Gestió de la Seguretat
Cas pràctic
La gestió de "Cater Matters" és conscient que un enfocament sobre la seguretat basat exclusivament en el concepte de "fortificació davant d'atacs" no es correspon amb les necessitats de negoci.
És important que els clients de "Cater Matters" tinguin accés a informació actualitzada sobre les seves comandes, pagaments pendents, etc, i això requereix la interacció amb l'ERP de l'empresa.
Això, òbviament, presenta alguns problemes de seguretat addicionals ja que han d'obrir-se canals a l'exterior des de el nucli TI de l'organització.
La direcció de "Cater Matters" ha decidit crear una sèrie de Web Services que permetin l'accés a aquesta informació preservant la seva confidencialitat i integritat. Això requereix la revisió del Pla de Seguretat i les seccions de seguretat dels SLAs vigents.
Com a mides de seguretat bàsiques:
- Es limiten els intervals d'IPs que poden accedir al servei. Només les IPs autoritzades de clients podran disposar del servei.
- S'implementen protocols d'encriptació dels arxius XML intercanviats.
- Es requereix autenticació per a l'accés al servei.
- Es monitoritza la interacció amb l'aplicació per tal de detectar possibles atacs externs.
- Es guarda un registre d'ús: qui, quan i com s'ha utilitzat l'aplicació.
- S'autoritza un sol canal d'entrada als servidors locals a través dels servidors web de l'empresa.
Es proposa una avaluació periòdica del servei amb l'objectiu de detectar vulnerabilitats i adoptar mides correctives.
L'objectiu és donar un servei de qualitat i amb alts nivells de seguretat que fidelitzi als clients en un temps de ràpid desenvolupament en el qual la competència es troba a un "sol clic de distància".
