Guía de buenas prácticas para la seguridad de tu Sage

En AELIS velamos constantemente por la seguridad de las soluciones de nuestros clientes, poniendo en marcha, de forma regular, diversas acciones e iniciativas encaminadas a potenciar y mejorar dicha seguridad.

Por un lado, realizamos análisis proactivos con el objetivo de identificar potenciales mejoras e implantar mecanismos que refuercen la fiabilidad de nuestras soluciones.

Por otra parte, compartimos esta guía de buenas prácticas que proporcionan recomendaciones para una correcta instalación y configuración de las soluciones. En este sentido, y para tu información, te contamos cuáles son las recomendaciones de seguridad que debes tener en cuenta para tu Sage Murano, Sage 200 y Sage Despachos Connected.

GUIA DE BUENAS PRÁCTICAS

Esta guía de buenas prácticas recoge muchos de los controles que deberán tener en cuenta para asegurar sus datos.

GARANTIZAR LA SEGURIDAD DE LA INFRAESTRUCTURA LOCAL DE LAS APLICACIONES

Datos de clientes, información financiera, asientos contables… vas a terminar almacenando ésta y otra información sensible utilizando nuestros productos de gestión. Esta información puede almacenarse:

  • En tus servidores locales: si utilizas una solución on-premise.
  • Fuera de la infraestructura de tu empresa en el caso de utilizar la versión de Sage en la nube.

Recuerda que siempre obtendrás una mayor Seguridad, de una manera más sencilla, si optas por alguna de las versiones en la nube. Tendrás un mayor nivel de seguridad sin ningún esfuerzo adicional por tu parte si decides utilizar ”Sage 200 cloud”, “Sage Despachos en la nube” o las versiones del programa Partner Cloud, como la opción de Cloud de AELIS.

Sin embargo, si decides continuar utilizando alguna de las versiones locales de estos productos o incluso si alojas estos productos por medio de algún proveedor de almacenamiento no recomendado por Sage, estas recomendaciones de seguridad te resultarán de utilidad. Independientemente de donde hayas decidido finalmente alojar los datos gestionados por el programa, es importante adoptar un enfoque de seguridad a varios niveles. En este sentido, debe estar alineado con los distintos estándares de la industria, de forma que los datos permanezcan siempre con el mayor nivel de seguridad posible.

MANTENER LOS SISTEMAS SIEMPRE ACTUALIZADOS

Asegúrate de instalar siempre las últimas actualizaciones del software y del sistema operativo, de modo que siempre utilices las últimas versiones compatibles de Microsoft Windows. Este aspecto es igualmente aplicable a nuestros productos: por favor, instala siempre las últimas actualizaciones de Sage Murano, Sage 200 y Sage Despachos Connected. Las actualizaciones de producto suelen incluir mejoras en la seguridad, el rendimiento y la funcionalidad.

SEGURIDAD EN LA BASE DE DATOS

Utiliza identificadores de usuario únicos en Microsoft SQL Server

De acuerdo con el Principio de Mínimo Privilegio, debes asegurarte de que cada una de las bases de datos de Sage Murano, Sage 200 o Sage Despachos Connected (en caso de tener más de una) estén configuradas de modo que utilicen un identificador único de inicio de sesión cada una de ellas, de forma que cada uno de ellos sólo sirva para acceder a una de las bases de datos, pero no al resto. Otra forma de cumplir con este principio, en caso de que tengas más de una base de datos por cualquier motivo, es separarlas en servidores o instancias diferentes. Con esto conseguiremos que cada inicio de sesión sólo de acceso a una de ellas.

Asegura el servidor otorgando al usuario de base de datos el nivel de permiso adecuado

Es altamente recomendable evitar que el usuario de la base de datos (“logic”) esté configurado como System Administrator (sa). En su lugar, configura simplemente esta cuenta de usuario en la base de datos como db_owner.

Configura la base de datos para que todas las conexiones hacia ella sean encriptadas

Debes activar el protocolo TLS y configurarlo utilizando un certificado válido para la conexión con la base de datos, de manera que se pueda garantizar la seguridad y la integridad de los datos durante su envío
entre el programa y la base de datos.

Restringe el acceso al servidor de base de datos a través de la red

Además de todas las medidas de seguridad comentadas hasta ahora, Sage recomienda también hacer que Sage Murano, Sage 200 o Sage Despachos Connected funcionen en una VLAN separada del resto, o bien
implementar un control de acceso a la red estricto (Network Access Control, NAC) mediante “MAC pinning” (puedes configurarlo en Microsoft Windows de forma que sólo se permita el tráfico de ciertas direcciones MAC con otros dispositivos de tu red).

No utilices las contraseñas por defecto

Tal y como os hablamos en el artículo anterior de ”Personaliza tu contraseña de acceso a Sage para una mayor seguridad”, la instalación de Sage Murano, Sage 200 y Sage Despachos Connected permite definir una contraseña personalizada que será utilizada por el usuario de la base de datos. Sin embargo, durante el asistente de instalación y configuración, no es obligatorio definir tu propia contraseña. Si no has definido tu propia contraseña para el usuario de la base de datos, y aun sigues utilizando alguna de las contraseñas por defecto que el programa te ha facilitado, te recomendamos que cambies tu contraseña y establezcas una nueva que sea suficientemente segura.

SEGURIDAD DE SAGE MURANO, SAGE 200 Y SAGE DESPACHOS CONNECTED

Evita que los usuarios puedan instalar programas de terceros

Como ya sabes, Sage Murano, Sage 200 y Sage Despachos Connected son productos que, en sus versiones de escritorio, se ejecutan en Microsoft Windows y pueden ser instaladas de forma que sólo utilicen un único ordenador, o de forma que se puedan utilizar desde distintos ordenadores dentro de tu propia red interna de trabajo.
Dado que estos productos almacenan y procesan multitud de datos e información sensible, es muy importante que se pueda garantizar su seguridad e integridad. En este sentido, Sage te recomienda que configures tus ordenadores donde vayas a ejecutar las soluciones de manera que sea el único software que se pueda ejecutar en tus máquinas de trabajo. Sin embargo, la realidad es que los usuarios a menudo necesitan de otros programas para poder llevar a cabo su trabajo. Por ello, deberías considerar la implementación de algunas medidas de seguridad adicionales para garantizar que sólo los programas que tú necesites se puedan instalar y ejecutar en tus ordenadores.

Permisos de las cuentas de usuario de tus sistemas

Es muy importante que los usuarios de Windows que se utilicen para acceder a nuestros productos no tengan privilegios de administración.
Configurar todos los usuarios como estándar y restringir su capacidad para ejecutar otros procesos con elevación de permiso es una de las principales recomendaciones para tu instalación. Está considerado uno de los principales estándares en la industria.

Activar la aleatorización de imágenes (ASLR)

Asegúrate de tener activas las opciones de “Protección contra vulnerabilidades de seguridad” en tus equipos (tanto en el/los servidor/es como en los puestos de trabajo). Básicamente, consiste en la activación de forma obligatoria de la aleatorización de imágenes (o ASLR en inglés, Address Space Layout Randomization) y la Prevención de ejecución de datos (o DEP, del inglés Data Execution Prevention). Ambas son medidas altamente efectivas que evitarán la posible ejecución de algunos ataques y diferentes exploits en tus sistemas.
Desde AELIS, te recomendamos activar ambas medidas de seguridad en tus ordenadores, aunque el más importante de los dos es el ASLR.

No expongas tu solución a Internet mediante el protocolo Remote Desktop Protocol (RDP)

Si accedes a Sage 200 o Sage Despachos desde más de un puesto de trabajo, y utilizas Terminal Server para acceder a estas soluciones desde fuera de tu sitio habitual de trabajo a través de Internet, debes
plantearte tunelizar el tráfico RDP a través de una conexión HTTPS, de manera que puedas utilizar el programa directamente en un navegador web.

Desactiva el Modo Seguro en todos los puestos de trabajo

El Modo Seguro hace que Windows se inicie mediante un estado básico de su configuración, y está especialmente indicado para solucionar algunos problemas con los drivers del sistema y algunos otros aspectos de la configuración. Sin embargo, un usuario malicioso podría hacer uso de esta característica para, por ejemplo, crear nuevos usuarios en el sistema, reactivar usuarios que hayan sido previamente desactivados y algunas otras cuestiones que podrían poner en riesgo la seguridad del sistema.Para evitar esta situación, la recomendación principal es desactivar la posibilidad de arrancar en Modo Seguro. Este cambio puede realizarlo de manera muy sencilla alguno de los administradores utilizando la herramienta MSConfig, o bien modificando las opciones de arranque de Windows.
Recuerda además que, como ya se ha comentado antes, las cuentas con privilegios de administración deben ser utilizadas exclusivamente para tareas administrativas, y nunca se deben utilizar en el día a día de los usuarios estándar. 

Criterios de referencia del CIS

Las recomendaciones del CIS (más conocidos CIS Benchmark, en inglés) son consideradas como un estándar de la industria a la hora de configurar de manera segura los servidores y los puestos de trabajo, de forma que se pueda garantizar su integridad y seguridad.
Estas recomendaciones abarcan medidas como la desactivación de la consola (CMD) o del Powershell en Microsoft Windows.  

BLOQUEO DE LOS PROGRAMAS / MODO QUIOSCO

De forma adicional a todas las recomendaciones anteriores, quizás puedas considerar la posibilidad de ejecutar Sage Murano, Sage 200 o Sage Despachos Connected en modo quiosco.

Esta forma de ejecutar las soluciones te permitirá obtener:

  • El mayor nivel de seguridad en los puestos de trabajo, de forma que puedas configurarlos para que sólo permitan la ejecución de uno de estos programas.
  • El modo multi aplicación, que permite ejecutar un número reducido de ellos si fuera necesario.

El equipo de seguridad de Sage ha recopilado una guía paso a paso, para que puedas hacer uso de esta característica en Microsoft Windows. Puedes llevar a cabo los siguientes pasos una vez hayas instalado y configurado Sage Murano, Sage 200 o Sage Despachos Connected en tu sistema:

  1. Dirígete al Panel de control/Programas y características/Activar o desactivar las características de Windows/Expande la entrada “Bloqueo de dispositivo/Selector de Shell/Aceptar.
  2. Añade o configura una cuenta de usuario estándar en tu sistema, en caso de que no tuvieras ya una.
  3. Descarga el código Fuente que encontrarás en Selector de shell y modifícalo, de manera que arranque Sage Murano, Sage 200 o Sage Despachos Connected utilizando la cuenta de usuario estándar del paso anterior.
  4. Aplica la configuración de AppLocker que encontrarás en este enlace.
  5. Asegúrate de añadir la consola de comandos (CMD) y el PowerShell a la lista de exclusión de ejecutables (puede ser que no estén incluídos por defecto).
  6. Utiliza el Editor de Políticas de Grupo para desactivar la combinación de teclas CTRL + ALT + DEL. Lo encontrarás en la opción “Configuración de usuario > Plantillas administrativas > Sistema > Opciones Ctrl+Alt+Del”. Marca todas las opciones para activar esta política.
  7. Puedes encontrar más opciones de configuración adicionales para blindar aún más tu quiosco en caso de que necesites ejecutar varias aplicaciones.
  8. Establece el inicio de sesión automático para el usuario del paso 2 y tendrás todo listo.

Pulsa AQUÍ para acceder en a esta guía de buenas prácticas para la seguridad de tu Sage en formato PDF.

¿Quieres que un técnico de AELIS lo haga por tí?

No dudes en contactarnos: 917 482 870 o 933 800 852.

Scroll al inicio
Llámanos al 933 800 852 | 917 482 870
Si lo prefieres te llamamos nosotros.

Envíanos tu Cv

Sube tu CV *

Solo PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX.

Completa el formulario

    Indícanos cuándo quieres que te llamemos