El presente documento tiene por objeto explicar cómo funciona la seguridad de información en GO-ON ERP.

La seguridad de la información en GO-ON ERP se encuentra dividida en los diferentes bloques:

  1. Seguridad aplicativa
  2. Transmisión de información
  3. Aplicación y reglas de negocio
  4. Base de Datos

 

Seguridad Aplicativa.

Dentro del mismo sistema ERP se controla la seguridad de la información que un usuario puede ver y administrar mediante 3 tipos de restricción:

  • Restricción por Objeto
  • Restricción por Módulo
  • Restricción por Almacén
  • Restricción por Sucursal

 

Restricción por Objeto

La información se encuentra segmentada en el ERP mediante el uso de Grupos de Usuario y Perfiles de Usuario. Los grupos de usuario reciben permisos que habilitan o deshabilitan diferentes funciones dentro del ERP. La seguridad se establece mediante objetos de negocio y, cada uno de ellos permite hasta tres niveles de permiso:

  • Control Total
  • Lectura
  • No Ver

El permiso Control Total permite el mantenimiento completo del objeto de negocios, incluyendo visualización, edición, alta y borrado del objeto.

El permiso Lectura permite exclusivamente la visualización de los elementos de un objeto de negocios, pero no permite el mantenimiento, es decir, con este permiso no se habilita el alta, mantenimiento ni baja de elementos.

El permiso No Ver inhabilita el acceso al objeto de negocios, es decir, con este nivel de permiso, el usuario no podrá ver el catálogo del objeto de negocio en cuestión.

 

Los grupos de usuario se pueden dar de alta y mantener (siempre que se tenga permiso para ello), y siempre existirá uno denominado “Todos”. A este grupo se le asignan permisos de la misma forma que a cualquier otro grupo de usuarios. Todos los usuarios pertenecen a este grupo.

Además del grupo “Todos” un usuario puede pertenecer a más de un grupo. La seguridad de cada usuario se hereda de acuerdo con los grupos a los que pertenezca el usuario. La seguridad efectiva del usuario considera la seguridad más permisiva de todos los grupos a los que pertenece un usuario, por ejemplo, si pertenece al grupo “Todos” y al grupo administradores” y, si el grupo “Todos” no permite ver el objeto facturas de cliente y el grupo administradores” tiene permiso de control total, entonces el usuario tendrá permiso de control total sobre el objeto facturas de cliente.

Es posible visualizar la seguridad efectiva del usuario dentro del menú Configuración >> Seguridad >> Usuarios. Dando clic en la edición del usuario que se desea analizar, dando clic en el botón “Permisos”.

 

Restricción por Módulo

 

Además del permiso de cada objeto, a cada usuario se le puede restringir el módulo al que puede acceder. Eso impide que el usuario vea objetos de todo un módulo completo. Por ejemplo, si se quiere restringir que el usuario acceda a toda la información contable, entonces se desactiva el acceso al módulo de finanzas completo. Esta acción se realiza en la opción de menú “Configuración >> Seguridad >> Usuarios”, Dando clic en la edición del usuario que se desea analizar.

 

Cuando se restringe el acceso a módulos, el usuario simplemente no ve la opción para acceder al módulo en la barra superior de navegación del ERP.

 

Restricción por Almacén.

 

Además de los esquemas se seguridad mencionados, GO-ON ERP permite limitar por grupo de usuario el acceso a diferentes almacenes. Esto permite que un usuario de cierto almacén no opere ni visualice la información de otro almacén.

El permiso por sucursal permite asignar uno o múltiples almacenes a grupos de usuarios y, de la misma manera que con los permisos de objeto, el usuario heredará el permiso a almacenes de todos los grupos a los que pertenezca.

Para asignar la seguridad por Almacén, dirígete a la opción del menú “Configuración >> Seguridad >> Grupos de Usuario”, selecciona el grupo de usuario que necesitas restringir y da clic en el botón Almacenes. Esto te llevará a la pantalla de almacenes por grupo. Desde ahí podrás asignar los almacenes debidos.

* Nota. Si no se asigna ningún almacén, se asume que el grupo de usuarios podrá mantener todos los almacenes.

 

Restricción por Sucursal.

 

Además de los esquemas se seguridad mencionados, GO-ON ERP permite limitar por grupo de usuario el acceso a diferentes sucursales. Esto permite que un usuario de cierta sucursal no opere ni visualice la información de otra sucursal.

El permiso por sucursal permite asignar una o múltiples sucursales a grupos de usuarios y, de la misma manera que con los permisos de objeto, el usuario heredará el permiso a sucursales de todos los grupos a los que pertenezca.

Para asignar la seguridad por sucursal, dirígete a la opción del menú “Configuración >> Seguridad >> Grupos de Usuario”, selecciona el grupo de usuario que necesitas restringir y da clic en el botón Sucursales. Esto te llevará a la pantalla de almacenes por grupo. Desde ahí podrás asignar los almacenes debidos.

* Nota. Si no se asigna ningún almacén, se asume que el grupo de usuarios podrá mantener todos los almacenes.

Transmisión de Información

 

GO-ON ERP es un software que funciona en la nube. Por lo mismo, constantemente viaja información entre el equipo cliente y el ambiente en la nube.

Para garantizar que esa comunicación viaje de forma segura para que no pueda ser interceptada por algún programa o persona mal intencionada, la información viaja de forma encriptada. Para ello se utiliza un certificado de cifrado SSL.

Un certificado SSL es un certificado digital que autentica la identidad de un sitio web y habilita una conexión cifrada. La sigla SSL significa Secure Sockets Layer (Capa de sockets seguros), un protocolo de seguridad que crea un enlace cifrado entre un servidor web y un navegador web.

Las empresas y las organizaciones deben agregar certificados SSL a sus sitios web para proteger las transacciones en línea y mantener la privacidad y seguridad de la información del cliente.

En resumen: el certificado SSL mantiene seguras las conexiones a Internet y evita que los delincuentes lean o modifiquen la información transferida entre dos sistemas. Cuando veas un ícono de candado junto a la URL en la barra de direcciones, significa que hay un certificado SSL que protege el sitio web que estás visitando.

Los certificados SSL funcionan garantizando que los datos transferidos entre usuarios y sitios web, o entre dos sistemas, sean imposibles de leer. Utiliza algoritmos de cifrado para cifrar los datos en tránsito, lo que evita que los hackers la información que se envía a través de la conexión. Estos datos incluyen información potencialmente confidencial, como nombres, direcciones, números de tarjetas de crédito u otros detalles financieros.

 

El proceso funciona de la siguiente manera:

  1. Un navegador o servidor intenta conectarse a un sitio web (es decir, un servidor web) protegido mediante certificados SSL.
  2. El navegador o servidor solicita que el servidor web se identifique.
  3. En respuesta el servidor web envía al navegador o servidor una copia de su certificado SSL.
  4. El navegador o servidor evalúa si el certificado SSL es confiable. En caso afirmativo, envía una señal al servidor web.
  5. A continuación, el servidor web devuelve un reconocimiento firmado digitalmente para iniciar una sesión cifrada mediante SSL.
  6. Los datos cifrados se comparten entre el navegador o servidor y el servidor web.

Este proceso a veces se conoce como “enlace SSL”. Aunque parece ser un proceso largo, se lleva a cabo en milisegundos.

Cuando un sitio web está protegido mediante un certificado SSL, en la URL aparece la sigla HTTPS (que significa HyperText Transfer Protocol Secure, protocolo de transferencia de hipertexto seguro). Sin un certificado SSL, solo aparecerán las letras HTTP, es decir, sin la S de “seguro”. También se mostrará un ícono de candado en la barra de dirección URL. Esto indica que se trata de un sitio web confiable y brinda tranquilidad a quienes lo visitan.

Para ver los detalles de un certificado SSL, puedes hacer clic en el símbolo de candado ubicado en la barra del navegador. Estos son algunos de los detalles que generalmente se incluyen en los certificados SSL:

  • El nombre de dominio asociado al certificado emitido
  • A qué persona, organización o dispositivo se emitió
  • Qué autoridad de certificación lo emitió
  • La firma digital de la autoridad de certificación
  • Subdominios asociados
  • Fecha de emisión del certificado
  • La fecha de vencimiento del certificado
  • La clave pública (no se revela la clave privada) 

 

Aplicación y reglas de negocio

 

El aplicativo e interfaz están instalados en una granja de servidores Windows 11 Enterprise, versión 22H2, que es un sistema operativo óptimo para funcionamiento en Microsoft Azure, que es donde se encuentra alojado el aplicativo.

El sistema es multicapa, esto quiere decir que el aplicativo completo de confirma de varios elementos, de entre los cuales destacan:

  • Interfaz de Usuario
  • Capa de Reglas de Negocio
  • APIs de Integración
  • Extracción XML para devolución de datos para integración con BI y Data Lakes
  • Webhooks de recopilación automática de datos
  • Base de Datos

 

Al estar trabajando en servidores Windows hospedados en Microsoft Azure, además de la implementación de Microsoft Defender for Cloud, respetamos los siguientes reglamentos de seguridad:

  • Ejecución del programa de instalación desde un origen de confianza y comunicación segura
  • Extensión del esquema de Active Directory y publicación de sitios al dominio
  • Uso de IPsec para proteger las comunicaciones
  • Uso de Configuration Manager y sus respectivos Grupos de seguridad predeterminados
  • Administración del proceso de aprovisionamiento de claves raíz de confianza
  • Uso de números de puerto no predeterminados
  • Separación de roles en sistemas de sitio
  • Reducción del perfil de ataque
  • Configuración de direcciones IP estáticas para sistemas de sitio
  • No instale otras aplicaciones en servidores de sistema de sitio
  • Firma requerida y habilitación del cifrado como opción de sitio
  • Restricción y supervisión de usuarios administrativos
  • Protección de copias de seguridad de Configuration Manager
  • Ubicaciones seguras para objetos exportados
  • Revisión manual constante de certificados de servidores
  • Eliminación de sistemas de sitio basados en Internet para puentear la red perimetral
  • Servidor de sitio para iniciar conexiones a redes perimetrales
  • Uso del puente SSL y la terminación con autenticación
  • Si usa la notificación por correo electrónico, configure el acceso autenticado al servidor de correo SMTP.
  • Aplicación del enlace de canal LDAP y la firma LDAP

 

 

Base de Datos

 

La solución está conformada por múltiples bases de datos que, en conjunto, almacenan la información total del entorno. La estructura de dichas bases de datos se establece conforme a las mejores prácticas de datos relacionales. Se cuenta con tablas de catálogos, transacción, así como tablas de hechos para un mejor desempeño, siempre cuidando el indexado y la relación entre ellas.

Dichas bases de datos residen en un ambiente SQL Server Azure (managed instance) y, así como con la aplicación residente en los servidores Windows, con los datos seguimos las mejores prácticas conforme a los lineamientos establecidos por Microsoft para el mejor uso de datos, considerando escalabilidad y desempeño.

Actualmente realizamos 3 tipos de respaldo;

  • Respaldo incremental. Respaldo que revisa cambios desde el último respaldo completo. Ejecutamos 3 al día:
    1. 10:00 hrs.
    2. 15:00 hrs.
    3. 19:00 hrs.

 

  • Respaldo completo. Diariamente se hace un respaldo de información completa considerando historia e información actual. Ese respaldo se realiza una vez al día:
    1. 00:00 hrs.

 

  • Respaldo Histórico. Es un respaldo completo que se almacena y se guarda por tiempo indefinido. Se ejecuta cada 7 días.

 

Al estar trabajando en servidores SQL Maaged Instance hospedados en Microsoft Azure, además de la implementación de Microsoft Defender for Cloud, respetamos los siguientes reglamentos de seguridad:

  • Seguridad de Red
    1. Firewall de IP
    2. Firewall de Red Virtual
  • Administración de acceso
    1. Autenticación de SQL:
    2. Autenticación de Microsoft Entra:
    3. Autenticación de Windows para entidades de seguridad de Microsoft Entra:
  • Authorization
    1. Seguridad de nivel de fila
  • Protección contra amenazas
    1. Auditoría de SQL en los registros de Azure Monitor y Event Hubs
    2. Protección contra amenazas avanzada
  • Protección y cifrado de información
    1. Seguridad de la capa de transporte (cifrado en tránsito)
    2. Cifrado de datos transparente (cifrado en reposo)
    3. Administración de claves con Azure Key Vault
    4. Always Encrypted (cifrado en uso)
    5. Enmascaramiento de datos dinámicos
  • Administración de la seguridad
    1. Evaluación de vulnerabilidades
    2. Clasificación y detección de datos
    3. Cumplimiento normativo

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

AVISO DE CONFIDENCIALIDAD. La información contenida en este documento no deberá ser divulgada ni duplicada, utilizada o dada a conocer parcial o totalmente para propósitos que no sean los de evaluación de la propuesta por parte del cliente, sin autorización escrita de Programación y Tecnología de Innovación SRL de CV. Las ideas, conceptos y planteamientos presentados en este documento son, y seguirán siendo, propiedad de Programación y Tecnología de Innovación SRL de CV.

 

COPYRIGHT. Todos los derechos reservados. GO-ON y su logotipo son marcas registradas de Programación y Tecnología de Innovación SRL de CV. Todas las marcas registradas, nombres comerciales, marcas de servicio y logotipos mencionados aquí pertenecen a sus respectivas compañías.