Introducción
Cuando tiene una aplicación en un ambiente de producción, es importante considerar las mejores prácticas que brindan un nivel adecuado de seguridad.
Estas mejores prácticas incluyen las recomendaciones de configuración emitidas por el proveedor de la aplicación, pero dentro de ellas, también debe adoptar las mejores prácticas que se adapten a la configuración de su infraestructura y que se apliquen a toda su empresa.
Le recomendamos que se comprometa y haga cumplir las pautas y procedimientos establecidos por las políticas y estándares relacionados con la seguridad de la información. De esta manera, los aspectos relacionados con el control, monitoreo, auditoría y otras características, se incluyen dentro de la definición de lo que constituye la seguridad de la aplicación.
Bizagi implementa un Portal de Trabajo para que lo utilicen los usuarios finales, como una aplicación web. Por ello, recomendamos implementar las medidas necesarias para el endurecimiento de las aplicaciones en cada proyecto, para mitigar ciertos riesgos y vulnerabilidades de los que las aplicaciones web no están exentas.
Refuerzos
Siga los refuerzos detallados en los enlaces a continuación, donde se presentan clasificadas en obligatorios y recomendados.
Refuerzos obligatorios
•Configurar el protocolo HTTPS
•Habilite una versión segura de TLS
•Configurar un paquete de cifrado SSL / TLS seguro
•Configurar TLS para la base de datos
•Cifrar información mediante HTTPS
•Filtrar solicitudes no autorizadas
•Definir la seguridad del caso
•Configurar el cifrado transparente de datos (TDE) del servidor SQL
Refuerzos opcionales
•Incluir protección adicional en los servicios web de Bizagi
•Eliminar carpetas no utilizadas en el entorno de producción
•Reescribir valores en variables de servidor
•Personalizar la forma de preferencias de usuario
•Cifrado de atributos en base de datos
Importante
Para Bizagi, la seguridad es un aspecto de crítica importancia.
Por ello, Bizagi libera periódicamente nuevas versiones las cuáles cuentan con múltiples mejoras, y fixes para problemas detectados en versiones anteriores.
Los fixes de problemas reportados podrán incluir soluciones definitivas a vulnerabilidades de seguridad.
Por lo tanto, se recomienda enfáticamente considerar la actualización periódica de su solución a las nuevas versiones de Bizagi, siguiendo siempre las directrices usuales en este procedimiento como lo son:
•Planear, coordinar y probar adecuadamente dichas actualizaciones.
•Apoyarse en los diferentes ambientes (desarrollo, pruebas, pre-producción cuando aplique, y producción).
•Tomar las medidas de contingencia necesarias antes del procedimiento (p.e backups).
•Evaluar las personalizaciones o configuraciones de seguridad como las listadas en esta sección, de forma que se tenga claro para los involucrados (stakeholders) que como parte del plan, hay aspectos que se deben re-configurar posterior a la actualización.
|
Cuando se cuenta con personalizaciones o algunas de las configuraciones de seguridad de esta sección, una de estas 2 alternativas debe tomarse al momento de actualizar de versión de Bizagi:
1. Si se lleva a cabo por medio de Bizagi Management Console, usted deberá re-configurar y verificar que dicha configuración esté aplicada aún después de la actualización. Nótese que por defecto, la actualización realizada por Bizagi Management Console no considera las modificaciones hechas a los archivos originales o la estructura de archivos (por lo que se sobrescriben cambios).
2. Podrá optar por llevar a cabo una actualización de versión manual a su vez (sin utilizar Bizagi Management Console). De hacerlo así, asegúrese de considerar todos los componentes relevantes de la solución, para que pueda reemplazar los archivos nuevos del Portal de Trabajo y del servicio Programador, mientras conserve las personalizaciones o configuraciones anteriores. |
Para aspectos muy críticos de seguridad, Bizagi podrá considerar la emisión de hot fixes recomendados para aplicarse sin necesidad de esperar a una nueva versión.
Consideraciones para la plataforma
Tenga presente que siempre aplican las recomendaciones de Microsoft como fabricante de la plataforma base de Bizagi en una configuración de .NET.
Considere los boletines y notificaciones de actualización de fixes y parches que emite Microsoft en relación a un sistema operativo Windows o al IIS pero teniendo en cuenta las correspondientes pruebas y la verificación de no afectar al proyecto de Bizagi.