|
<< Clic para mostrar Tabla de Contenidos >> Mejores prácticas en seguridad |
Las siguientes recomendaciones están relacionadas con la seguridad de la configuración y administración de Bizagi. Este artículo cubre diferentes aspectos, como el acceso de controles, autenticación, encriptación, programación segura e inicio de sesión. Estas recomendaciones tienen como objetivo ayudar a los usuarios a garantizar la confidencialidad, integridad, y disponibilidad de la Suite de Bizagi y sus respectivos datos, así como prevenir el acceso no autorizado, mal uso o modificación de estos.
Cada producto de Bizagi tiene recomendaciones de seguridad específicas. Por consiguiente, en este artículo se detallarán las mejores prácticas para Bizagi Studio y Bizagi Automation Service, incluyendo la Management Console.
En esta sección se detallan las mejores prácticas para garantizar la seguridad en Bizagi Studio, teniendo en cuenta los siguientes componentes:
Control de acceso
Para el control de acceso tenga en cuenta las siguientes consideraciones:
1.Cuando desarrolle un nuevo proyecto en Bizagi Studio, identifique los roles requeridos por los usuarios del proyecto y configure los permisos necesarios en la sección Administración de Bizagi Studio. Note que Bizagi Studio tiene una política que es permisiva por defecto. Esto quiere decir que, si ningún rol es configurado, todos los usuarios tendrán permiso para acceder a todas las secciones de su proyecto. Para más información sobre cómo administrar los roles de usuario, consulte Administración de usuarios.
2.Bizagi Studio administra la seguridad en entidades, para hacerlas visibles y editables a través de funciones globales y expresiones. Dependiendo del caso de negocio, configure la opción más segura para su organización. Habilitar este mecanismo le ayudará a controlar el acceso que tienen los desarrolladores a Bizagi Studio a diferentes procesos o elementos de un modelo. Para más información sobre cómo Bizagi Studio administra la seguridad, consulte Seguridad en Bizagi Studio.
3.Para manejar el acceso a la información de su proyecto puede configurar la Seguridad del caso. Un caso en Bizagi Studio puede ser público o privado y su seguridad puede ser definida desde la vista Experto en Bizagi Studio. Al marcar un caso como privado, solamente los usuarios asignados durante el proceso de ese caso pueden acceder a la información de este. Para aprender más sobre cómo se maneja la información sensible en Bizagi Studio, consulte Seguridad del caso.
Monitoreo y registro
Para configurar la seguridad en cuanto al monitoreo y registro, usted puede utilizar la herramienta de monitoreo Bizagi Diagnostics, la cual le permite monitorear las operaciones del Automation Server en los ambientes Prueba y Producción. Para más información sobre este tema, consulte Monitoreo y Bizagi Daignostics.
Manejo de la configuración
Cuando actualice un proyecto de Bizagi en ejecución, es recomendable que primero despliegue los cambios en el ambiente de Prueba, y haga pruebas para garantizar que todo funciona como es esperado.Después despliegue el poryecto a Producción. No recomendamos desplegar cambios directamente a ambientes de Producción. Para más información, consulte Deployment a Pruebas.
Identidad y autenticación
Es crucial que usted se asegure de que ha configurado de forma correcta los mecanismos de autenticación con un Proveedor de Identidad (IdP) de confianza, en el cual se gestionen mecanismos de múltiples factores. Para más información sobre este tema, consulte Autenticación del Portal de Trabajo.
Protección contra malware
Para protegerse del malware cuando cree un proyecto de Bizagi que requiera procesar o subir archivos, agregue restricciones de lista blanca o lista permitida de extensiones para limitar los tipos de archivo que se puedan subir usando el Portal de Trabajo. Para más información, consulte Archivos.
Seguridad en la API
Si requiere usar los servicios de la capa de integración de arquitectura orientada a servicios (SOA por sus siglas en inglés), implemente la capa de autenticación disponible de WS-Security (seguridad en servicios web). Habilitar los servicios web ASP.NET (o servicios ASMX) no es recomendable, ya que no tienen la posibilidad de configurar autenticación. Para más información, consulte Invocar Servicios Web (SOAP).
Protección de datos
En Bizagi Studio, los datos pueden estar en reposo (por ejemplo, almacenados en una base de datos) o en tránsito. Para ambos escenarios se deben tener en cuenta diferentes consideraciones de seguridad.
Datos en reposo
Para los datos en reposo es importante tener en cuenta:
1. Habilite el Cifrado de Datos Transparente (TDE) en la Base de Datos usada por Bizagi Studio. Este es un paso de fortalecimiento obligatorio para su ambiente de Bizagi Studio. Para más información, consulte Refuerzos de seguridad obligatorios.
2. En caso de que deba exportar un proyecto completo, Bizagi tiene la opción de exportar su respectiva metadata. Esto es útil para e equipo de soporte de Bizagi cuando un problema debe ser replicado y solucionado. Para exportar la metadata de forma segura, coloque una contraseña a los archivos .bex o .bdex, estos archivos se exportan una vez se desee hacer el despliegue del modelo de Bizagi. Usando una contraseña se cifrará el contenido del archivo y quedará protegido frente a exposiciones no autorizadas. Esta configuración está disponible en Bizagi Studio. Para más información, consulte Exportar la metadata de un proyecto para soporte.
Datos en tránsito
Para los datos en tránsito es importante que usted:
1. Configure la Seguridad de la Capa de Transporte (TLS) en la comunicación entre Bizagi Studio y la Base de Datos, para prevenir que las consultas sean vistas en texto en claro a través de la red.
2. Configure la comunicación del Automation Server usando HTTPS. Esto previene exponer credenciales y datos como Access Tokens en la red. Esto también restringe las versiones de TLS y los cifrados disponibles durante la comunicación.
Para más información sobre la configuración de seguridad de los datos en tránsito, revise Refuerzos de seguridad obligatorios.
Seguridad en el código
Bizagi es una plataforma que permite integrar código personalizado en algunos componentes como: Reglas de Negocio, Conectores, Autenticación Custom o Librería de Componentes. Si usted debe incluir código personalizado, Bizagi recomienda evaluar la seguridad de dicho código por medio de análisis estático, dinámico y/o de componentes.
En esta sección se detallan las mejores prácticas para garantizar la seguridad en Bizagi Automation Service, teniendo en cuenta los siguientes componentes:
Control de acceso
Para el control de acceso, tenga en cuenta las siguientes consideraciones:
1. Asegure que cada usuario del sistema tiene configurado un rol con los privilegios mínimos para su operación de acuerdo con cada funcionalidad. Para más información, consulte Seguridad del Portal de Trabajo.
2. Si va a utilizar APIs para consumir la información de Bizagi Automation, como OData, revise la configuración de tiempo de expiración del token y confirme que los usuarios tienen acceso a la API usando los roles del sistema. Para más infomración, consulte Autenticación de la API de Bizagi.
3. Limite el acceso al registro de aplicaciones de OData para evitar que cualquier usuario pueda crear integraciones con el Portal de Trabajo. Para más información, consulte Opciones Aplicaciones OAuth 2.0.
Control de acceso
Para el control de acceso en la Management Console, tenga en cuenta las siguientes consideraciones:
1. Configure los roles y personas para restringir el acceso a la información y evitar acciones no autorizadas. Para más información, consulte Opción Seguridad de la Management Console.
2. En la sección autenticación de la Management Console, seleccione el tipo de autenticación que soporte sus requerimientos de negocio. Para más información, consulte Opción Seguridad de la Management Console.
Monitoreo y registro
En el caso de monitoreo y registro, se deben considerar las siguientes configuraciones de seguridad:
1.Configure y habilite las trazas disponibles en la Management Console. Recomendamos habilitar la opción todos.
2. Revise regularmente el log de eventos disponible en la Management Console para identificar errores en su modelo.
3. Configure y habilite las trazas disponibles en la Management Console. Recomendamos al menos habilitar las trazas de Autenticación, Bizagi API, Conectores, Reglas y Expresiones.
Para más información, consulte Log de eventos.
Seguridad de la API
Si requiere usar los servicios de la capa de integración de la arquitectura orientada a servicios (SOA por sus siglas en inglés), implemente la capa de autenticación disponible de WS-Security. Habilitar los servicios web ASP.NET (o servicios ASMX) no es recomendable, ya que no tienen la posibilidad de configurar autenticación. Para más información, consulte Seguridad de servicios web.