FIDO Alliance – autenticación On-Line

Se anunció recientemente la alianza FIDO (Fast IDentity Online) con el objetivo de ser la iniciativa que cambie la forma de autenticarse en Internet, eliminando la dependencia de las contraseñas mediante la utilización de alternativas biométricas y otras alternativas, aumentando el nivel de seguridad en las transacciones comerciales online. Buscan el reconocimiento de una organización de estándares del OSTP (Online secure transaction protocol) y que se abierto para que tanto empresas y sitios web lo incorporen de forma simple y transparente.

El Protocolo de transacciones en línea (Secure OSTP), y sus componentes de cliente / servidor de trabajo recopilando los datos recogidos de los usuarios en sus dispositivos – por ejemplo, si tiene un chip Trusted Platform Module, una webcam, un dispositivo de huellas digitales o datos biométricos o utilizar autenticación de dos factores. Esta información se combina en criptografía para crear un código compartido entre el servidor de  backend y el usuario.

Este sistema de autenticación multifactor puede ser utilizado por los usuarios de Internet en las transacciones de seguridad para garantizar la identidad, más allá de inicio de sesión simple y contraseña.

Una de las fuerzas impulsoras detrás de la Alianza FIDO es el jefe de seguridad de la información de PayPal, Michael Barrett.

La alianza aspira a no publicar sus especificaciones hasta la segunda mitad del año. El tipo de autenticación multi-flexible, propuesta por la norma Fido OSTP nunca se ha hecho antes, y sería una innovación importante.

Además de PayPal y Nok Nok Labs, los otros cuatro miembros fundadores de la Fido son Lenovo,  Validity Sensors, Agnitio e Infineon. Clain Anderson, director de software de Lenovo, dice que la esperanza es que el protocolo FIDO puede ser añadido como código sencillo y sin costo en todo tipo de ordenadores y teléfonos inteligentes. «Necesitamos algo que funcione en todo», dice.

Read More

Reduciendo los costos de las telecomunicaciones con VoIP

Es una constante en el mercado de las telecomunicaciones escuchar hablar de cómo el mercado de la telefonía fija tradicional se encuentra en constante reducción debido a la irrupción hace unos años de las comunicaciones sobre IP. Sin embargo muchas empresas todavía no ven este fenómeno como una realidad propia y pareciera que es una tecnología o un beneficio exclusivo para grandes empresas o para usuarios finales. Esto se da en parte por varios motivos, de los cuales podemos destacar tal vez el más predominante que es el cruce de aguas entre el mundo IT y el mundo de la telefonía. Tradicionalmente estos siempre fueron ámbitos de acción muy independientes y hoy se ven forzados a coexistir sin tener muy bien definidas las nuevas responsabilidades. Entonces un proyecto de implementación de VoIP puede ser encarado como un proyecto tradicional de telefonía ignorando todas las consideraciones del impacto en la red, o bien podría ser encarado como un proyecto de sistemas sin tomar en consideración el mundo de la telefonía. Ambos enfoques corren el riesgo de no aprovechar correctamente todas las ventajas que implican este tipo de soluciones.

Los proveedores tradicionales de telefonía han desarrollado plataformas para satisfacer esta demanda. El principal inconveniente con estos, es que su esquema de licenciamiento es también como lo era entonces y buscan ser restrictivos con al tecnología, quitando libertad de elección en cuanto al equipamiento a utilizar, y esto representa un incremento innecesario de los costos y un costo total de utilización mayor que el necesario.

Dependiendo de los requerimientos de cada organización, el diseño de la solución puede variar ampliamente. Se deberán tomar en cuenta las consideraciones de tolerancia a fallos, caminos redundantes, cantidad de internos, de conversaciones simultáneas, oficinas físicamente separadas y otros tantos conceptos. Las centrales permiten tener reglas muy flexibles y detalladas sobre como trabajar las llamadas entrantes y salientes, pudiendo por ejemplo enviar determinados llamados por un operador y otros llamados por otra linea. Por ejemplo, se podrían tomar los llamados a teléfonos celulares y enviarlos a traves de un equipo destinado a tal fin, que utilice la red de telefonía mobil y así aprovechar los descuentos en los costos que nos evita pagar los precios de comunicación entre la red fija y la celular. También podríamos integrar un sistema de voz sobre ip (VoIP) internacional de forma que los llamados a otro pais sean encaminados por este proveedor y así reducir drásticamente los costos de los llamados internacionales. En caso de contar con una red de datos entre las oficinas (WAN), también se puede contemplar la posibilidad de encaminar las llamadas entre oficinas mediante nuestros vínculos existentes.

Todas estas posibilidades están presentes y deben ser analizadas al momento de considerar una inversión en telefonía. Los costos de esta inversión por un lado no son tan altos como pareciera, y por otro lado se ven inmediatamente los resultados en la reducción de las facturas de telefonía.

Read More

Consideraciones en la implementación de la seguridad en Microsoft Dynamics CRM

Microsoft Dynamics CRM es una herramienta de Customer Relationship Management (CRM) y forma parte de la familia de productos de Microsoft Dynamics. En su distribución básica se enfoca en ventas, marketing y Service desk, pero es en realidad una plataforma extensible utilizando el framework .Net para cubrir múltiples demandas.

Esta solución tiene un modelo de seguridad que es ampliamente flexible y personalizable, teniendo un alto grado de granularidad que permite administrar de forma muy fina el nivel de acceso de los diferentes usuarios y roles. Esto, por otro lado, también conlleva un punto clave y de gran dimensión que es generalmente minimizado en los proyectos de implementación de estas soluciones y se evidencia el mismo sobre la recta final al momento de la implementación.

Para comprender el modelo de seguridad, debemos ver las partes que lo componen, que son: Business Units (o Security Units), Security Roles y la cuenta del usuario.

Microsoft Dynamics CRM tiene una estructura de árbol para representar las Business Units. Este árbol funciona a modo de organigrama de la organización comercial y permite la administración granular de acceso a los datos de la empresa, permitiendo por ejemplo la visualización de un cliente por un grupo de usuarios y no de otros.

Al definir este árbol también se debe definir la necesidad o no de restringir este tipo de accesos. Eventualmente habrán registros que podrán ser públicos a toda la organización, como por ejemplo una tabla maestra de países, pero los productos estarán limitados a las áreas de negocio que vendan dichos productos. Esta definición debe realizarse en las etapas más tempranas del diseño para que el desarrollo de los casos de uso los tome en consideración.

Luego se deberán definir los roles de seguridad de usuarios que definirán que nivel de acceso tendrán sus miembros a nivel de cada una de las entidades definidas. Una entidad en Microsoft Dynamics CRM es similar a una tabla de registros, que a su vez tiene N cantidad de campos. El rol entonces permitirá definir qué nivel de acceso se tendrá en cada una de ellas y la granularidad permite definir el acceso en:

  • Creación (create): Permite crear un registro nuevo en esa entidad
  • Lectura (read): Permite acceder a visualizar el contenido de la tabla o entidad
  • Actualización (write): Permite modificar los contenidos de la tabla
  • Borrar (delete): Permite el borrado de registros de la entidad
  • Adjuntar (append): Permite vincular registros de esta entidad en otra
  • Adjunta A (append to): Permite que se le vinculen registros de otra entidad
  • Asingar (assign): Permite modificar el dueño del registro de este dato
  • Compartir (share): Permite compartir un registro con otro usuario que no tenga acceso

Adicionalmente a este conjunto de acciones, los permisos deben ser definidos a nivel de alcance de datos, siendo posibles los siguientes niveles de acceso para cada una de las actividades de la lista anterior:

  • Sin acceso (none): No permite acceso alguno
  • Usuario (user): Permite la acción sobre aquellos registros que haya creado el usuario
  • Unidad (business unit): Permite la acción sobre aquellos registros que pertenezcan a los usuarios ubicados en la misma unidad
  • Padre-hijo (parent-Child): Al igual que en la anterior, pero también permite accionar sobre los registros creados en unidades que dependan jerárquicamente de la unidad donde se encuentra ubicado el usuario
  • Organización (organization): Permite ejecutar la acción sobre cualquier registro independientemente de su ubicación en la organización

Una vez definido el rol, dependerá entonces de la ubicación del usuario en la estructura de organizacional sumado a la asignación del rol para efectivamente calcular el nivel de acceso que tendrá el usuario finalmente. El mismo rol asignado a distintos usuarios puede efectivamente arrojar resultados distintos, ya que si estos usuarios están en estructuras diferentes tendrán acceso a datos específicos a esa estructura acorde a lo definido en el rol.

Esta definición debe ser acompañada desde un principio en el proyecto por personal dedicado a la gestión de la seguridad de los datos y que pueda hacer un modelado correcto de los mismos, que respete los requerimientos del usuario final y que aproveche en su extensión al módulo de seguridad de esta herramienta.

 

Read More

¿Qué es la seguridad en una red?

Muy frecuentemente las pequeñas y medianas organizaciones carecen de los recursos de IT de las grandes organizaciones, lo que lleva a que las protecciones habituales no sean suficientes frente a las amenazas sofisticadas que hoy están presentes en Internet. Siempre es bueno poder contar con un socio de confianza para ayudar en la resolución de estas cuestiones, sin la necesidad de contar con personal especializado en nuestra organización.

¿Qué es la seguridad de redes?

Serían las actividades y esfuerzos dirigidos a proteger la usabilidad, confiabilidad, integridad, disponibilidad, confidencialidad y seguridad de la red y nuestros datos. Las medidas efectivas de seguridad apuntan a cubrir una variedad de amenazas evitando que ingresen o se propaguen por nuestra red.

¿Qué es la seguridad de redes? y ¿cómo me protege?

Después de comprender que es la seguridad debemos entender cuales son las amenazas a nuestra red. Muchas de las amenazas actuales se propagan por medio de Internet. Las más comunes son:

  • Virus, gusanos y troyanos
  • Spyware y adware
  • Ataques de día 0 (Zero day attacks)
  • Intrusiones de hackers
  • Denegación de servicio
  • Intercepción y robo de datos
  • Robo de identidades

Read More

Read More

Administración del acceso a Internet desde la empresa

Hay muchas cuestiones a tener en cuenta cuando consideramos brindar acceso a Internet desde la empresa. Indudablemente en la actualidad Internet es una más de las herramientas necesarias para llevar adelante nuestro trabajo. Sin embargo no deja de ser un medio por el cual podemos acceder a todo tipo de contenido, que muchas veces poco tiene que ver con la actividad profesional de la empresa o de los colaboradores, por lo que nos vemos enfrentados nuevamente con el balance entre productividad y seguridad.

Soluciones técnicas

Desde el punto de vista técnico, contamos con una oferta amplia de soluciones acorde al presupuesto, el objetivo y los requerimientos que debamos cumplir. Al evaluar las alternativas uno debe tener siempre en consideración qué es lo que uno está queriendo resolver y no dejarse llevar por las ventajas ofrecidas por un proveedor u otro. Existen hoy soluciones de código abierto, disponibles de forma gratuita, que con el hardware apropiado pueden soportar hasta una carga de 3Gbps. También hay disponibles soluciones para todas las necesidades de diferentes proveedores, como Checkpoint, Barracuda, Panda Security, McAfee o Websense para nombrar algunos. Hay que comprender también que este tipo de soluciones no son soluciones de firewall, es decir que son soluciones que trabajan sobre el contenido del acceso que ya fue establecido. Este tipo de soluciones son un componente más de una solución integral de seguridad compuesta por muchas otras partes.

Read More

Read More

Third party integration using webservices

Document Purpose

This document defines the standard for ensuring the protection of networks, network elements and associated systems that compose them, ensure availability of services, confidentiality and integrity of information stored and transported, and to avoid the possibility of fraud and abuse in the networks or services used to connect and share information with third parties.

Scope

Arises from the need to publish internal information services (Webservices) for consumption and / or shared to outside entities that provide services to organization. However, this publication must meet safety guidelines and good practice architecture following the guideline given below.

Read More

Read More

Secure coding standard

 Document Purpose

The goal of each coding standard is to define a set of rules that are necessary (but not sufficient) to ensure the security of software systems developing in the respective programming languages. A secure coding standard consists of rules and recommendations. Coding practices are defined to be rules when all of the following conditions are met:
1. Violation of the coding practice will result in a security flaw that may result in an exploitable vulnerability.
2. There is an enumerable set of exceptional conditions (or no such conditions) where violating the coding practice is necessary to ensure the correct behavior for the program.
3. Conformance to the coding practice can be verified.
Rules must be followed to claim compliance with a standard unless an exceptional condition exists. If an exceptional condition is claimed, the exception must correspond to a predefined exceptional condition and the application of this exception shall be documented in the source code. Recommendations are guidelines or suggestions. Coding practices are defined to be recommendations when all of the following conditions are met:

  • Application of the coding practice is likely to improve system security.
  • One or more of the requirements necessary for a coding practice to be considered a rule cannot be met.

Read More

Read More