario de la plataforma, los roles que debe conocer un usuario son estos:

  • USER (ROLE_USER): Este rol tiene acceso en modo consulta a la plataforma, es decir, puede consumir información de la plataforma generada por otros, pero no subir información, puede por tanto consumir dashboards, APIs, consultar ontologías, ...

  • DEVELOPER (ROLE_DEVELOPER): Este rol puede usar todas las capacidades DaM e IoT de la plataforma sin restricciones, puede crear ontologías, APIs, reglas, ... Es el usuario tipo de la plataforma, y el que se crea por defecto. Tiene limitada su acceso a las capacidades IA de la plataforma, para controlar el consumo de recursos de la instalación.

  • ANALYTICS (ROLE_DATASCIENTIST): Este rol amplía las capacidades del rol Developer, permitiendo el acceso a las herramientas analíticas e IA, por tanto, tiene acceso al DataFlow, a los Notebooks, a los Modelos, ...

  • ADMINISTRATOR (ROLE_ADMINISTRATOR): Este rol tiene acceso de administración al Control Panel de la Plataforma. Desde ahí puede gestionar todos los conceptos de una instancia de la plataforma creados por el resto de usuarios, incluyendo gestión de usuarios, ontologías, permisos, ...

Internamente, la plataforma gestiona un conjunto de roles que permiten la operación y gestión de una instalación de la plataforma:

  • DEVOPS (ROLE_DEVOPS): Este rol se encarga de gestionar el proceso de CI/CD de la plataforma. Tiene acceso al Jenkins que se gestiona desde la plataforma, desde donde puede lanzar los pipelines de compilación y generación de versiones, tanto de plataforma como de verticales y micro servicios desplegados sobre la plataforma.

  • OPERATIONS (ROLE_OPERATIONS): Este rol sólo tiene acceso a las herramientas de monitorización de la plataforma, pudiendo saber el estado en el que se encuentra cada módulo y pudiendo generar alertas desde estas.

  • SYS_ADMIN (ROLE_SYS_ADMIN): Este rol tiene los accesos de administración de sistema, permitiendo el acceso a la infraestructura subyacente de la plataforma.

Además de estos roles principales, existen dos roles más con características especiales:

  • VIEWER (ROLE_DATAVIEWER): Este rol es un subrol del rol USER, permite sólo el acceso a los Dashboards y Marketplace.

  • PARTNER (ROLE_PARTNER): Este rol contribuye al ecosistema de la plataforma pudiendo crear soluciones que se comercializan junto a la plataforma y por tanto tiene todos los permisos del Rol ANALYTICS más acceso a una parte de la Consola de Operación de la plataforma para poder desplegar y operar su vertical.

[op.acc.4] Proceso de gestión de derechos de acceso

Como consecuencia de la segregación de funciones y tareas materializadas en los roles expuestos en la medida anterior, [op.acc.4], la plataforma Onesait Platform cumple con los siguientes principios en la gestión de derechos de acceso:

  • Mínimo privilegio: Los privilegios de cada usuario están reducidos al mínimo estrictamente necesario para cumplir sus obligaciones

  • Necesidad de conocer: Los privilegios están limitados de forma que los usuarios sólo acceden a la información requerida para cumplir sus obligaciones.

  • Capacidad de autorizar: Sólo y exclusivamente el personal con competencia para ello, puede conceder, alterar o anular la autorización de acceso a los recursos, conforme a los criterios establecidos por su responsable.

[op.acc.5] Mecanismos de autenticación

Onesait Platform puede ser configurada con diversos mecanismos de autenticación en función de los requisitos de seguridad:

  • Usuario y contraseña.

  • Certificados digitales: Como puede ser el DNI electrónico u otros firmados y expedidos por autoridades competentes.

  • Doble factor de autenticación: Autenticación acompañada de SMS o email con código de verificación.

[op.acc.6] Acceso local y [op.acc.7] Acceso remoto

Los intentos de acceso fallidos no revelan al usuario información sensible. El número de intentos de acceso está limitado de forma configurable bloqueando además temporalmente el intento de acceso tras cada fallo para evitar así ataques de fuerza bruta.

Al tratarse de una plataforma en modo servicio todos los accesos son remotos. El proveedor de servicios de infraestructura seleccionado permite la creación de VPNs en la nube de forma que es posible proteger los accesos a los servicios deseados mediante redes privadas.

Explotación

[op.exp.1] Inventario de activos

Se mantendrá un inventario actualizado de todos los elementos del sistema, detallando su naturaleza e identificando a su responsable; es decir, la persona que es responsable de las decisiones relativas al mismo.

[op.exp.2] Configuración de seguridad

Se configurarán los equipos previamente a su entrada en operación, de forma que:

  • Se retiren cuentas y contraseñas estándar.

  • Se aplica la regla de "mínima funcionalidad", de forma que sólo quedarán activas aquellas funcionalidades requeridas para el cumplimiento de requisitos.

  • Se eliminará o desactivará mediante el control de la configuración, aquellas funciones que no sean de interés, no sean necesarias, e incluso, aquellas que sean inadecuadas al fin que se persigue.

  • Se aplicará la regla de "seguridad por defecto". Es decir, todos los recursos protegidos por defecto y los permisos sobre ellos deben ser otorgados por los usuarios responsables.

[op.exp.3] Gestión de la configuración

Se gestionará de forma continua la configuración de los componentes del sistema de forma que:

  • Se mantenga en todo momento la regla de “funcionalidad mínima" ([op.exp.2]).

  • Se mantenga en todo momento la regla de “seguridad por defecto" ([op.exp.2]).

  • El sistema se adapte a las nuevas necesidades, previamente autorizadas ([op.acc.4]).

  • El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).

  • El sistema reaccione a incidentes (ver [op.exp.7]).

[op.exp.4] Mantenimiento

Para mantener el equipamiento físico y lógico que constituye el sistema, se aplicará lo siguiente:

  • Se atenderá a las especificaciones de los fabricantes en lo relativo a instalación y mantenimiento de los sistemas.

  • Se efectuará un seguimiento continuo de los anuncios de defectos.

  • Se dispondrá de un procedimiento para analizar, priorizar y determinar cuándo aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones. La priorización tendrá en cuenta la variación del riesgo en función de la aplicación o no de la actualización.

[op.exp.5] Gestión de cambios

Se mantendrá un control continuo de cambios realizados en el sistema, de forma que:

  • Las actualizaciones de Onesait Platform serán analizados para determinar su conveniencia para ser incorporados, o no.

  • Antes de poner en producción una nueva versión o una versión parcheada, se comprobará en un equipo que no esté en producción, que la nueva instalación funciona correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario. El equipo de pruebas será equivalente al de producción en los aspectos que se comprueban.

  • Los cambios se planificarán para reducir el impacto sobre la prestación de los servicios afectados.

  • Mediante análisis de riesgos se determinará si los cambios son relevantes para la seguridad del sistema. Aquellos cambios que impliquen una situación de riesgo de nivel alto serán aprobados explícitamente de forma previa a su implantación.

[op.exp.8] Registro de actividad de los usuarios

Se registrarán las actividades de los usuarios en el sistema, de forma que:

  • El registro indicará quién realiza la actividad, cuándo la realiza y sobre qué información.

  • Se incluirá la actividad de los usuarios y, especialmente, la de los operadores y administradores en cuanto puedan acceder a la configuración y actuar en el mantenimiento del sistema.

  • Deberán registrarse las actividades realizadas con éxito y los intentos fracasados.

Onesait Platform implementa la siguiente funcionalidad:

  • La plataforma dispone de un sistema de auditoría que permite que cada operación que ocurre en la plataforma sea auditada. Entre estas operaciones se incluye inicios de sesión y cierres de sesión en el Panel de control, comunicaciones entre dispositivos y sistemas, etc.

  • La información asociada a la auditoría se almacena en una ontología particular de cada usuario para que cada usuario pueda acceder a esta información de una manera simple (y, por ejemplo, crear un panel de monitorización).

  • Para esto, cuando un usuario se registra en la plataforma, se crea una ontología con identificación Audit_ <userName>

  • Los usuarios administradores pueden acceder a la información de auditoría de cualquier usuario.

[op.exp.9] Registro de la gestión de incidentes

Se registrarán todas las actuaciones relacionadas con la gestión de incidentes, de forma que:

  • Se registrará el reporte inicial, las actuaciones de emergencia y las modificaciones del sistema derivadas del incidente.

  • Se registrará aquella evidencia que pueda, posteriormente, sustentar una demanda judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disciplinarias sobre el personal interno, sobre proveedores externos o a la persecución de delitos. En la determinación de la composición y detalle de estas evidencias, se recurrirá a asesoramiento legal especializado.

  • Como consecuencia del análisis de los incidentes, se revisará la determinación de los eventos auditables.

[op.exp.11] Protección de claves criptográficas

Las claves criptográficas se protegerán durante todo su ciclo de vida según los protocolos definidos durante la implantación de la plataforma:

  • Generación.

  • Transporte al punto de explotación.

  • Custodia durante la explotación.

  • Archivo posterior a su retirada de explotación activa.

  • Destrucción final.

Monitorización del sistema

[op.mon.1] Detección de intrusión

La detección intrusión a los sistemas está asegurada por las capacidades del proveedor de infraestructura, que a través de la monitorización activa de los sistemas contratados monitoriza cualquier elemento instalado que forme parte de la infraestructura del Cloud, recogiendo datos en forma de registros, métricas y eventos, ofreciendo una vista unificada y correlacionada de los mismos. Además, este servicio incorpora un sistema de alarmas que puede ser utilizado para detectar de forma automatizada comportamientos anómalos en los datos, así como puede usarse para resolver problemas de forma automatizada para mantener los sistemas en ejecución

[op.mon.2] Sistema de métricas

Además de la monitorización del proveedor Cloud, a nivel de Monitorización se ofrecen herramientas que nos permiten consultar el estado de la seguridad y monitorizar todos los componentes hardware y software y la plataforma incluye Consola CaaS, el Monitoring UI y el módulo de auditoría de la plataforma.

Medidas de protección

Centradas en proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.

Protección de las comunicaciones

[mp.com.1] Perímetro seguro

Se dispondrá un sistema cortafuegos que separe la red interna del exterior. Todo el tráfico deberá atravesar dicho cortafuegos que sólo dejará transitar los flujos previamente autorizados.

El firewall contempla, entre otras, las siguientes reglas:

  • Los protocolos y puertos no seguros deben estar deshabilitados por defecto (puerto 80, protocolo http, tcp sin certificado).

  • Bloquear paquetes inválidos.

  • Bloquear nuevos paquetes que no son SYN.

  • Bloquear valores de MSS poco frecuentes.

  • Bloquear paquetes de subredes privadas (Spoofing).

  • Bloquear ataques de conexión.

  • Limitar de nuevas conexiones por segundo.

  • Bloquear de paquetes fragmentados.

  • Limitar los paquetes entrantes de TCP RST para mitigar las inundaciones de TCP RST.

Durante la implantación de la Plataforma, y atendiendo a un análisis de riesgos, quedará determinado el conjunto de reglas a implantar en el firewall.

[mp.com.2] Protección de la confidencialidad

Se emplearán redes privadas virtuales cuando la comunicación discurra por redes fuera del propio dominio de seguridad dónde sea posible. Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.

[mp.com.3] Protección de la autenticidad y de la integridad

Todas las comunicaciones están protegidas por certificados SSL o certificados electrónicos como DNI.

Protección de la información

[mp.info.1] Datos de carácter personal

De acuerdo con esta regulación de la UE 2016/679 para la protección de datos (GDPR), la plataforma adopta los requerimientos necesarios en el diseño y desarrollo de software para garantizar la privacidad y la protección de datos personales para el usuario en cualquier escenario posible. Los usuarios tendrán sus datos personales asegurados y protegidos. Podrán definir las restricciones y utilizar las asignaciones de la información, garantizando en todo momento los derechos establecidos en el GDPR.

  • Principio de responsabilidad (Accountability)

Onesait Platform implementa los mecanismos adoptando las medidas necesarias para el tratamiento de los datos personales como exige la norma cumpliendo con:

  • Responsabilidad.

  • Rendición de cuentas.

  • Principios de protección

Desde el inicio de Onesait Platform, se enfocó el diseño en el completo cumplimiento de la norma, adoptando las medidas necesarias en todos los procesos que impliquen tratamiento de datos, como regla y desde el origen. La plataforma proporciona mecanismos de autenticación, autorización (por roles) y encriptación (información encriptada), tanto en la transferencia de información de sistemas y dispositivos a la plataforma, como en el consumo de información almacenada. Esto garantiza la confidencialidad e integridad de la información almacenada, cumpliendo en todo momento con:

  • Protección de datos por diseño y por defecto.

  • Anonimización.

  • Principio de transparencia

Onesait Platform es completamente transparente, tanto a nivel de arquitectura como gestión de los datos. La plataforma es una solución open-source, que dispone de la versión Onesait Platform Community en GitHub. Onesait Platform contempla en todo momento:

  • Derecho de acceso.

  • Derecho de borrado.

  • Registros de actividades de procesamiento.

  • Permite la existencia de un oficial de protección de datos.

El usuario tendrá la posibilidad de gestionar tanto su perfil como toda su información, desde el ControlPanel, manteniendo un principio de transparencia y privacidad completo para el usuario.

  • Registro y opciones de privacidad

Para registrar una cuenta en el sistema, los usuarios deben aceptar los términos y condiciones para usar la plataforma.

Se informa a los usuarios sobre el uso de los datos y derechos de acuerdo con el GDPR y cómo ejercerlos (información de contacto). Después de eso, al usar solo las credenciales (usuario / contraseña), un usuario puede acceder a su cuenta personal de la plataforma.

Una vez que el usuario ha eliminado su cuenta, toda la información del usuario también se elimina si el usuario la marcó como "privada". Si la información (ontologías) se verificó como "pública", esa información permanecerá.

El usuario puede definir las opciones de privacidad de acuerdo con el GDPR:

  • Forget my data: El usuario puede eliminar cualquier información contenida en las ontologías que posea.

  • Revoke consent: El usuario puede revocar cualquier consentimiento otorgado previamente.

  • View my data: El usuario puede consultar los datos almacenados en las ontologías de las que es propietario.

  • Forget me: El usuario puede eliminar su perfil, eliminando toda la información.

[mp.info.9] Copias de seguridad (Backup)

Se aprovecharán las facilidades y herramientas que provee el Cloud, concretamente el concepto de snapshot que permite realizar una copia de seguridad de los datos, permitiendo tomar las instantáneas en un momento dado y funcionando de forma incremental, ahorrando costes de almacenamiento. Estos snapshots contienen la información necesaria para restaurar los datos sobre un volumen final, produciendo una réplica exacta del volumen original. Los volúmenes replicados cargan los datos en segundo plano, permitiendo comenzar a utilizarlos inmediatamente.

Protección de los servicios

[mp.s.2] Protección de servicios y aplicaciones web

Onesait Platform implementa por defecto las siguientes medidas para la protección de sus servicios y aplicaciones:

  • Protección contra la automatización. Posibilidad de habilitar CAPTCHA.

  • Protección contra inyección de código.

  • Protección contra cross-site scripting.

  • Restricción de permisos y accesos por defecto.

  • Protección contra Cross-Site Request Forgery.

  • Cookie de sesión seguras.

  • Políticas contra contraseñas débiles.

  • Protocolo SSL inseguro y HTTPS en todos los servicios expuestos.

  • Recursos innecesarios.

  • Control de throttling.

  • Actualización periódica de Librerías y herramientas utilizadas en cada release, de forma que se eliminan las vulnerabilidades conocidas.

[mp.s.8] Protección frente a la denegación de servicio

  • Protección a nivel de aplicación proporcionado por Onesait Platform

    • Limitación de número de accesos erróneos.

    • Control de throttling en las APIs expuestas.

    • Actualización a las últimas versiones estables de software en cada release.

  • Protección proporcionada por el proveedor de servicios de infraestructura

Explicado en la medida de seguridad [mp.com.1]. Perímetro seguro.

  • Dimensionamiento del sistema y escalado

El dimensionamiento del sistema previsto tiene capacidad suficiente para soportar incrementos de demanda. Asimismo, las capacidades de escalabilidad y robustez proporcionan la flexibilidad para soportar estos incrementos en la demanda.