FAQ: Seguridad del software
Lokad es, ante todo, un especialista en supply chain y nuestro objetivo principal es ofrecer decisiones superiores en la cadena de suministro a través de la ingeniosidad tecnológica. Dicho esto, manejamos datos financieros importantes a diario, por lo que la seguridad de nuestra plataforma de software es una prioridad y la tratamos con la mayor seriedad. En lugar de abordar la seguridad como una idea secundaria que se maneja a través de la burocracia, creemos firmemente en un enfoque basado en principios que enfatiza la planificación y la proactividad, como se evidencia en nuestro diseño de software específico, nuestras elecciones de personal y capacitación.
Público objetivo: El departamento de TI
Última modificación: 21 de septiembre de 2023
Principios de seguridad
Una de las ilusiones más perjudiciales en los círculos de software empresarial es la idea de que la seguridad se puede abordar con listas de verificación de cumplimiento, certificaciones y, en general, todo tipo de trabajo burocrático. Desafortunadamente, los detalles de las preocupaciones de seguridad siempre están en constante cambio. Los problemas surgen cuando actores malintencionados se aprovechan del software o de las personas (o de ambos). Por lo tanto, la seguridad solo se puede abordar a través de la aplicación sensata de principios generales.
Más seguro por diseño
Creemos que el diseño es uno de los aspectos más subestimados de la seguridad del software. Aquí, el diseño abarca las decisiones fundamentales que se han tomado para desarrollar el software. Las decisiones de diseño que una empresa toma tienen grandes implicaciones en lo que respecta a la seguridad, especialmente en la superficie de ataque. A través de un diseño de software sensato, Lokad ha eliminado clases enteras de problemas de seguridad. Por ejemplo, Lokad no utiliza una base de datos SQL, sino un almacenamiento de blobs simple, como una capa de almacenamiento estrictamente pasiva. Esta elección por sí sola evita grupos enteros de problemas de seguridad, como los ataques de inyección SQL, ya que simplemente no hay una base de datos SQL para atacar. De manera similar, todas nuestras capas de persistencia son de solo anexado. Esto es como el control de versiones donde los cambios se agregan al final de los datos existentes, en lugar de sobrescribir todos los datos. Todos los cambios se registran y se pueden revertir. Este paso complica en gran medida la eliminación de cualquier dato (por parte de cualquier persona, incluidos los atacantes), así como la manipulación de los registros de Lokad.
La mayoría de los proveedores de software empresarial no reconocen el hecho de que las elecciones de diseño fundamentales son el fundamento mismo de sus productos de software. Como resultado, sus problemas de seguridad son interminables. Por ejemplo, si la configurabilidad, casi siempre un requisito para el software empresarial, se proporciona a través de un lenguaje de programación de propósito general (como Python o JavaScript), inevitablemente surgirán problemas de seguridad. Esto se debe a que es casi imposible asegurar completamente un lenguaje de programación de propósito general. En cambio, Lokad tomó la decisión consciente de canalizar toda la configurabilidad a través de un DSL (lenguaje de programación específico del dominio) llamado Envision. Envision es mucho más seguro porque, por diseño, carece de la capacidad de interactuar directamente con el sistema operativo (SO) y sus subsistemas, como el sistema de archivos.
Más seguro por cultura
Ninguna tecnología, y ciertamente ningún proceso, puede hacer que el software sea seguro si a las personas simplemente no les importa. Por lo tanto, hacemos todo lo posible para que Lokad, tanto sus tecnologías como sus procesos, sean algo que valga la pena cuidar de verdad. En el contexto del software empresarial, esto es difícil ya que el objeto de interés es abstracto y está desconectado de las perspectivas y motivaciones individuales de las personas1.
En primer lugar, Lokad alinea, tanto como humanamente posible, sus mensajes de marketing con la realidad de su negocio. Hacemos esto tanto si nos gana el favor como si recibimos críticas. Esto contrasta fuertemente con muchos proveedores empresariales que hacen afirmaciones públicas irrazonables (y a menudo fantasiosas) 2. Cuando esto último sucede, los empleados inteligentes, aquellos capaces de identificar la desconexión entre la realidad del negocio y lo que se comunica al mundo exterior, dejan de preocuparse. Esta indiferencia genera complacencia y surgen problemas de seguridad. A menudo, esos empleados abandonan la empresa, dejando atrás a los “crédulos”, aquellos que no ven la desconexión. La credulidad, al igual que la indiferencia, no es una característica deseable en lo que respecta a la seguridad.
En segundo lugar, Lokad fomenta entre sus empleados una mezcla de curiosidad y escepticismo saludable sobre todos los aspectos de nuestro negocio, tanto técnicos como no técnicos, incluida la seguridad. Esto crea flexibilidad cuando se trata de revisar y actualizar prácticas, ya que se capacita y se anima a los empleados a contribuir. Esta plasticidad es útil para anticipar a actores malintencionados, dado que se sabe que idean formas cada vez más creativas de ataque. Afortunadamente para Lokad, esta mentalidad también resulta ser muy deseable para fines de la cadena de suministro, ya que los comportamientos adversos, aunque no necesariamente criminales, son comunes en la cadena de suministro 3.
Más seguro mediante capacitación
Capacitamos activamente a todo nuestro personal para que comprenda mejor las amenazas cibernéticas y cómo mitigarlas. A diferencia del diseño y la cultura, la capacitación en seguridad es en gran medida un proceso de arriba hacia abajo. Aunque el pensamiento de abajo hacia arriba tiene su lugar, este tipo de capacitación es inherentemente débil frente a la mayoría de los riesgos de seguridad informática. En pocas palabras, incluso si se capacita a las personas para que no hagan algo, Lokad no puede asumir que nadie hará nunca esa cosa 4. Por lo tanto, adoptamos un enfoque más estricto. Como parte de nuestra capacitación, desalentamos el uso de unidades flash USB y otros dispositivos USB que podrían comprometer las máquinas. Nos aseguramos de que se utilice la autenticación de dos factores siempre que sea posible. Capacitamos a nuestro personal para que opere con los menos privilegios posibles en sus estaciones de trabajo. Nos aseguramos de que todos sean conscientes de cómo funciona la ingeniería social, que puede engañar incluso a las personas más inteligentes.
En general, la capacitación en seguridad se centra en aumentar la conciencia sobre cómo los actores malintencionados pueden reutilizar y corromper el software y los procesos. Dada la amplitud de la capacitación, habilidad y conocimientos necesarios para prevenir este tipo de ataques sutiles, Lokad generalmente tiene muy pocos pasantes en comparación con la mayoría de las empresas de tamaño similar en el sector. En resumen, preferimos apostar por un equipo estable y altamente capacitado a largo plazo.
Preguntas frecuentes (FAQ)
1. Prácticas
1.1 ¿Tienen garantía de seguridad?
Sí. La garantía de seguridad es un término general para una variedad de prácticas como endurecimiento de seguridad, pruebas de seguridad y gestión de vulnerabilidades. En Lokad, el endurecimiento de seguridad se aborda principalmente a través del diseño. A través de elecciones de diseño específicas, eliminamos clases enteras de vulnerabilidades que, a su vez, eliminan la necesidad misma de endurecimiento. Por ejemplo, Lokad no se basa en una capa de almacenamiento “programática”, como una base de datos relacional, sino en una simple tienda de clave-valor. Esto elimina todos los vectores de inyección SQL. Además, las pruebas de seguridad se abordan a través de un conjunto diverso de métodos; algunos automatizados y otros manuales, como pruebas de penetración de terceros. Para la gestión de vulnerabilidades, tenemos un programa de recompensas por errores y un proceso de gestión de versiones ampliamente automatizado para garantizar que las correcciones se puedan implementar rápidamente.
1.2 ¿Son compatibles con ISO 27001 (ISMS) y/o SOC 2?
No. Creemos firmemente que estas certificaciones son distracciones que hacen que las empresas de software sean menos seguras. Estos procesos de cumplimiento enfatizan una mentalidad burocrática que es lo opuesto a lo que se requiere para hacer que el software sea seguro. Por ejemplo, estas certificaciones requieren que se produzca documentación y que se instalen comités. Francamente, la idea de que la documentación y los comités aporten algo sustancial a la seguridad del software es muy discutible y no es algo que Lokad acepte en lo más mínimo.
En los círculos de software, la seguridad generalmente se logra haciendo menos, no más; aprovechando los esfuerzos de los ingenieros de software especializados en seguridad de software, no creando equipos adicionales de no especialistas. A modo de evidencia anecdótica, considere algunas de las catástrofes de ciberseguridad más graves, como Heartbleed o Log4Shell. Estos desastres probablemente se habrían evitado si las miles de empresas de software “certificadas” hubieran optado por priorizar la corrección de pruebas del código de terceros, a menudo la causa raíz de los problemas, en lugar de perseguir sellos comerciales arbitrarios de aprobación.
En general, creemos que estas certificaciones son trucos de marketing que hacen que las empresas se sientan seguras (tanto figurativa como literalmente).
1.3 ¿Siguen las prácticas de OWASP?
Sí. OWASP proporciona, a través de sus guías, una extensa lista de verificación contra las vulnerabilidades comúnmente encontradas en el software. Esta es una compilación extensa y de alta calidad que los ingenieros de Lokad utilizan para proteger nuestro software de cualquiera de los problemas identificados por OWASP. Sin embargo, a través de sus elecciones de diseño, Lokad elimina en gran medida clases enteras de vulnerabilidades comunes destacadas por OWASP. Por ejemplo:
Gestión de contraseñas: Al delegar la autenticación a través de la funcionalidad de SSO (inicio de sesión único, algo recomendado por Lokad), Lokad ya no tiene que “administrar” contraseñas, lo que hace que toda la lista de verificación relacionada con las contraseñas sea irrelevante.
Registro: El diseño de registro de eventos adoptado por Lokad registra todo por necesidad. Si una acción no se registra, entonces, según el sistema, nunca ocurrió. Esto anula la mayor parte de la lista de verificación de registro.
Seguridad de la base de datos: La capa de persistencia de Lokad no incluye una base de datos relacional, solo dos componentes no programáticos; es decir, una fuente de eventos y una tienda de clave-valor. Esta elección de diseño anula por completo la lista de verificación de la base de datos.
Más en general, cuando es posible, preferimos evitar los patrones de diseño de ingeniería propensos a errores que crean la necesidad de tales listas de verificación en primer lugar.
1.4 ¿Cumple con el GDPR?
Sí. Sin embargo, la optimización de la cadena de suministro, tal como la ofrece Lokad, no requiere datos personales. Consideramos que los datos personales son una responsabilidad en lugar de un activo. Por lo tanto, recomendamos encarecidamente a nuestros clientes que no nos transfieran datos personales. Esta recomendación suele formar parte de nuestros acuerdos contractuales. Al no tener datos personales bajo nuestra custodia y, por lo tanto, no procesar datos personales, eliminamos en gran medida las preocupaciones y los protocolos relacionados con su protección, como el GDPR u otras regulaciones similares.
1.5 ¿Cumplen todos los servicios/soluciones de terceros (que implican acceso a información de identificación personal (PII)) en la solución de Lokad con los requisitos del Oficial de Protección de Datos (DPO)?
Sí. Sin embargo, como se indica en Prácticas 1.4, la optimización de la cadena de suministro, tal como la ofrece Lokad, no requiere datos personales. Por lo tanto, recomendamos encarecidamente a nuestros clientes que no nos transfieran datos personales.
Cabe destacar que la solución de Lokad tiene una lista muy corta de terceros que tienen acceso a datos PII. A partir de enero de 2023, esta lista se limita a Microsoft Azure.
1.6 ¿Siguen las mejores prácticas de seguridad?
Sí. Es decir, tomamos decisiones prudentes, ya que no existe un acuerdo generalizado en la industria sobre lo que constituye “las mejores prácticas de seguridad de software”. Por su propia naturaleza, la seguridad del software existe en un estado de constante evolución, adaptándose a un entorno lleno de nuevas amenazas y vectores de ataque hábiles. Por lo tanto, no nos adherimos categóricamente a terceros en cuanto a cuáles son las mejores prácticas de seguridad de software. En cambio, definimos lo que es mejor para nuestros clientes. Esto nos permite absorber buenas prácticas cuando están disponibles, sin seguir rígidamente aquellas menos recomendables solo porque son populares. Todo esto se traduce en prácticas de seguridad de software actuales, aplicables y efectivas.
1.7 ¿Realizan pruebas de penetración regularmente?
Sí. Realizamos pruebas de penetración planificadas y no planificadas. Las planificadas suelen ser financiadas por nuestros clientes grandes, que pueden contratar a empresas especializadas, según el acuerdo contractual firmado con ellos, para realizar pruebas de penetración de sus proveedores de software clave, lo que incluye a Lokad. Por lo general, existe cierto grado de coordinación entre el equipo de ingeniería de Lokad y esos especialistas en seguridad. Las pruebas no planificadas suelen formar parte de nuestro programa público de recompensas por errores, donde especialistas en seguridad independientes pueden intentar encontrar una debilidad en nuestro sistema que esté abierta a una posible explotación.
1.8 ¿Realizan auditorías externas regularmente?
No. Dicho esto, estamos más que dispuestos a someternos a una auditoría externa si la operación es financiada por el cliente. Muchos de nuestros clientes grandes tienen disposiciones para tales auditorías en nuestros acuerdos contractuales. Sin embargo, a partir de enero de 2023, las pruebas de penetración realizadas por los clientes no han revelado suficientes problemas como para justificar la realización de dichas auditorías.
1.9 ¿Tienen un Plan de Continuidad del Negocio?
Sí. La mayor contingencia que Lokad ha abordado es la hipotética cesación de la propia empresa. Lokad opera como una solución SaaS, sin embargo, algunos de nuestros clientes grandes tienen disposiciones en sus acuerdos contractuales para poder solicitar instantáneas completas de nuestro código base. Estas instantáneas se depositan en custodia con un tercero acordado, de modo que, en caso de que Lokad cese sus operaciones, el cliente automáticamente obtendría acceso al código base en custodia y una licencia permisiva para recrear su propia instancia del servicio de Lokad.
1.10 ¿Tienen un Plan de Comunicación en Caso de Crisis?
Sí. Para cada cliente, tenemos un punto de contacto identificado dentro de su organización. En nuestro caso, hay al menos dos empleados en Lokad, un titular y un suplente (normalmente dos de nuestros científicos de la cadena de suministro), que supervisan la comunicación de cualquier mensaje urgente al cliente. En la práctica, la gran mayoría de las crisis a las que nos enfrentamos no son problemas de seguridad de software, sino problemas de cadena de suministro, emergencias que Lokad identifica en función de los datos que el cliente pone a nuestra disposición. En caso de un evento de seguridad, este canal se utiliza para asegurarse de que nuestros clientes estén informados de manera oportuna.
1.11 ¿Cómo garantizan la seguridad de los sistemas informáticos del cliente?
Recomendamos enfáticamente que Lokad no tenga acceso a los sistemas informáticos de nuestro cliente; el sistema informático del cliente solo debe enviar y recibir datos desde Lokad. Este enfoque está destinado a mitigar la posibilidad de que un evento de seguridad en Lokad se propague al sistema informático del cliente. Además, también recomendamos encarecidamente utilizar un proceso de inicio de sesión único (SSO, por sus siglas en inglés), ya que elimina el escenario hipotético en el que una contraseña utilizada para acceder a Lokad sea interceptada (de alguna manera) y luego se utilice para comprometer uno de los sistemas informáticos del cliente.
1.12 ¿Cómo aseguran su red?
Nuestro diseño adopta una arquitectura de Confianza Cero, es decir, solo se permite a las personas adecuadas acceder a los datos en cualquier momento dado. Simplemente estar presente en nuestra red no otorga automáticamente estado o privilegios (este punto se amplía en Autenticación 2.1). Por lo tanto, aunque estamos atentos a la seguridad de la red, nos aseguramos, como primer paso, de que la superficie de ataque asociada a nuestras redes sea lo más pequeña posible.
Lokad utiliza dos redes destacadas. La primera es Microsoft Azure, que se utiliza para alojar nuestra solución. La seguridad de la red de Microsoft Azure está completamente delegada a Microsoft. No utilizamos capacidades de red “avanzadas”, como las ofrecidas por Microsoft Azure, más allá de los equilibradores de carga básicos.
La segunda es la red local de nuestra sede en París. La seguridad de la red local es gestionada internamente por el equipo de ingeniería de Lokad. Nuestra red local no aloja ningún componente o sistema que contribuya al entorno de producción.
1.13 ¿Garantizan que todos los componentes (incluidos los de terceros) y herramientas (incluidas las de código abierto) integrados en la solución sean legalmente válidos para su desarrollo y uso en producción?
Sí. En comparación con la mayoría de los proveedores de software empresarial, Lokad tiene muy pocas dependencias. Todas nuestras principales dependencias son proyectos de código abierto creíbles y ampliamente utilizados (por ejemplo, .NET de Microsoft, React de Facebook). Esto hace que nuestro proceso de auditoría interna en este punto específico sea un asunto sencillo.
1.14 ¿Cómo gestionan los cambios importantes en la organización y los procesos en términos de seguridad?
Como Lokad adoptó elecciones y prácticas de diseño de seguridad sensatas desde el principio, es raro que un cambio de cualquier magnitud (menor o mayor) afecte la seguridad (incluso hipotéticamente). En toda la historia de Lokad, solo hay 3 eventos que podrían considerarse realmente significativos desde una perspectiva de seguridad: la migración a Microsoft Azure en 2010; la introducción de la autenticación delegada en 2012 (tanto para clientes como para empleados); y, internamente en Lokad, la migración de la autenticación de Google a Microsoft Azure AD en 2022.
Para cada uno de estos eventos, la migración había sido preparada con meses de anticipación por el equipo de ingeniería de software de Lokad. Se implementaron materiales de capacitación relevantes y sesiones de capacitación antes del cambio programado, para garantizar la preparación de todos los empleados de Lokad. Finalmente, después de cada evento de migración, nos aseguramos de que el “camino” anterior fuera eliminado, como es la práctica estándar de Lokad.
A partir de enero de 2023, no tenemos ningún cambio importante planificado. Si se introdujera un cambio de este tipo, casi con certeza procederíamos de manera similar.
1.15 ¿Cómo gestionan el fin de un contrato?
Nuestros acuerdos detallan el proceso de terminación al final de un contrato, según lo acordado con el cliente. El proceso de terminación finaliza con la eliminación definitiva de los datos del cliente. Dado que este proceso de terminación representa un riesgo de seguridad en sí mismo, este punto está sujeto a discusión con cada cliente y, por lo tanto, puede variar ligeramente según el caso. Desde una perspectiva de seguridad, un actor malintencionado podría intentar hacerse pasar por el cliente para provocar una terminación anticipada del contrato (y perturbar las operaciones del cliente). Para evitar esto, Lokad y el cliente se esforzarían conjuntamente en adoptar un proceso, contractualmente exigido, que no sea trivialmente vulnerable a un ataque de ingeniería social. Este proceso generalmente implica confirmaciones por escrito y un retraso obligatorio.
1.16 ¿Cuál es la estrategia de licencia de Lokad, el modelo de costos asociado y el modelo de costos de mantenimiento anual?
Lokad generalmente cobra una tarifa mensual fija asociada al costo operativo de la plataforma, más una tarifa mensual fija asociada al servicio proporcionado por los científicos de la cadena de suministro dedicados al cliente (es decir, los ingenieros proporcionados por Lokad). Los detalles se negocian y se detallan en el contrato de servicio entre el cliente y Lokad. Estas dos tarifas representan un paquete “todo incluido” con Lokad. No hay tarifas de mantenimiento adicionales, tarifas de licencia, integradores de terceros, consultores de terceros, etc. El paquete viene con límites, en alcance y escala, que se negocian conjuntamente como parte del acuerdo contractual para el servicio.
1.17 ¿Pueden proporcionar los términos y condiciones de Lokad para la(s) licencia(s), servicio(s), soporte, mantenimiento y capacitaciones?
Sí, a solicitud del cliente, podemos proporcionar una plantilla contractual que represente un acuerdo “base”. Sin embargo, las situaciones varían sustancialmente según la escala de la iniciativa de la cadena de suministro, los países aplicables y el alcance de los servicios esperados por Lokad. Por lo tanto, si es posible, preferimos entablar una discusión inicial con un cliente potencial para aclarar los detalles específicos de la iniciativa de la cadena de suministro que se está considerando. Esto nos ayuda a diseñar el marco contractual más relevante para la situación.
1.18 ¿Proporcionan capacitación (en el lugar/entrenamiento en línea)?
Sí, Lokad ofrece tanto capacitación en el lugar como en línea. Los detalles de estas sesiones se negocian como parte del acuerdo contractual. Además, Lokad tiene una extensa documentación técnica pública y una serie detallada de conferencias públicas sobre cadena de suministro. Estas conferencias cubren la tecnología de Lokad y la perspectiva de la cadena de suministro.
1.19 ¿El sistema de Lokad cumple con los estándares legales/locales relevantes (por ejemplo, ISO)?
Sí, Lokad opera de acuerdo con los estándares relevantes. Sin embargo, Lokad ofrece optimización predictiva de la cadena de suministro y, como tal, no controla directamente las operaciones. Nuestra influencia es en gran medida indirecta, generalmente a través de la optimización de la asignación de recursos. Por lo tanto, los estándares ISO no son relevantes aquí (es decir, no son aplicables a Lokad).
1.20 ¿Existe protección contra malware integrada a nivel de red, por ejemplo, en firewalls, dispositivos proxy y/o en la red como soluciones separadas?
Ver Prácticas 1.12
1.21 ¿El proceso de desarrollo de software incluye una evaluación de amenazas integrada?
Sí. Esta es la razón principal por la que preferimos abordar las preocupaciones de seguridad “por diseño”. Al eliminar clases enteras de amenazas en la etapa de diseño, mantenemos la práctica general de evaluación de amenazas más manejable. La evaluación de amenazas también cubre “ataques a la cadena de suministro”. Esta es otra razón por la que ponemos tanto énfasis en minimizar la cantidad de dependencias de terceros en nuestra pila de software, ya que cualquier dependencia aumenta inherente el área de superficie de ataque.
1.22 ¿Se ensaya el proceso de gestión de incidentes al menos una vez al año?
Sí. Hay muchos tipos diferentes de incidentes. Uno de los más frecuentes es que la propia empresa cliente sufra una violación de seguridad. En caso de ransomware, esto a veces lleva a que los datos de Lokad sean accidentalmente el único conjunto de datos aún accesible. En casos de robo de identidad, esto a veces lleva a intentos de acceder a la cuenta de Lokad a través de credenciales robadas. Los detalles de los diversos procesos de gestión de incidentes se establecen conjuntamente con la empresa cliente y suelen ser supervisados por el científico de la cadena de suministro de Lokad a cargo de la cuenta (para los clientes que optan por una cuenta gestionada).
1.23 ¿Se revisa el mapeo de riesgos y amenazas al menos una vez al año?
Sí, aunque estas revisiones se realizan regularmente a lo largo del año. Estas revisiones suelen estar impulsadas por eventos significativos, como violaciones de seguridad destacadas en la industria del software.
1.24 ¿La evaluación de riesgos también se realiza en funciones de apoyo que podrían afectar la disponibilidad, calidad y/o seguridad de la solución?
Sí. Sin embargo, la plataforma de Lokad es esencialmente un monolito que no depende de ninguna “función de apoyo” además de algunos fundamentos básicos, como el almacenamiento de blobs y las máquinas virtuales de Linux proporcionadas por Microsoft Azure.
1.25 ¿Se crean cuentas de sistema dedicadas, con solo los derechos de acceso necesarios, para ejecutar procesos del sistema?
Sí, se utilizan cuentas de sistema dedicadas con los derechos de acceso adecuados para ejecutar procesos del sistema. Lokad utiliza demonios en forma de servicios de systemd, que siempre se ejecutan como usuarios con los menos privilegios posibles.
Si bien Lokad no utiliza una base de datos SQL, la plataforma utiliza un sistema basado en roles para dictar los derechos de acceso para los procesos programados y desencadenados. Estos procesos se clasifican como “de usuario” en lugar de “del sistema”.
1.26 ¿Existe un plan de gobierno de riesgos formalizado aprobado por la dirección que defina los requisitos del programa de gestión de riesgos empresariales?
Sí, tenemos un plan de gobierno de riesgos formalizado que ha sido aprobado por la alta dirección.
Este plan establece los requisitos y pautas para nuestro programa de gestión de riesgos empresariales (ERM, por sus siglas en inglés). Está diseñado para identificar, evaluar, gestionar y monitorear los riesgos en toda la empresa de manera estructurada y consistente.
Nuestro plan de gobierno de riesgos se revisa y actualiza periódicamente para asegurarse de que siga siendo relevante y esté alineado con nuestros objetivos organizacionales y el panorama de riesgos en constante evolución. Además, la implementación y efectividad del programa ERM se informan regularmente a la alta dirección y las partes interesadas relevantes para garantizar una supervisión y apoyo continuos.
1.27 ¿Existe un programa de seguridad física aprobado por la dirección, comunicado a los interesados y se ha asignado un responsable para mantenerlo y revisarlo?
Sí, tenemos un programa integral de seguridad física que ha sido aprobado por la alta dirección. Este programa se ha comunicado de manera exhaustiva a todos los interesados relevantes para garantizar la conciencia y el cumplimiento.
Además, hemos designado a un responsable que es responsable de mantener, actualizar y revisar periódicamente el programa para garantizar su efectividad y relevancia. Este responsable colabora con varios equipos y departamentos para abordar cualquier preocupación emergente de seguridad física y asegurarse de que el programa esté alineado con las mejores prácticas y nuestros objetivos organizacionales.
1.28 ¿Se realizan evaluaciones de los peligros físicos y ambientales antes de establecer la ubicación o sitio de una instalación donde residen los sistemas?
Sí, las evaluaciones de los peligros físicos y ambientales son parte integral de nuestro proceso de toma de decisiones al determinar la ubicación o sitio de una instalación para nuestros sistemas. Dado que nuestros sistemas residen en los centros de datos de Microsoft Azure, nos beneficiamos del riguroso proceso de selección y evaluación de sitios de Microsoft. Microsoft Azure realiza evaluaciones exhaustivas de los riesgos potenciales, incluidos los peligros físicos y ambientales, antes de establecer cualquiera de sus centros de datos. Su proceso de selección implica analizar factores como el potencial de desastres naturales, la accesibilidad, la estabilidad de la infraestructura y más.
Al aprovechar los centros de datos de Azure, tenemos la confianza de que estas evaluaciones se han llevado a cabo de manera integral para garantizar los más altos niveles de seguridad física y resiliencia ambiental para nuestros sistemas.
1.29 ¿Existe un programa documentado de cumplimiento interno y ética?
Sí, aunque no creemos que se pueda “imponer” la “ética” de arriba hacia abajo. Este tipo de enfoque produce inevitablemente resultados indeseables que van en contra de los objetivos originales.
Famosamente, Enron tenía un código de ética escrito. Este código enfatizaba el respeto, la integridad, la comunicación y la excelencia. El escándalo de Enron, que salió a la luz en 2001, reveló que la empresa había estado involucrada en un fraude contable masivo, lo cual estaba, obviamente, en contradicción con los principios establecidos en su código de ética. Por lo tanto, había una desconexión completa entre la ética declarada y escrita de Enron y las prácticas comerciales y la cultura corporativa reales.
Por lo tanto, Lokad se enfoca en asegurarse de que los empleados tengan la oportunidad de preocuparse genuinamente por nuestros clientes. “¿Estamos haciendo lo correcto?” es uno de nuestros mantras. El cumplimiento y la ética son, en nuestra opinión, productos derivados de una cultura corporativa adecuada, no el resultado de ningún programa en particular.
1.30 ¿Existe un departamento de auditoría interna, gestión de riesgos o cumplimiento, o una función similar de supervisión de la dirección, con responsabilidad de hacer un seguimiento de la resolución de problemas regulatorios o de cumplimiento pendientes?
Sí. Aunque Lokad no es lo suficientemente grande como para tener un departamento independiente dedicado a realizar auditorías internas, gestión de riesgos o cumplimiento, ciertamente damos prioridad a estas áreas. Tenemos personas designadas con experiencia en estos ámbitos que tienen la tarea específica de manejar y supervisar estas responsabilidades críticas.
Estas personas informan directamente a la capa superior de la dirección de Lokad, asegurando que la resolución de cualquier problema regulatorio o de cumplimiento pendiente se trate con la máxima prioridad y reciba la supervisión necesaria en el nivel más alto de nuestra organización.
1.31 ¿Existe una política o programa inalámbrico que haya sido aprobado por la dirección, comunicado a los interesados correspondientes y se haya designado a un responsable para su mantenimiento y revisión?
Sí, Lokad tiene una política inalámbrica bien definida que ha sido aprobada por la dirección y comunicada a todos los interesados relevantes para garantizar el cumplimiento. Esta política distingue entre dos redes Wi-Fi independientes y aisladas: una dedicada a los empleados y otra específicamente para invitados. Esta distinción asegura que nuestras operaciones principales permanezcan seguras, incluso cuando proporcionamos conectividad para invitados o visitantes.
Sin embargo, es importante tener en cuenta que nuestro principal modo de conexión es a través de Ethernet, priorizado debido a su rendimiento superior y seguridad mejorada. Las redes Wi-Fi están principalmente en su lugar para acomodar reuniones y ofrecer flexibilidad en ciertos escenarios.
Además, hemos designado a un responsable de la política que es responsable de su mantenimiento y revisión periódica, asegurando que se mantenga actualizada y efectiva para abordar las necesidades y desafíos en constante evolución.
2. Autenticación
2.1 ¿Exige la autenticación para todos los accesos?
Sí. Acceder a los datos del cliente y/o cualquier capacidad sustancial de la solución requiere autenticación previa. Sin embargo, por necesidad, algunos puntos de contacto no están sujetos a autenticación. Por ejemplo, acceder a la página de inicio de sesión no requiere autenticación previa (ya que autenticarse es el objetivo principal de esta página de inicio de sesión).
En general, muy pocos puntos finales técnicos no requieren autenticación, y generalmente son parte de la instrumentación de la plataforma (por ejemplo, un punto final que solo se utiliza para verificar que una máquina esté activa). Cabe destacar que los puntos finales no autenticados no exponen ningún tipo de datos confidenciales, y mucho menos datos reales del cliente.
2.2 ¿Requiere que todos los accesos remotos estén seguros? ¿Exige HTTPS para las conexiones web?
Sí. Asegurar los accesos remotos significa tener la autenticación correcta, la autorización correcta y el cifrado del canal de transporte en sí, todo lo cual aplicamos. Esta disposición cubre tanto a los usuarios del cliente como a los empleados de Lokad por igual. Incluso para el equipo de ingeniería de Lokad, no hay “acceso local no seguro” a nuestros sistemas de producción. No utilizamos ningún tipo de “localidad” de red como un medio para eludir la seguridad.
2.3 ¿Ofrecen SSO (inicio de sesión único)? ¿Admiten Active Directory (AD)?
Sí. Ofrecemos SSO (inicio de sesión único) a través del protocolo SAML. Active Directory admite SAML y se puede utilizar para acceder a Lokad.
2.4 ¿Admiten la autenticación de dos factores como EZToken, Google Authenticator o Microsoft Authenticator?
Sí. La autenticación de dos factores se logra mediante la autenticación delegada a través de SAML. A través de SAML, Lokad no gestiona ni el primer factor de autenticación ni el segundo, ya que este proceso se delega.
2.5 ¿Admiten el protocolo de autenticación OAuth2?
Por defecto, Lokad admite el protocolo de autenticación SAML. Este protocolo es compatible con los principales sistemas de identidad federados, como Microsoft Office 365 o Google Workspace. El desafío de admitir OAuth2 es que OAuth2 no es realmente un “protocolo de autenticación”, sino un conjunto de pautas muy extensas para diseñar “protocolos de autenticación” que pueden divergir de muchas formas.
Como resultado, observamos que las diversas implementaciones de OAuth2 que existen en el ámbito del software empresarial tienden a ser en gran medida incompatibles. Por lo tanto, si OAuth2 es un requisito absoluto, según el acuerdo contractual, podemos admitir una variante específica de OAuth2. Sin embargo, este acuerdo requiere recursos dedicados para garantizar la compatibilidad con la variante de OAuth2 utilizada por la empresa cliente.
2.6 ¿Admiten la integración de LDAP?
Sí, a través de una capa de puente de middleware que superpone SAML sobre LDAP. Sin embargo, la mayoría de los sistemas de identidad federados que admiten LDAP también admiten SAML. Por lo tanto, recomendamos utilizar SAML directamente.
2.7 ¿Imponen la autenticación de dos factores?
Para los empleados de Lokad, sí. Para los empleados del cliente, lo recomendamos encarecidamente, pero en última instancia no podemos imponerlo (ya que la autenticación generalmente se delega a través de SSO). Este asunto está en manos del departamento de TI de nuestro cliente, no en las nuestras.
2.8 ¿Pueden imponer una complejidad de contraseña mínima?
Sí, pero hasta cierto punto. En lo que respecta a la seguridad del software, se reconoce ampliamente que exigir una complejidad mínima de contraseña es una mala práctica. Los usuarios finales responden mal (y predeciblemente) a demandas de complejidad de contraseña demasiado estrictas, lo que provoca que el nivel general de seguridad se vea afectado. Además, consideramos tales demandas de contraseña como “software inflado” que aumenta la complejidad de un software crítico para la seguridad (gestión de contraseñas), exponiéndolo (y la solución en general) a riesgos innecesarios. Consulte https://www.sans.org/blog/nist-has-spoken-death-to-complexity-long-live-the-passphrase/
Recomendamos encarecidamente utilizar SSO en lugar de contraseñas/estrategias tradicionales. A través de SSO, no es necesario introducir ninguna contraseña dedicada a Lokad.
2.9 ¿Pueden imponer rotaciones de contraseña programadas?
Podríamos hacerlo, pero no lo hacemos. Al igual que la complejidad mínima de la contraseña (consulte Autenticación 2.8), la rotación de contraseñas programadas se reconoce ampliamente como una mala práctica de seguridad de software. Los usuarios finales responden mal (y predeciblemente) a las rotaciones de contraseñas programadas. Incluso la seguridad puede debilitarse, ya que los empleados a menudo realizan solo pequeñas alteraciones en las contraseñas (para reducir la carga cognitiva asociada con rotaciones frecuentes). Al igual que con la complejidad mínima de la contraseña, consideramos la rotación de contraseñas como “software inflado” que aumenta la complejidad de un software crítico para la seguridad (gestión de contraseñas), exponiéndolo (y la solución en general) a riesgos innecesarios. Consulte https://www.sans.org/blog/time-for-password-expiration-to-die/
2.10 ¿Hashean y salan las contraseñas?
Sí. Utilizamos scrypt como nuestra función de hash de contraseñas. Como regla general, recomendamos encarecidamente utilizar SSO en lugar de utilizar contraseñas/estrategias tradicionales. A través de SSO, no es necesario introducir ninguna contraseña dedicada a Lokad.
2.11 ¿La solución de Lokad permite CAPTCHA después de un número determinado de intentos de autenticación?
Sí, aunque la delegación de autenticación (a través de SSO). Si bien CAPTCHA es un enfoque valioso para mitigar algunos vectores de ataque, caen en la categoría de componentes de software que es mejor dejar completamente fuera del alcance de una solución de optimización de la cadena de suministro como la de Lokad. Además, el valor agregado de CAPTCHA en el contexto del software empresarial es menos claro que en el caso del software B2C, especialmente el software gratuito.
2.12 ¿Tiene una política de seguridad general para contraseñas? ¿Tiene un proceso para hacerla cumplir?
Sí. Nuestra política de seguridad general para contraseñas es “no hay contraseñas”. Recomendamos encarecidamente SSO, que elimina la necesidad de introducir contraseñas dedicadas a Lokad.
2.13 ¿Centralizas la gestión de usuarios?
Sí. Lokad tiene su propio sistema centralizado de gestión de usuarios para la solución que operamos. Este subsistema fue implementado por Lokad y también cubre los accesos de los empleados de Lokad, incluidos nuestros equipos de ingeniería.
2.14 ¿Permites cuentas de usuario genéricas/compartidas?
No. Lokad impone una relación de 1 a 1 entre empleados y usuarios (según se ve en la plataforma de Lokad). Desaconsejamos enérgicamente el uso de cuentas de usuario compartidas. De hecho, una de las razones por las que no cobramos por usuario es evitar dar a nuestros clientes un incentivo para compartir cuentas de usuario entre sus empleados. Sin embargo, hay algunos casos en los que es aceptable tener una cuenta de usuario que no tenga un empleado correspondiente. Esto ocurre típicamente para el servicio de “carga de robots” del lado del cliente encargado de enviar datos a Lokad. Como parte de nuestro RBAC (Control de Acceso Basado en Roles), tenemos un rol dedicado (llamado “uploader”) que proporciona derechos mínimos para este único caso de uso.
2.15 ¿Ofrecen conexiones VPN seguras?
No. Las conexiones de los usuarios finales se utilizan a través de canales cifrados (normalmente TLS).
2.16 ¿Permites que los usuarios inicien sesión desde varios dispositivos?
Sí, dentro de ciertos límites. En general, el límite máximo es de 6 dispositivos por usuario (no cobramos por permitir múltiples dispositivos). Cada sesión está restringida a una única dirección IP. Sin embargo, Lokad se reserva el derecho de cambiar este límite para contrarrestar algunas amenazas y/o abusos potenciales.
2.17 ¿La solución tiene la capacidad de bloquear y/o cerrar sesión forzosamente a un usuario (si se considera malicioso)?
Sí. Esta función requiere derechos de acceso de “Propietario” dentro de la cuenta de Lokad.
2.18 ¿El sistema cierra automáticamente la sesión de un usuario inactivo después de un tiempo de inactividad especificado?
Sí, aunque la “inactividad” no es el factor relevante. Lokad cierra automáticamente la sesión de los usuarios después de un tiempo especificado. Los usuarios no pueden posponer el cierre de sesión siendo “activos”; una vez que se cumple el tiempo especificado, los usuarios deben volver a autenticarse.
2.19 ¿Está prohibido el uso de cuentas compartidas y/o credenciales de acceso, y se supervisa el cumplimiento de estas políticas?
Sí. Consulta Autenticación 2.14.
2.20 ¿Se comunican/distribuyen los ID de usuario y las contraseñas a través de medios separados (por ejemplo, correo electrónico y teléfono)?
Sí, priorizamos la seguridad de las credenciales de usuario y nos aseguramos de que se comuniquen de acuerdo con las mejores prácticas. Internamente, nuestros sistemas utilizan Azure Active Directory para la autenticación de usuarios. Cuando se distribuyen los ID de usuario y las contraseñas iniciales, Azure Active Directory sigue sus patrones predeterminados diseñados teniendo en cuenta la seguridad. Además, aplicamos la autenticación de dos factores para nuestro Azure AD, lo que añade una capa adicional de seguridad al proceso de autenticación.
Externamente, para los empleados de los clientes que se conectan a nuestros sistemas, recomendamos encarecidamente el uso de Single Sign-On (SSO) y sistemas de identidad federada. Estos sistemas, por diseño, respaldan las mejores prácticas en la gestión de credenciales, asegurando que las credenciales se comuniquen de manera segura, a menudo mediante canales o métodos de comunicación separados para los ID de usuario y los mecanismos de autenticación.
Cabe destacar que no recomendamos la autenticación de un solo factor, ya sea para usuarios internos o externos, si el objetivo es mantener un alto nivel de seguridad.
2.21 ¿Se desactivan y eliminan los ID de usuario inactivos después de períodos definidos de inactividad?
Sí, gestionamos y supervisamos activamente los ID de usuario para garantizar la seguridad. Para los empleados de Lokad, nuestra política establece que todos los derechos de acceso se revocan en su último día de empleo, asegurando que no haya acceso posterior al empleo para los antiguos empleados.
Para nuestros clientes, recomendamos el uso de Single Sign-On (SSO) y sistemas de identidad federada. Este enfoque simplifica la gestión de acceso. Por ejemplo, cuando un cliente elimina a un empleado de su sistema de identidad, el acceso a Lokad se termina simultáneamente. Este método no solo mejora la seguridad, sino que también garantiza la eficiencia en la gestión de usuarios.
Nota: los detalles sobre la terminación del acceso de usuario se detallan en nuestros acuerdos contractuales con cada cliente. Lokad reconoce firmemente el impacto operativo potencial de desactivar prematuramente una cuenta y toma medidas activas para evitar tales escenarios. Para evitar interrupciones inadvertidas, los términos de terminación del acceso de usuario se describen explícitamente, ya sea en el contrato o en un procedimiento acordado conjuntamente, asegurando que las medidas de seguridad de Lokad se alineen con las necesidades operativas de nuestro cliente.
3. Autorización
3.1 ¿Proporciona la solución derechos de acceso detallados?
Sí. La solución de Lokad incluye un subsistema de control de acceso basado en roles (RBAC, por sus siglas en inglés) granular. Esto permite al cliente controlar qué “Proyectos” y “Archivos” son accesibles (y por quién) en la cuenta de Lokad. El RBAC tiene su propia interfaz de usuario web (panel de control). Está disponible para todos los usuarios con la designación de “Propietario” dentro de la cuenta de Lokad. Consulta nuestra documentación sobre roles y permisos de usuario para obtener más información.
3.2 ¿Permite la solución que el cliente configure el acceso de acuerdo con el principio de privilegio mínimo (PoLP)?
Sí. La solución de Lokad incluye un subsistema de control de acceso basado en roles (RBAC, por sus siglas en inglés) granular que se puede utilizar para implementar el PoLP. Sin embargo, a través de Envision (el DSL de la solución), Lokad va mucho más allá que la mayoría del software empresarial en lo que respecta a este principio.
A través de Envision, Lokad ha eliminado conjuntos completos de privilegios del sistema que son simplemente irrelevantes para la optimización de la cadena de suministro. Lo que queda está simplificado pero aún es ampliamente configurable. De manera similar, el sistema de archivos personalizado ofrecido por Lokad también elimina grupos completos de privilegios del sistema innecesarios.
3.3 ¿Aplica derechos de acceso de privilegio mínimo?
Sí, aunque lo que constituye el privilegio “mínimo aceptable” es decidido en última instancia por nuestros clientes. Lokad no puede determinar unilateralmente quién se beneficia de la designación de “Propietario” en el personal de nuestros clientes. Sin embargo, podemos brindar orientación al respecto. En la práctica, para nuestros clientes “gestionados”, aquellos que son respaldados por el equipo de Supply Chain Scientists de Lokad, aclaramos (por escrito) la organización deseada y los correspondientes derechos de acceso.
3.4 ¿La solución tiene la capacidad de ocultar una entidad específica en el sistema a los usuarios designados?
Sí. Esto es una forma de implementación del PoLP y está cubierto en las respuestas 3.1, 3.2 y 3.3.
3.5 ¿Tiene una clasificación de datos (niveles de sensibilidad) y controles ajustados de acuerdo con esta clasificación?
Sí. Como elemento incorporado, Lokad restringe, de forma predeterminada, todos los datos administrativos (como la lista de usuarios con una cuenta) a los “Propietarios” de la cuenta. Esta designación es la más alta y privilegiada del RBAC (Control de Acceso Basado en Roles). Todos los demás datos dentro de la cuenta de Lokad se pueden segmentar según una clasificación de sensibilidad definida por el usuario. Esta clasificación definida por el usuario se puede aplicar tanto a los datos originales (cargados por el cliente) como a los datos transformados (resultado de las transformaciones de datos realizadas dentro de la plataforma de Lokad).
Para obtener más información sobre los controles de acceso y las designaciones, consulta las respuestas 3.1, 3.2 y 3.3.
3.6 ¿Puede la solución autorizar o bloquear usuarios/roles/transacciones en tiempo real?
Sí, aunque “en tiempo real” requiere aclaración en el contexto de un sistema informático distribuido (como la solución de Lokad). Las actualizaciones del RBAC (Control de Acceso Basado en Roles) ocurren de forma sincrónica, lo que significa que las actualizaciones se vuelven activas en unos pocos segundos (normalmente menos). No hay retrasos perceptibles (como un período de espera de una hora o un día).
En cuanto a interrumpir transacciones, esto no es relevante ya que Lokad no tiene una base de datos transaccional. Dicho esto, Lokad puede interrumpir operaciones asincrónicas de larga duración (denominadas “Ejecuciones de Proyecto” en Lokad). Cuando se activa una interrupción, se asegura de inmediato (de forma sincrónica) que el procesamiento no afectará al sistema, como sobrescribir archivos. Sin embargo, detener el procesamiento es asincrónico y generalmente surte efecto en un plazo de 20 segundos.
3.7 ¿La solución restringe el acceso a la Información de Identificación Personal (PII) solo a usuarios con el nivel de permiso adecuado?
Sí, aunque la solución no está destinada a contener datos de PII (más allá de los identificadores de autenticación de los empleados con acceso a la solución). Esto es válido tanto para Lokad como para el cliente. Dentro de la solución, solo los empleados con designaciones de “Propietario” tienen acceso a la lista de usuarios. Para fines de optimización de la cadena de suministro, Lokad no necesita (ni se beneficia) de datos de PII, y tenemos estipulaciones contractuales en este sentido (explicadas en Prácticas 1.4 y Prácticas 1.5).
Para obtener más información sobre los controles de acceso y las designaciones, consulte las respuestas 3.1, 3.2 y 3.3.
3.8 ¿La solución permite filtros de búsqueda de datos de Información de Identificación Personal (PII) para prohibir búsquedas con comodines?
Sí. Sin embargo, un usuario con la designación de “Propietario” dentro de una cuenta de Lokad puede acceder a todos los usuarios (incluido el personal del cliente) que están autorizados a acceder a la cuenta. Lokad no puede restringir esta capacidad, ya que nuestros clientes deben poder auditar, en su totalidad, la lista de usuarios con acceso a su propia cuenta.
3.9 ¿El sistema está equipado con tecnología de WAF (Firewall de Aplicaciones Web)?
No. El WAF es un diseño inherentemente peligroso, ya que viola el principio de seguridad de “privilegios mínimos”: un componente obtiene grandes privilegios para operar como un “hombre en el medio”. Esto hace que el propio WAF sea un objetivo principal para los atacantes y amplía enormemente la superficie de ataque de la plataforma. Sin embargo, Lokad supervisa de cerca su tráfico web y los comportamientos anormales de los usuarios en nuestra propia plataforma. Estas capacidades, sin embargo, forman parte de la plataforma en sí y, por lo tanto, no se delegan a componentes de software de terceros aislados privilegiados.
Ver también Empleados 6.6.
3.10 ¿La red está equipada con tecnología de IPS (Sistema de Prevención de Intrusiones)?
No. El IPS es un diseño inherentemente peligroso, ya que viola el principio de seguridad de “privilegios mínimos”: un componente obtiene grandes privilegios para operar como un “hombre en el medio”. Esto hace que el propio IPS sea un objetivo principal para los atacantes y amplía enormemente la superficie de ataque de la plataforma. Para fortalecer la plataforma de Lokad contra intrusiones, nuestro diseño comienza minimizando el área de superficie de ataque. Creemos que es mucho más seguro eliminar las vías de intrusión mediante el diseño, en lugar de intentar “prevenir” después de que ocurran.
Ver también Empleados 6.6.
3.11 ¿El servicio utiliza tecnología de protección contra DoS (Denegación de Servicio)?
Sí. Lokad utiliza ReCaptcha, límites de velocidad de nginx y nuestros propios componentes específicos (como la falla temprana cuando la autenticación no es válida).
3.12 ¿Todo el acceso administrativo al entorno de producción se realiza a través de hosts de salto o servidores bastión?
Sí. Tenemos un sistema que es esencialmente similar a ‘Teleport’. Esto ofrece no solo una trazabilidad completa de todos los accesos, sino que también facilita la revocación segura de los derechos de acceso de los empleados.
3.13 ¿Existe un proceso de autorización claro para otorgar acceso administrativo (y que produce un registro de auditoría confiable)?
Sí. Ver Registro y Monitoreo 5.1 y 5.11.
3.14 ¿Existe un proceso sistemático y regular de revisión de derechos de acceso (realizado por una persona autorizada), donde se verifican los derechos de acceso administrativo en función de todos los roles y responsabilidades modificados?
Sí. Hay dos niveles de derechos de acceso administrativo.
Primer nivel: los derechos administrativos para respaldar la infraestructura de Lokad. Estos derechos son otorgados y monitoreados por la división de TI de Lokad.
Segundo nivel: los derechos de acceso administrativo dentro de cada cuenta de Lokad. Estos derechos son otorgados y monitoreados por el Supply Chain Scientist a cargo de la cuenta, para nuestras cuentas administradas. Alternativamente, estos derechos son otorgados y monitoreados por la propia empresa cliente si la cuenta no es administrada directamente por Lokad/un Supply Chain Scientist.
3.15 ¿Su política de restricción de acceso sigue el principio de “menor privilegio”, donde solo se permite el tráfico necesario y aprobado?
Sí. Aplicamos el principio de menor privilegio (PoLP) a todos los niveles de acceso de nuestra infraestructura, incluido el tráfico de red. La severidad de las restricciones de acceso varía según el caso de uso. Por ejemplo, para algunos accesos, solo se permite un usuario específico y autenticado desde una dirección IP específica. En otros escenarios, cualquier persona en cualquier lugar puede acceder, como es el caso del contenido de nuestra CDN (Red de Entrega de Contenido).
Ver también Autorización 3.3.
3.16 ¿Las conexiones salientes desde el entorno de producción están restringidas?
No, las conexiones salientes desde el entorno de producción no están universalmente restringidas. Si bien algunos servidores especializados, como los balanceadores de carga, tienen restricciones salientes, la mayoría de nuestros servidores no las tienen.
Nuestras VM de producción requieren acceso a múltiples API externas. Una gran parte de estas API están alojadas en Microsoft Azure, con algunas excepciones como letsencrypt.org. Hemos determinado que mantener una lista blanca rigurosa de direcciones IP introduciría complejidades que podrían contrarrestar los beneficios. Restringir las conexiones salientes podría ofrecer ventajas de seguridad limitadas, pero también podría introducir complicaciones que potencialmente socaven la seguridad de nuestro entorno de producción.
3.17 ¿Existe una forma de comunicación con personal (por ejemplo, correo electrónico, formulario web, teléfono, etc.) disponible para clientes las 24 horas del día, los 7 días de la semana, los 365 días del año para informar incidentes de seguridad?
Sí, hemos implementado el estándar security.txt para facilitar la notificación de incidentes de seguridad.
El enfoque security.txt es un patrón ampliamente reconocido en seguridad web donde se coloca un archivo de texto específico en el sitio web. Este archivo de texto detalla cómo informar vulnerabilidades de seguridad.
Nuestro archivo security.txt se puede encontrar en https://www.lokad.com/.well-known/security.txt y describe el proceso actualizado para informar incidentes de seguridad. Esto asegura que cualquier persona, ya sea un cliente, un cliente o un investigador de seguridad, pueda encontrar fácilmente los detalles de contacto relevantes y las pautas sobre cómo informar problemas de seguridad a nosotros.
Tenga en cuenta que si bien el proceso detallado en ‘security.txt’ puede ser revisado, la información más actual y precisa siempre estará disponible en ese punto final. Nos aseguramos de que los canales de comunicación mencionados en el archivo, ya sea correo electrónico, formulario web u otro medio, estén disponibles las 24 horas del día, los 7 días de la semana, los 365 días del año para abordar rápidamente los informes de seguridad.
4. Gestión de datos
4.1 ¿Dónde aloja y procesa los datos?
Nuestra plataforma SaaS (Software como Servicio) está alojada al 100% en Microsoft Azure; más precisamente, se encuentra alojada en el centro de datos de Microsoft Azure en Europa del Norte (con sede en Dublín). Nuestras copias de seguridad se almacenan en el centro de datos de Microsoft Azure en Europa Occidental (con sede en Ámsterdam). En caso de un fallo importante en el centro de datos, tenemos planes de contingencia para migrar la plataforma a Dublín. Desde nuestra migración a Microsoft Azure en 2010, nunca hemos enfrentado esta situación. Todos los datos de nuestros clientes residen en Europa, donde permanecerán incluso en caso de un fallo importante en el centro de datos.
4.2 ¿Quién es el propietario de los datos?
Nuestros clientes siguen siendo los únicos propietarios de todos los datos que cargan en Lokad. Nuestros clientes también siguen siendo los únicos propietarios de todos los datos que generan, a través de su cuenta de Lokad, en la plataforma de Lokad. Lokad no utiliza internamente los datos de los clientes para ningún propósito que no contribuya directamente a las tareas que nuestros clientes nos han encargado realizar. Lokad no vende el acceso a los datos de nuestros clientes a ningún tercero. Lokad no comparte el acceso a los datos del cliente, excepto con los pocos proveedores de alojamiento que contribuyen directamente a la tarea en cuestión (por ejemplo, alquilar máquinas virtuales de una plataforma de computación en la nube para ejecutar los cálculos solicitados por nuestros clientes).
4.3 ¿Se maneja la gestión de la base de datos interna o externamente?
La gestión de la capa de datos de Lokad es realizada por los equipos de ingeniería de Lokad. Como se mencionó antes, la plataforma central de Lokad no incluye una base de datos transaccional (ver Autorización 3.6), ya que Lokad utiliza un almacén de eventos en su lugar. Este almacén de eventos está implementado y operado completamente por Lokad.
4.4 ¿La solución tiene la capacidad de cambiar entre una base de datos RDBMS (PostgreSQL, Oracle, MySQL) y una base de datos NoSQL (Cosmos)?
Teóricamente, sí, pero esto es irrelevante ya que la solución de Lokad no utiliza RDMBS. La capa de persistencia de datos de la solución de Lokad utiliza un almacén de eventos y un almacén de clave-valor. Este enfoque difiere sustancialmente del diseño CRUD (Crear-Leer-Actualizar-Eliminar) que se encuentra comúnmente en el software empresarial. Dado que Lokad es una solución SaaS, asumimos la responsabilidad total de la persistencia de datos y la compatibilidad hacia adelante (para garantizar que los datos antiguos sigan siendo accesibles).
4.5 ¿Participan terceros en la ejecución de la solución?
Sí, especialmente la plataforma de computación en la nube subyacente que utiliza Lokad: Microsoft Azure. La lista de terceros involucrados en la ejecución de la solución es muy corta y se limita a la infraestructura de alojamiento de nivel inferior. Lokad no utiliza terceros para desarrollar, administrar u operar su propia solución. En particular, tanto nuestros equipos de ingeniería como nuestros equipos de soporte técnico son internos.
4.6 ¿Separa las capas (redes, servidores y aplicaciones)?
Sí, sin embargo, la gestión de bajo nivel de redes y servidores se delega en la plataforma de computación en la nube subyacente que utiliza Lokad: Microsoft Azure. Por lo tanto, la separación de las capas de red y servidor está principalmente fuera del perímetro gestionado por Lokad. Dentro de la solución de Lokad, restringimos en gran medida los privilegios otorgados a las capas aplicativas para que no puedan administrar su propia infraestructura (por ejemplo, las capas aplicativas no tienen acceso de escritura a la gestión de DNS).
4.7 ¿Tiene un proceso para garantizar la eliminación permanente de datos?
Sí, aunque puede llevar varias semanas completar todos los pasos. El proceso implica hacer una solicitud escrita formal, emitida por una parte autorizada dentro de la organización del cliente, para que los datos correspondientes se eliminen de forma permanente. En la práctica, se incluyen disposiciones específicas para tales solicitudes en el acuerdo contractual entre Lokad y sus clientes. Los datos primero se eliminarán de nuestro sistema de producción principal y luego de nuestro sistema de respaldo. Esta última etapa es la causa de la relativa “lentitud” de la operación. Esta es una elección de diseño, ya que una vez que los datos se eliminan de nuestro sistema principal, no se pueden acceder nuevamente (excepto a través de procesos extraordinarios de recuperación ante desastres).
Por defecto, la solución de Lokad garantiza que todas las operaciones de eliminación estándar sean eliminaciones suaves (es decir, no eliminaciones permanentes). Este diseño es necesario para evitar clases enteras de problemas de seguridad, como la eliminación accidental de datos por parte de un empleado del cliente o la eliminación maliciosa por parte de un atacante. Además, se necesita un proceso de eliminación permanente intencionalmente lento para mitigar ataques de ingeniería social, como un escenario en el que un atacante se hace pasar por un empleado de un cliente.
4.8 ¿La solución tiene la capacidad de eliminar datos de forma suave?
Sí. La solución de Lokad adopta un diseño de almacenamiento de eventos. Como tal, todo se versiona de forma predeterminada, tanto las entradas de usuario como los cambios realizados en el sistema de archivos de Lokad. Por lo tanto, todas las eliminaciones de software son eliminaciones suaves y se pueden rastrear y deshacer según se desee.
4.9 ¿Ofrecen acceso directo a la base de datos?
Sí, en el sentido de que el sistema de archivos, que forma parte de la solución de Lokad, se puede acceder a través de protocolos como FTPS y SFTP. Este acceso es amplio, ya que todos los datos utilizados como entradas o producidos como salidas se almacenan dentro de este sistema de archivos.
Sin embargo, como Lokad no tiene una base de datos transaccional, no hay una base de datos subyacente que se pueda “acceder”. El equivalente más cercano en la arquitectura de Lokad es nuestro almacén de eventos y no ofrecemos acceso directo al flujo de eventos. Sin embargo, se podrían hacer disposiciones en el acuerdo contractual si un cliente solicitara algunas extracciones específicas de este flujo de eventos (siempre que haya un caso de uso válido).
4.10. ¿Cómo integra la solución datos externos?
La solución puede utilizar varios protocolos para integrar datos externos, especialmente FTPS y SFTP. También está disponible una interfaz de usuario web para cargar archivos manualmente. La solución de Lokad puede integrar cualquier dato tabular razonable. Para obtener más información sobre las capacidades de integración de datos externos de Lokad, consulte Ir a la perspectiva de TI sobre Lokad 2.15.
4.11 ¿El sistema tiene la capacidad de manejar la captura de datos de cambio (CDC) de fuentes de datos en tiempo real?
Sí, bajo la disposición de un acuerdo contractual específico con el cliente. La captura de datos de cambio es un patrón de diseño de software, no un estándar de datos específico o un protocolo de transferencia de datos, y las expectativas de “tiempo real” pueden variar desde latencias de submilisegundos hasta subminutos. Las características en esta área deben evaluarse desde una perspectiva de la cadena de suministro. En nuestra experiencia, las fuentes de datos en tiempo real rara vez son relevantes para abordar problemas de la cadena de suministro.
4.12 ¿Se puede exportar todos los datos dentro de la solución?
Sí, todos los datos accesibles a través del sistema de archivos dentro de la cuenta de Lokad se pueden exportar a través de protocolos como FTPS o SFTP.
4.13 ¿La solución ofrece herramientas para exportar datos?
Sí, la solución de Lokad ofrece un DSL (lenguaje específico del dominio) llamado Envision, hecho a la medida para análisis de la cadena de suministro. Envision ofrece amplias capacidades para reformatear los datos dentro de la cuenta de Lokad.
4.14 ¿Cuál será el formato de los datos exportados?
La plataforma de Lokad admite todos los formatos tabulares comunes, incluyendo CSV y XLS (Microsoft Excel). La plataforma admite numerosas opciones con respecto al formato de números, fechas, delimitadores, codificación de texto, encabezados, etc.
4.15 ¿La solución tiene Encriptación Transparente de Datos (TDE) de datos de Información de Identificación Personal (PII) en almacenamiento móvil y de respaldo?
La encriptación transparente de datos se utiliza tanto en el almacenamiento de respaldo de Lokad (a través de la encriptación de Azure Storage para datos en reposo) como en los dispositivos emitidos por Lokad (a través de BitLocker). Lokad no almacena PII en dispositivos sin TDE habilitado.
4.16 ¿Todas las contraseñas y secretos utilizados dentro de la aplicación están encriptados y no son accesibles en formato de texto libre en el código fuente, archivos de configuración, parámetros de compilación, etc.?
Sí. Todos los secretos a nivel de plataforma se almacenan en Key Vault, un servicio ofrecido por Microsoft Azure. Las contraseñas de los usuarios se salan y se hashean internamente con Scrypt según las prácticas estándar.
4.17 ¿La solución tiene la capacidad de restringir las cargas de archivos según el tipo y tamaño de archivo, y escanear contenido malicioso?
Sí, hasta cierto punto. En cuanto al tamaño del archivo, la optimización de la cadena de suministro a menudo requiere el procesamiento de archivos grandes. Estos tamaños de archivo reflejan la extracción de los datos comerciales históricos que finalmente procesamos (por ejemplo, pedidos de ventas históricos). Dada esta realidad, la plataforma de Lokad admite tamaños de archivo de hasta 100 GB.
En cuanto al tipo de archivo, tenemos una lista blanca de extensiones conocidas y formatos esperados. En caso de un caso de uso válido, este parámetro podría ajustarse. Este ajuste se reflejaría en nuestro acuerdo contractual.
En cuanto a la capacidad de escanear contenido malicioso, Lokad no tiene esta función. Nuestra solución enfatiza el intercambio de contenido generado por la plataforma. Además, el diseño mismo que hemos adoptado garantiza que los archivos generados dentro de Lokad sean seguros, incluso si los archivos de entrada no lo son. Por el contrario, a través de su diseño, la solución de Lokad desenfatiza el intercambio de contenido cargado por el usuario a través de Lokad.
4.18 ¿Cuál es el período recomendado de retención de datos?
Lokad es un servicio SaaS, por lo tanto, nosotros asumimos la responsabilidad de elegir el período adecuado de retención de datos, y esta duración varía según el tipo de datos. Los datos históricos transaccionales, transmitidos a Lokad por el cliente a través del canal de extracción de datos, generalmente se conservan durante la duración del servicio de Lokad. De hecho, los datos históricos suelen valer la pena conservarlos durante períodos arbitrariamente largos (fuera de los límites del servicio de Lokad). En el otro extremo del espectro, está el dato de instrumentación, que refleja el rendimiento detallado de nuestra plataforma. Este dato solo es útil para solucionar problemas de ralentización inesperada dentro de la plataforma. Este dato es extremadamente granular y generalmente no se conserva durante más de unas pocas semanas.
4.19 ¿Proporcionan documentación de la estructura de datos?
Sí, como parte del “Manual de Procedimientos Conjunto”. Cabe destacar que Lokad no utiliza una base de datos relacional, a diferencia de la mayoría del software empresarial. En su lugar, utilizamos un paradigma de event sourcing. Sin embargo, las estructuras de datos de interés (para la empresa cliente) no se encuentran en la fuente de eventos, sino en los archivos planos producidos a través de scripts de Envision dentro de la plataforma de Lokad. Estos archivos planos están diseñados para cumplir con los requisitos específicos de la empresa cliente. La documentación de estos archivos se incluye en el “Manual de Procedimientos Conjunto”, que es uno de los entregables en una iniciativa típica de Lokad.
4.20 ¿La segmentación de datos de otros clientes forma parte del diseño del sistema?
Sí, aunque Lokad es una aplicación multiinquilino, los datos se separan a nivel de diseño entre inquilinos, es decir, cuentas de clientes. Esta partición es un ciudadano de primera clase de nuestro diseño de backend. Este diseño evita errores de programación que expondrían los datos de un inquilino a otro inquilino, mientras se desarrollan características mundanas dentro de la plataforma. El almacenamiento subyacente principal utilizado por Lokad, Blob Storage de Microsoft Azure, facilita este tipo de particionamiento estricto a nivel de diseño.
4.21 ¿Se toman medidas efectivas para garantizar que no se utilicen datos de clientes en entornos de desarrollo y pruebas?
Sí, por defecto, el equipo de ingeniería de software no tiene acceso directo a los datos de los clientes. Hemos desarrollado extensos entornos de datos simulados y conjuntos de datos simulados para permitir que el equipo de ingeniería de software funcione sin problemas sin acceso a los datos de los clientes. Lokad también utiliza internamente su propia plataforma para el procesamiento de datos (por ejemplo, analizando el consumo detallado de recursos de computación en la nube obtenidos de Microsoft Azure). Esta práctica de “dogfooding” asegura que Lokad también tenga un suministro abundante de datos no críticos para usar con fines de desarrollo y pruebas.
Sin embargo, hemos diseñado un canal especial restringido para acceder a fragmentos mínimos (solo lectura) de datos de clientes con fines de diagnóstico. Este canal garantiza automáticamente una minimización estricta y totalmente automatizada de los datos que se recuperan. Este canal también garantiza automáticamente la eliminación de los datos al final de la operación de diagnóstico. Consulte la sección 4.22 para obtener más detalles sobre este canal restringido.
4.22 Si el desarrollo o las pruebas requieren un uso limitado de los datos de los clientes, ¿existe un proceso definido para garantizar la destrucción segura y completa de los datos en los entornos de desarrollo y pruebas?
Sí, hemos diseñado un canal de datos especial (solo lectura) dedicado al uso excepcional de los datos de los clientes con fines de diagnóstico, generalmente pruebas de rendimiento. Este canal de datos solo es accesible para una parte restringida del equipo de ingeniería de software.
Este canal de datos ha sido diseñado para minimizar automáticamente el fragmento de los datos del cliente que se recuperan para el diagnóstico de interés. Esta capacidad nos permite operar con lo que normalmente representa una fracción muy pequeña de los datos originales (como se encuentra en la cuenta del cliente). Además, elimina la necesidad de que el equipo de ingeniería seleccione manualmente qué datos recuperar.
Por último, este canal de datos elimina automáticamente los datos recuperados al final de la operación de diagnóstico.
4.23 ¿Se conocen y documentan todas las ubicaciones físicas de los datos de los clientes, incluidos los sistemas de copia de seguridad y alta disponibilidad?
Sí. Todos los datos de los clientes se almacenan en los centros de datos físicamente seguros de Microsoft Azure, incluidas las copias de seguridad. No almacenamos datos de clientes localmente (es decir, en las instalaciones de Lokad), ni se guardan los datos de los clientes en los dispositivos de los empleados.
4.24 ¿El acceso a las ubicaciones físicas del servidor está limitado a los empleados que lo necesitan para realizar su trabajo?
Sí, aunque los datos de los clientes de Lokad se almacenan en los centros de datos seguros de Microsoft Azure, a los que Lokad no tiene acceso físico. La ubicación física de los centros de datos de Microsoft es de conocimiento público, y la elección de los centros de datos de Lokad está documentada públicamente.
4.25 ¿El Número de Cuenta Principal (PAN) se almacena solo si es absolutamente necesario para fines legítimos de negocio?
Lokad no recibe, almacena ni gestiona ningún PAN de cliente.
El PAN (Número de Cuenta Principal) generalmente se refiere al número principal de una tarjeta de crédito o débito. Es la secuencia de números en relieve o impresa en la cara de una tarjeta y se utiliza para identificar de manera única la cuenta bancaria vinculada a la tarjeta.
Para procesar pagos, confiamos exclusivamente en terceros que gestionan los PAN en nuestro nombre. Sin embargo, debe tenerse en cuenta que la mayoría de las transacciones recibidas por Lokad se realizan mediante transferencia bancaria, lo que elimina por completo el problema de la gestión de PAN.
Tenemos algunos PAN, para las propias tarjetas de Lokad, que gestionamos de forma segura siguiendo las indicaciones proporcionadas por los propios bancos.
4.26 ¿Los Números de Cuenta Principal (PAN) sin cifrar nunca se envían a través de tecnologías de mensajería de usuarios finales (por ejemplo, por correo electrónico, mensajería instantánea y chat)?
Sí, los PAN (Números de Cuenta Principal) sin cifrar nunca se envían a través de canales inseguros como el correo electrónico. Lokad proporciona un canal de comunicación seguro incorporado en su plataforma, que es una alternativa superior para transmitir materiales sensibles. Recomendamos este canal siempre que el uso de un canal inseguro represente un riesgo comercial significativo.
Nota: Por diseño, Lokad no recibe, almacena ni gestiona ningún PAN de cliente. Por lo tanto, no hay transferencias de PAN sin cifrar.
Consulte también el almacenamiento de PAN
4.27 ¿Tiene un contrato con sus proveedores de servicios de computación en la nube y este contrato contiene cláusulas relacionadas con los acuerdos de seguridad de la información de los proveedores de servicios de computación en la nube?
Sí, Lokad tiene un Acuerdo Empresarial (EA) con Microsoft para los servicios de computación en la nube de Azure. El Acuerdo Empresarial generalmente incluye varios términos y condiciones relacionados con el uso de los servicios, incluidos compromisos sobre la seguridad del entorno en la nube.
Microsoft Azure, como uno de los principales proveedores de servicios en la nube, pone un gran énfasis en la seguridad. Azure tiene un conjunto completo de características y prácticas de seguridad implementadas para proteger los datos en la nube, y estas a menudo se reflejan en sus acuerdos contractuales con los clientes empresariales.
Si bien no podemos revelar los detalles específicos de nuestro acuerdo contractual públicamente, después de más de una década de colaboración con Microsoft, estamos satisfechos de que este acuerdo cumpla con nuestros requisitos y estándares de seguridad.
4.28 ¿Participan subcontratistas en el procesamiento de los detalles/datos del cliente?
No, Lokad no subcontrata el procesamiento de los detalles o datos del cliente. En cuanto a la plataforma de Lokad, compramos recursos informáticos, principalmente máquinas virtuales y almacenamiento de blobs, de Microsoft Azure, pero aparte de eso, no hay terceros involucrados en lo que respecta a los datos del cliente.
En cuanto a la prestación de los servicios profesionales de Lokad, solo los empleados a tiempo completo de Lokad (en este caso, los científicos de la cadena de suministro) tienen acceso a los detalles o datos del cliente. Lokad ocasionalmente tiene algunos pasantes (aunque muchos menos que la mayoría de las empresas comparables) para pasantías a largo plazo, pero operan bajo la supervisión directa y estricta de un científico senior de la cadena de suministro.
Nota: Los pasantes están sujetos a los mismos acuerdos de confidencialidad que los científicos de la cadena de suministro a tiempo completo.
5. Registro y monitoreo
5.1 ¿Ofrecen registros de acceso (usuario, fecha, última fecha de conexión, etc.)?
Sí. Lokad proporciona registros de acceso en formato CSV. En este momento, estos registros se pueden solicitar al personal de soporte de Lokad. La extracción de registros se colocará en la cuenta de Lokad en un lugar accesible solo para los usuarios con designación de “Propietario”. Planeamos introducir un método de acceso más directo, a través de una interfaz web dedicada, al registro de auditoría completo que ya existe en el backend de la plataforma de Lokad.
5.2 ¿Centralizan los registros de todos los componentes de la solución?
Sí. El diseño de Lokad basado en el evento centraliza no solo los registros, sino también todos los cambios de estado que ocurren en la solución. Los registros, junto con otros cambios de estado, se centralizan en una pequeña colección de flujos de eventos, gestionados por el mismo almacén de eventos. Internamente, los registros que no afectan el estado de la solución se segregan de aquellos que sí lo hacen.
Desde una perspectiva puramente técnica, hay algunos registros relacionados con el rendimiento que no se centralizan intencionalmente dentro del almacén de eventos. Estos registros incluyen mediciones de rendimiento detalladas, como las producidas por la instrumentación interna de perfilado de rendimiento de Lokad (por ejemplo, cuántos milisegundos se gastan en cada llamada de función durante la ejecución de un script de Envision). Estos registros de rendimiento no contienen nada que califique como materiales “relacionados con la seguridad”.
5.3 ¿Registran los cambios y operaciones realizadas en la aplicación? ¿Realizan un seguimiento de todas las transacciones?
Sí. Debido al diseño basado en eventos de Lokad, todo se registra por necesidad. De hecho, la solución en sí misma es la suma de la colección de eventos registrados dentro de la solución. Por lo tanto, el registro es un aspecto fundamental de la arquitectura de la solución. Este diseño basado en eventos evita la omisión accidental de un registro que refleje un cambio de estado. Bajo este marco de diseño basado en eventos, no hay transacciones, al menos no en el sentido habitual de una base de datos transaccional (por ejemplo, MySQL, Oracle, etc.). Estas transacciones son reemplazadas por eventos que contienen toda la información asociada con un cambio de estado.
5.4 ¿Normalizan los formatos de registro de los diversos componentes con fines forenses?
Sí. Los “registros”, desde un punto de vista de auditoría y/o seguridad, son las transformaciones de los eventos subyacentes. Técnicamente, los eventos son objetos serializados. Para obtener registros, la solución de Lokad convierte y compila estos eventos en archivos CSV. Normalizamos los formatos de fecha, los formatos de número y los identificadores de usuario que se utilizan en la extracción CSV.
5.5 ¿Ofrecen exportaciones de registros a terceros a través de algún protocolo de consulta?
Sí, bajo la provisión de un acuerdo contractual con el cliente.
5.6 ¿Realizan un seguimiento de todas las excepciones lanzadas en su solución?
Sí. El diseño basado en eventos de Lokad nos permite realizar un seguimiento de todas las excepciones lanzadas en nuestra solución y reproducir las condiciones que llevaron al problema en primer lugar. Una vez identificadas, el equipo de ingeniería de Lokad elimina todas las excepciones observadas. Hemos desarrollado herramientas especializadas para este propósito específico y mantenemos una lista de excepciones no corregidas muy limitada.
5.7 ¿Tiene la solución la capacidad de monitorear el estado de los diferentes componentes/servicios en tiempo real?
Sí. Nuestros subsistemas han sido diseñados con puntos finales de monitoreo dedicados a las comprobaciones de estado. Tenemos herramientas de monitoreo, accesibles solo - a partir de enero de 2023 - para los equipos de ingeniería de Lokad, que consolidan continuamente la información proporcionada por esos puntos finales de monitoreo.
Como se mencionó anteriormente, “en tiempo real” es bastante vago cuando se trata de sistemas distribuidos. Para fines de monitoreo del estado del sistema, la latencia esperada oscila entre unos pocos segundos y un minuto (aproximadamente).
5.8 ¿Tiene la solución la capacidad de integrar herramientas de monitoreo de terceros? ¿La solución admite SNMP o JMX, o la capacidad de enviar eventos SNMP y JMX a soluciones de monitoreo de terceros?
Sí, bajo la provisión de un acuerdo contractual dedicado.
5.9 ¿Tiene la solución la capacidad de monitorear trabajos por lotes que no se iniciaron según lo programado y monitorear su finalización?
Sí. La solución de Lokad tiene su propio programador de trabajos interno (llamado “Runflow”) para orquestar tareas de larga duración dentro de la plataforma de Lokad, típicamente la ejecución de scripts de Envision. Este programador se puede configurar, a través de una interfaz de usuario web, para especificar un horario y un marco de tiempo de ejecución para cualquier secuencia de trabajos.
5.10 ¿Tiene la solución la capacidad de generar alertas proactivas? ¿Tiene la capacidad de correlacionar y analizar errores y luego tomar acciones proactivas?
Sí. Runflow, el programador de trabajos de la solución, puede alertar al cliente/Lokad de que una secuencia de ejecución en curso se está retrasando. La alerta se puede enviar antes de que se complete la secuencia. La solución de Lokad ofrece amplias capacidades a través de Envision (su DSL) para analizar y autodiagnosticar situaciones con el fin de tomar acciones proactivas. Si bien la plataforma de Lokad proporciona esta capacidad, aún se requiere que un ingeniero implemente, a través de Envision, la lógica real, ya que las situaciones de la cadena de suministro que califican como “errores” pueden variar.
5.11 ¿Tiene la solución capacidades de retención de datos de auditoría? ¿Se archivan los datos y se eliminan en una base de datos de MIS para auditar la actividad del usuario?
Sí. A través de su diseño de eventos, la solución de Lokad conserva un extenso registro de auditoría; mucho mayor que el obtenido a través de diseños más convencionales que suelen aprovechar una base de datos transaccional en lugar de un almacén de eventos. La solución de Lokad no aísla un Sistema de Información de Gestión (MIS) como un subsistema separado. En efecto, el flujo de eventos es el registro de auditoría. Más en general, Lokad retiene los datos de producción durante la duración del servicio con el cliente. Al finalizar el servicio, lo cual depende de los términos contractuales negociados, los datos del cliente se eliminan, aunque la eliminación final dentro del sistema de respaldo puede ocurrir algunos meses después del final del contrato.
5.12 ¿Su sistema integra un mecanismo de auto-monitoreo (técnico y funcional)?
Sí, la plataforma de Lokad integra múltiples mecanismos de auto-monitoreo en varios niveles.
El equipo de ingeniería de software de Lokad monitorea la plataforma alojada en la nube. Como la plataforma de Lokad es multiinquilino, este monitoreo se realiza en gran medida con una mentalidad “sistémica”, asegurando que las capacidades de la plataforma (incluido su perfil de rendimiento) cumplan con los estándares. Hemos diseñado nuestra propia capa de instrumentación con este propósito. El monitoreo “funcional” suele ser específico del cliente, ya que depende de las especificidades de la cadena de suministro dada. Este monitoreo suele ser proporcionado por los equipos de científicos de la cadena de suministro (los ingenieros proporcionados por Lokad), según el acuerdo contractual.
Los científicos de la cadena de suministro de Lokad suelen especializarse en una clase particular de cuenta de cliente (por ejemplo, aeroespacial). Ellos diseñan una instrumentación de monitoreo personalizada utilizando la cuenta de Lokad. Este monitoreo incluye asegurarse de que los números entregados por Lokad sean correctos, no solo en un sentido técnico, sino también desde la perspectiva del negocio del cliente.
5.13 ¿Se revisan y analizan los registros de manera oportuna y sistemática para detectar anomalías e indicios de violación?
Sí. Revisar la actividad en curso de la plataforma de Lokad es parte de nuestra rutina diaria. El diseño de nuestra plataforma facilita este proceso.
Ver también Registro y Monitoreo 5.2.
5.14 ¿Los sistemas de gestión de registros son administrados por personas que no están involucradas en la administración de otros sistemas (es decir, segregación de funciones)?
Sí. La supervisión de los registros y la actividad general de la plataforma la realizan los científicos de la cadena de suministro, mientras que la administración general de nuestra infraestructura la realizan empleados específicos dentro de nuestra división de TI.
5.15 ¿Se realizan escaneos periódicos y sistemáticos de vulnerabilidades a nivel de aplicación?
Sí, aunque dichos escaneos son una parte muy pequeña de nuestros procesos de seguridad. Ver Empleados 6.6.
5.16 ¿Existe un proceso definido para la revisión periódica de las reglas efectivas del firewall?
Sí, nuestra máquina de producción viene con reglas muy estrictas, como la apertura de un número muy limitado de puertos (configurados a través de Microsoft Azure). La configuración de nuestra infraestructura está escrita en código y su evolución sigue nuestro proceso habitual de revisión de código. Esta práctica no solo facilita las revisiones periódicas, sino que también mitiga la necesidad de revisar manualmente las reglas en primer lugar.
5.17 ¿La red está equipada con tecnología IDS (Sistema de Detección de Intrusiones)?
No. IDS es un diseño inherentemente peligroso, ya que viola el principio de seguridad de “menor privilegio”: un componente obtiene grandes privilegios para operar como un “hombre en el medio”. Esto convierte al IDS en un objetivo principal para los atacantes y amplía enormemente la superficie de ataque de la plataforma. Sin embargo, Lokad monitorea de cerca el tráfico web y los comportamientos anormales de los usuarios en nuestra propia plataforma. Estas capacidades, sin embargo, forman parte de la plataforma misma y, por lo tanto, no se delegan a componentes de software de terceros aislados privilegiados.
Ver también Empleados 6.6.
6. Empleados
6.1 ¿Los empleados tienen Acuerdos de No Divulgación (NDA)?
Sí, todos los empleados de Lokad están sujetos a una disposición de NDA en sus contratos de empleo.
6.2 ¿Los empleados reciben capacitación en conciencia y seguridad de la información?
Sí, se proporciona capacitación en conciencia y seguridad de la información a los empleados de Lokad que están en contacto con datos confidenciales y/o sistemas de ingeniería que están en contacto con datos confidenciales. Para obtener más información sobre este punto, la conferencia Ciberseguridad para la cadena de suministro está dedicada a los científicos de la cadena de suministro, las personas que manejan los datos confidenciales del cliente.
6.3 ¿Quién tiene acceso a los datos del cliente en Lokad?
El cliente define explícitamente una lista de usuarios que tienen acceso a su cuenta de Lokad. Estos usuarios, según sus derechos de acceso configurados dentro de la cuenta de Lokad, pueden tener acceso a varias clases de datos del cliente. Hay una aplicación web dentro de la solución de Lokad dedicada a administrar permisos (llamada “Hub”).
En el caso de Lokad, para cada cuenta de cliente hay una breve lista de empleados que tienen acceso. En primer lugar, esta lista incluye a los científicos de la cadena de suministro (los ingenieros proporcionados por Lokad) que implementan y mantienen la solución de optimización de la cadena de suministro. Se espera que estos científicos de la cadena de suministro accedan a los datos del cliente a diario. Internamente, Lokad restringe el acceso a las cuentas de los clientes solo a los científicos de la cadena de suministro asignados a esas cuentas. Es decir, el Científico de la Cadena de Suministro A no puede acceder a la Cuenta del Cliente B a menos que A haya sido asignado explícitamente para gestionar esta cuenta (según lo acordado con el cliente).
En segundo lugar, esta lista incluye al equipo de ingeniería encargado de la administración del sistema de nuestra plataforma. Como regla general, el acceso directo a los datos del cliente es poco frecuente y se limita a investigar situaciones reportadas por los propios clientes o por sus científicos de la cadena de suministro de apoyo. Lokad no comparte el acceso a los datos del cliente con ningún tercero, con la excepción de la plataforma de computación en la nube.
6.4 ¿Cómo aseguran las estaciones de trabajo de los empleados?
A excepción del equipo de ingeniería de software, los empleados de Lokad operan sin privilegios administrativos en sus dispositivos proporcionados por la empresa. Todas las estaciones de trabajo están configuradas con cifrado de disco completo para proteger contra el robo de datos que podría ser causado por la pérdida, el robo o la confianza en terceros del hardware (por ejemplo, para reparaciones).
Las estaciones de trabajo utilizadas por nuestros empleados no contienen los datos de nuestros clientes. Dependiendo de la tarea en cuestión, un empleado puede descargar algunas hojas de cálculo de Excel en su máquina, por ejemplo, para hacer una presentación, pero nuestra política es mantener estrictamente seguros todos los datos del cliente en la nube.
6.5 ¿Cómo aseguran los teléfonos inteligentes de los empleados?
Los empleados de Lokad no tienen teléfonos inteligentes proporcionados por la empresa. Los datos no críticos, como recordatorios de calendario, se pueden enviar a través de dispositivos personales (no proporcionados por la empresa), pero los teléfonos inteligentes, al igual que las estaciones de trabajo, no contienen los datos de nuestros clientes.
6.6 ¿Utilizan un antivirus?
Sí, nuestras estaciones de trabajo tienen Microsoft Defender, según las configuraciones de Microsoft Windows 10+. No tenemos otro antivirus además de Microsoft Defender, pero nuestra actitud es que esta clase de herramienta tiende a hacer más daño que bien (en términos de seguridad informática). A modo de evidencia anecdótica, el hackeo de SolarWinds en 2020 se considera una de las mayores catástrofes de seguridad informática de todos los tiempos, y fue causado por un software que se suponía que mejoraría la seguridad en primer lugar. Más en general, casi todos los productos de software destinados a fines de seguridad requieren privilegios de sistema bastante altos. Como resultado, estos productos de software se convierten en sus propios vectores de ataque. Nuestra perspectiva sobre la seguridad informática es que menos es más, y que agregar piezas de tecnología muy complejas a nuestro panorama aplicativo casi invariablemente lo hace menos seguro, no más seguro.
6.7 ¿Los desarrolladores de software reciben capacitación periódica sobre métodos de evaluación de amenazas, estándares de codificación segura, listas de verificación de seguridad conocidas y marcos de trabajo?
Sí. Sin embargo, la mayoría de las listas de verificación conocidas reflejan principalmente arquitecturas que son “inseguras por diseño”. Siempre que sea posible, preferimos eliminar la fuente de problemas de seguridad en la etapa de diseño. Consulte también Empleados 6.2.
6.8 ¿Todos los contratos con los subcontratistas/trabajadores externos de Lokad incluyen un Acuerdo de No Divulgación (NDA)? ¿Este NDA cubre la información del cliente?
Sí a ambas preguntas, aunque Lokad, al momento de escribir esto, no depende de subcontratistas o trabajadores externos. Los equipos de ingeniería de software y científicos de la cadena de suministro de Lokad están completamente integrados por personas bajo el empleo y supervisión directa y permanente de Lokad.
Sin embargo, si Lokad considerara necesario contratar a un subcontratista, estaría sujeto a los mismos términos de propiedad intelectual (PI) y NDA que nuestros empleados permanentes. Estos acuerdos incluyen términos sobre la información de los clientes de Lokad.
6.9 ¿Se ha proporcionado a todo el personal externo de Lokad la capacitación interna de información y seguridad de Lokad (y la capacitación relevante continua)?
Lokad, al momento de escribir esto, no depende de subcontratistas o trabajadores externos. Los equipos de ingeniería de software y científicos de la cadena de suministro de Lokad están completamente integrados por personas bajo el empleo y supervisión directa y permanente de Lokad.
Sin embargo, si Lokad considerara necesario contratar a personal externo, esto sería un requisito. Todos los subcontratistas/trabajadores externos estarían sujetos a los mismos procesos de seguridad y requisitos de capacitación que nuestros empleados permanentes.
Como se mencionó anteriormente, Lokad actualmente no depende de personal externo, por lo tanto, no se lleva a cabo tal capacitación.
Consulte también Empleados 6.8
6.10 ¿Todos los contratos con las empresas que proporcionan personal externo de Lokad (cualquier contratista, consultor, etc., que participe en la prestación de los servicios de Lokad) requieren que los trabajadores externos sean evaluados mediante verificaciones de antecedentes? ¿Estas verificaciones de antecedentes se realizan de acuerdo con el nivel correspondiente de acceso a la información y la importancia del rol del empleado?
Lokad, al momento de escribir esto, no depende de subcontratistas o trabajadores externos. Los equipos de ingeniería de software y científicos de la cadena de suministro de Lokad están completamente integrados por personas bajo el empleo y supervisión directa y permanente de Lokad.
Sin embargo, si Lokad considerara necesario contratar a personal externo, esto sería un requisito. Todos los subcontratistas/trabajadores externos estarían sujetos a los mismos procesos de seguridad, verificaciones de antecedentes y requisitos de capacitación que nuestros empleados permanentes.
Nota: Históricamente hablando, muchos de los incidentes más grandes y peores, como el ciberespionaje, son cometidos por personas que tienen registros impecables. Esta es una de las razones por las que Lokad se muestra reacio a depender de personal externo y prefiere contratos de empleo directos y abiertos.
6.11 ¿Las cuentas administrativas se desactivan o eliminan automáticamente al final del empleo?
Sí. Todos los empleados de Lokad reciben sus derechos de acceso a través de un proveedor de identidad federado (Microsoft Azure Active Directory). Al final de su empleo, si corresponde, se revoca este acceso, desactivando automáticamente todos los derechos administrativos asociados.
Nota: La mayoría de los empleados de Lokad nunca reciben derechos administrativos ya que no son necesarios para la ejecución de sus tareas.
6.12 ¿Realiza verificaciones de antecedentes penales a todo el personal que tiene acceso a datos sensibles, datos financieros, datos bancarios, datos de tarjetas de pago, etc.?
Sí, las verificaciones de antecedentes se realizan estrictamente de acuerdo con los requisitos del trabajo que se realiza.
Cabe señalar que Lokad no gestiona internamente los datos de tarjetas de pago, esto es gestionado por terceros. Por lo tanto, el personal de Lokad no tiene acceso a ningún dato de tarjeta de pago de nuestros clientes.
6.13 ¿Qué precauciones toma Lokad para garantizar que el personal no autorizado no pueda acceder a las instalaciones donde se realiza el trabajo?
A nivel de edificio, Lokad opera en un edificio de oficinas que cuenta con vigilancia de terceros las 24 horas del día, los 7 días de la semana, con seguridad en el lugar.
A nivel de oficina, las instalaciones de Lokad tienen sus propios puntos de acceso seguros, independientes de los del propio edificio. Esta última capa evita que los empleados de otras empresas dentro del edificio accedan a las oficinas de Lokad.
Nota: cualquier visitante excepcional (como clientes, posibles candidatos, etc.) debe ser recibido físicamente y autorizado por los miembros del personal de Lokad.
6.14 ¿Se permiten visitantes en las instalaciones?
Si “instalaciones” se refiere a “el lugar donde se almacenan y procesan los datos de los clientes”, entonces no. Los datos de los clientes se almacenan en los centros de datos de Microsoft Azure. Estos centros de datos no están abiertos al público, Lokad mismo no puede acceder a ellos.
Sin embargo, Lokad ocasionalmente recibe visitantes en su sede corporativa. Nuestras oficinas no están abiertas al público, pero ocasionalmente surgen circunstancias excepcionales, como visitas de clientes, solicitantes de empleo esperando una entrevista, etc. Dichas visitas se planifican con anticipación y los visitantes son acompañados en todo momento por miembros del personal de Lokad mientras están en nuestras oficinas.
6.15 ¿Se almacenan los registros de datos en papel (y los medios electrónicos extraíbles que contienen datos) en gabinetes seguros e ignífugos durante la noche?
Lokad no opera con registros de datos en papel, ni opera con medios electrónicos extraíbles. Como no tenemos registros físicos para almacenar, Lokad no necesita gabinetes ignífugos.
Si bien ocasionalmente podemos imprimir un documento (Lokad imprime muy pocos documentos, si es que alguna vez lo hace), también tenemos una trituradora junto a la impresora. La política predeterminada de Lokad es no imprimir ningún documento confidencial, pero si teóricamente tuviera que hacerse, nuestra política predeterminada también es triturar el documento impreso inmediatamente después de su uso.
6.16 ¿Existe una política de escritorio despejado? En caso afirmativo, ¿hasta qué punto?
Sí, Lokad opera con una política de escritorio despejado firmemente establecida. Esta política se aplica “por diseño” a través de nuestro entorno digital.
Excepto por algunos documentos que estamos legalmente obligados a imprimir, o documentos ocasionales que se imprimen por necesidad (por ejemplo, un cartel para una feria comercial, aunque esto también se subcontrataría típicamente), el entorno de trabajo de Lokad es estrictamente digital.
Por lo tanto, al final del día, los empleados de Lokad no tienen nada que “despejar”. Una vez que se ha bloqueado la sesión de la computadora del empleado, una política que aplicamos estrictamente, el escritorio correspondiente se despeja efectivamente.
6.17 ¿Dónde llegan los faxes y quién podría acceder a ellos?
Lokad nunca ha tenido una máquina de fax, ya sea física o virtual. No conocemos ningún caso de uso convincente para cambiar nuestra postura sobre esta tecnología.
6.18 ¿Existe un proceso para verificar la devolución de los activos constituyentes (computadoras, teléfonos celulares, tarjetas de acceso, tokens, tarjetas inteligentes, llaves, etc.) al finalizar el empleo?
Sí, no solo tenemos un proceso establecido, sino también un software de gestión de activos de TI para respaldar este esfuerzo y minimizar la cantidad de errores administrativos.
Sin embargo, hemos diseñado deliberadamente la seguridad de Lokad para que no dependa de la devolución oportuna de los activos constituyentes. Lokad asume que cualquier activo constituyente tiene una alta probabilidad de perderse o ser robado, sin importar cuán disciplinados y capacitados sean nuestros empleados. En la práctica, esto rara vez sucede, pero desde una perspectiva de ingeniería, hacemos la suposición opuesta. Por esta razón, los activos constituyentes pueden ser desactivados de forma remota. Además, aplicamos el cifrado completo de la unidad siempre que sea aplicable.
En general, nuestro entorno de trabajo ha sido diseñado para no requerir ningún almacenamiento persistente de datos de clientes en estaciones de trabajo, computadoras portátiles o teléfonos celulares. Este diseño alivia considerablemente la criticidad de los activos constituyentes en caso de que nuestras otras medidas preventivas fallaran.
6.19 ¿Las políticas y/o procedimientos de Recursos Humanos (RR. HH.) son aprobados por la dirección y comunicados a los interesados, y se designa a un responsable para su mantenimiento y revisión?
Sí, nuestras políticas y procedimientos de Recursos Humanos han sido aprobados formalmente por la alta dirección. Damos un gran énfasis a la comunicación clara, y como tal, estas políticas y procedimientos se han difundido ampliamente a todos los interesados relevantes para garantizar una comprensión y cumplimiento completos.
Además, hemos designado a un responsable que es responsable del mantenimiento continuo, las actualizaciones y la revisión periódica de las políticas y procedimientos. Esto garantiza que nuestras prácticas se mantengan actualizadas, relevantes y en línea tanto con los estándares de la industria como con nuestros objetivos organizacionales.
6.20 ¿Hay dispositivos móviles personales (BYOD), en lugar de propiedad de la empresa, utilizados por personas asociadas con su organización que tienen acceso a datos de clientes?
No, Lokad no permite el acceso a datos de clientes en dispositivos móviles personales (BYOD). Proporcionamos a nuestros empleados hardware de alta calidad propiedad de la empresa, eliminando la necesidad de dispositivos personales. Esta disposición aborda el escenario común en el que los empleados recurren a sus propios dispositivos debido a la insatisfacción con el hardware de la empresa de baja calidad.
Además, nuestros protocolos operativos están diseñados de tal manera que incluso en nuestros dispositivos propiedad de la empresa, los datos de los clientes no se almacenan permanentemente. Todo el procesamiento de datos se realiza dentro de nuestra plataforma basada en la nube. En los dispositivos de los empleados, los datos de los clientes (si se accede alguna vez) se manejan de forma transitoria y solo en segmentos mínimos, garantizando la máxima seguridad.
Notas
-
En la industria de los videojuegos, muchos, si no la mayoría, de los empleados son verdaderamente apasionados por los videojuegos; no solo por los que fueron desarrollados por el empleador, sino por el mercado en su conjunto. Muchos de estos empleados no solo “hacen su trabajo”; están emocionalmente invertidos en el resultado de su trabajo. En contraste, el estado predeterminado de los empleados del software empresarial es, francamente, un aburrimiento inmenso. Hacer que a las personas les importe un software empresarial es una batalla cuesta arriba, pero necesaria. ↩︎
-
Las tecnologías de pronóstico, un ingrediente clave de las soluciones de optimización de la cadena de suministro, son particularmente propensas a exageraciones espectaculares, tanto en términos de precisión de pronóstico como de resultados positivos para las empresas clientes. Ver Las 10 mentiras de los proveedores de pronósticos ↩︎
-
La corrupción epistémica es una fascinante clase de problema de seguridad. Degradan el software no a través del código, sino a través de la propagación de creencias incorrectas o dañinas entre los especialistas que dirigen el desarrollo del software. Ver Investigación de mercado adversarial para software empresarial ↩︎
-
Incluso las personas más confiables suelen estar agotadas, enfermas o angustiadas en ocasiones. El viejo dicho dice que cualquier sistema (informático) que dependa de la confiabilidad humana es poco confiable. ↩︎