Nuestra política de seguridad
En los tiempos que corren, la seguridad en el entorno digital en una empresa se vuelve algo determinante a la hora de diseñar sistemas y estrategias. Nadie en su sano juicio quiere tener que hacer frente a las consecuencias que un fallo en la seguridad puede conllevar. Un fallo en la seguridad de cualquier empresa pone en riesgo no solo su actividad y su desempeño, sino también la confianza de los clientes que, como sabemos, es muy difícil de recuperar.
Ninguna compañía, ni siquiera las más avanzadas del mercado, pueden garantizar un sistema seguro al 100%. Hasta las grandes compañías internacionales con presupuestos mucho mayores de lo que se puede imaginar, han sido hackeadas.
Aunque el riesgo siempre está presente, esto no es motivo para no preocuparse por la seguridad. Cuidando cada detalle se reducen riesgos y se logra un nivel de seguridad más que razonable. En DEVTIA queremos garantizar la máxima seguridad posible, para ello ponemos en prácticas todas las herramientas a nuestro alcance. En este artículo, queremos contarte en qué se basa nuestra política de seguridad y qué sistemas utilizamos para preservarla de la mejor manera posible.
Herramientas de trabajo corporativo
La elección de unas herramientas de trabajo fiables y que sean seguras al máximo nivel posible fue una de nuestras prioridades al diseñar nuestro sistema de trabajo. Solo confiamos en empresas líderes en su ámbito para incluirlas en nuestro stack. Estas son nuestras principales herramientas de trabajo:
- Google suite: G suite es una suite de productos de google que proporciona a las empresas varias herramientas, pero bajo el amparo de la seguridad característica de Google. Utilizamos G suite para el correo, calendario, documentos y videoconferencias.
- Atlasian: Utilizamos Jira para gestionar nuestros proyectos y tareas. Anteriormente también usabamos bitbucket como repositorio para el control de versiones.
- Github: El código fuente de nuestros proyectos se aloja en repositorios privados de GitHub.
- Dropbox: Es uno de los referentes de los servicios de alojamiento en la nube. Utilizamos dropbox como copia de respaldo de todos los documentos e información que mantenemos tanto de la propia compañía como de nuestros clientes.
Este stack de tecnologías, nos permite no solo asegurarnos de que toda la información está en un nivel de seguridad de acceso más que razonable, si no que podemos asegurar que si se pierde o se estropea un equipo, toda la información está a buen recaudo y puede ser recuperada fácilmente.
Estaciones de trabajo
Ya os hemos contado el nivel de protección de las herramientas externas que utilizamos. A continuación, os contamos los protocolos de seguridad interna incluimos en nuestro equipos:
Todo el equipo utiliza ordenadores portátiles corporativos para el desempeño de su trabajo. Un ordenador portátil ofrece un plus de movilidad a la hora de de trabajar desde casa, transportarlo a cualquier lugar y poder estar operativos desde muchos sitios diferentes. Pero también tienen un mayor riesgo de pérdida, de robo o de romperse, por ello la seguridad en nuestros dispositivos portátiles es esencial. Al evitar que el equipo utilice sus equipos personales, se evitan los riesgos de seguridad que suelen tener los equipos personales.
Además les aplicamos las siguientes políticas de seguridad.
- Los equipos de trabajo corporativo siempre utilizan cifrado de disco, si a cualquiera de nuestros portátiles les ocurre algo, no se podrá acceder a la información que contiene, de esta manera toda la información confidencial de nuestros cliente se hace inaccesible y se mantiene protegida.
- Como hemos comentado, la información más importante se encuentra respaldada a través de las diferentes herramientas de trabajo corporativo, por lo que si se pierde o rompe un equipo, no perderemos ninguna información trascendental, solamente hay que comprar un nuevo equipo, e instalar y configurar lo necesario para trabajar.
Entornos de producción
En nuestros entornos de producción es dónde la seguridad toma una mayor importancia. Para garantizar la protección de nuestros servidores llevamos a cabo una serie de acciones en busca siempre de la mayor confianza posible tanto para nosotros como para el cliente. Son la siguientes:
- Como proveedor de hosting, utilizamos a Digital Ocean, hospedando nuestra plataforma en la nube a través de ellos. Este proveedor es, sin duda, uno de los líderes mundiales y una de las empresas más reconocidas en este ámbito. Sus años de experiencia y su excelencia en los resultados nos garantizan una tranquilidad extra para alojar el servidor de nuestros clientes.
- Para que los atacantes tengan mayores dificultades para acceder a nuestros sistemas, utilizamos un firewall muy restrictivo, dejándolo abierto el paso sólo para las comunicaciones imprescindibles.
- Mantenemos parcheados todos los servidores semanalmente, además seleccionamos cuidadosamente absolutamente todo lo que instalamos, no perdiendo en ningún momento de vista la seguridad.
- Todos los proyectos que realizamos, los publicamos bajo el protocolo HTTPS que mejora considerablemente la seguridad de las comunicaciones. Utilizamos certificados digitales facilitados por Let's Encrypt. Let’s Encrypt es una autoridad de certificación gratuita, automatizada, y abierta.
Además tenemos una cuidada política de backups:
- Se realizan backups diarios de la base de datos.
- Se realizan bakcups completos de los servidores de forma semanal.
Nuestros proyectos
Todo lo anteriormente expuesto carece de sentido si al programar nuestros proyectos lo hacemos sin tener ningún tipo de cuidado.
Por eso todos nuestros proyectos se desarrollan teniendo especial atención a la seguridad:
- Nuestros sistemas no son vulnerables a los tipos de ataques más comunes: SQLi, CSRF, CSS, etc.
- Nuestros sistemas basan su seguridad en la siguiente política:
- Identificar al usuario: autenticación
- Evaluar a través de un sistema de roles y permisos que tiene acceso a lo que pretende hacer: autorización.
- Se valida la información que proviene del usuario, evitando que se produzcan errores de dominio.