Seguridad de las aplicaciones
La evolución de las amenazas a la seguridad
En los primeros tiempos, antes de que se generalizara el uso de Internet, las impresoras se conectaban directamente mediante cables LPT y las preocupaciones en materia de seguridad eran mínimas. El mayor riesgo era físico: que alguien mirara por encima del hombro del usuario para ver los documentos impresos. El panorama de la seguridad era sencillo y las amenazas cibernéticas eran prácticamente inexistentes.
Sin embargo, a medida que las impresoras y los dispositivos se conectaron a la red, el panorama de las amenazas cambió drásticamente. Ahora que se puede acceder a las impresoras a través de redes de área local (LAN) e incluso de Internet, los atacantes ya no necesitan acceso físico. Amenazas como los ataques de tipo «man-in-the-middle» (MITM), la interceptación no autorizada de datos y los exploits remotos se han vuelto frecuentes. Los ciberdelincuentes han pasado de mirar por encima del hombro a espiar el tráfico de la red y explotar las vulnerabilidades.
Mitigar estos riesgos es un reto continuo, ya que surgen nuevas amenazas con frecuencia. Para hacer frente a estos retos de seguridad en constante evolución, MyQ Roger implementa prácticas de seguridad continuas, supervisión proactiva y sólidos mecanismos de defensa.
El enfoque de seguridad de MyQ Roger
MyQ Roger se ha creado con un enfoque que da prioridad a la seguridad, lo que garantiza que la innovación y la experiencia del usuario estén siempre en consonancia con los más altos estándares de seguridad. Nuestro compromiso con la seguridad se refleja en nuestros continuos esfuerzos por integrar medidas de seguridad robustas en cada etapa del desarrollo. Adoptamos una filosofía de «seguridad por defecto», incorporando la seguridad en nuestros productos y servicios desde el principio.
Para lograrlo, MyQ Roger aprovecha la automatización, las evaluaciones de riesgos basadas en datos y las mejores prácticas de seguridad para identificar y mitigar de forma proactiva las amenazas. Al implementar controles de seguridad en las primeras fases del ciclo de desarrollo, siguiendo un enfoque de «desplazamiento a la izquierda», nos aseguramos de que las vulnerabilidades se detecten y se corrijan antes de que lleguen a la fase de producción. Esta integración proactiva nos permite escalar de forma eficiente, reducir los riesgos y minimizar las amenazas de seguridad. Nuestro enfoque refuerza nuestro compromiso con la protección de los datos de los clientes, los flujos de trabajo y la postura de seguridad general.
Desplazamiento hacia la izquierda en materia de seguridad
El desplazamiento hacia la izquierda en materia de seguridad significa integrar la seguridad en una fase temprana del ciclo de vida del desarrollo de software (SDLC), en lugar de abordar las vulnerabilidades más adelante. Al detectar los problemas de seguridad en las etapas iniciales de desarrollo, evitamos costosas correcciones y mitigamos posibles infracciones. Esta estrategia proactiva garantiza que cada línea de código cumpla con los más altos estándares de seguridad antes de llegar a la fase de producción, lo que reduce los riesgos y refuerza nuestra postura de seguridad general.
Responsabilidades de seguridad de MyQ
MyQ Roger se compromete a proteger los datos de los clientes y a garantizar un entorno operativo seguro. Nuestras principales responsabilidades en materia de seguridad incluyen:
Protección de datos: MyQ garantiza que los datos de los clientes se almacenen y cifren de forma segura, evitando el acceso no autorizado y garantizando la confidencialidad de los datos.
Aplicación periódica de parches de seguridad: aplicamos de forma proactiva parches y actualizaciones de seguridad a todos los sistemas para eliminar las vulnerabilidades antes de que puedan ser explotadas.
Gestión del control de acceso: aplicamos políticas de acceso estrictas siguiendo el principio del mínimo privilegio, lo que garantiza que solo el personal autorizado pueda acceder a los recursos confidenciales.
Al defender estos principios de seguridad, MyQ Roger fomenta una cultura de seguridad, protegiendo a los usuarios de posibles amenazas y garantizando el cumplimiento de los estándares del sector.
Control/gestión de la seguridad de MyQ Roger
Aunque confiamos en una infraestructura de nube segura, MyQ Roger asume la responsabilidad directa de implementar capas de seguridad adicionales y cumplir con las mejores prácticas del sector. Nuestro enfoque incluye:
Gestión de claves con Azure Key Vault: utilizamos Azure Key Vault para almacenar y gestionar de forma segura todos los secretos, claves privadas y certificados, garantizando controles de acceso y cifrado estrictos.
Certificación ISO 27001: cumplimos con las normas ISO 27001 para mantener un enfoque estructurado y coherente de la seguridad de la información.
Detección y respuesta en los puntos finales (EDR): aprovechamos soluciones EDR avanzadas para detectar, analizar y mitigar las amenazas de seguridad en tiempo real, lo que reduce el tiempo de respuesta y minimiza los riesgos.
Prácticas de desarrollo seguro: nuestro ciclo de vida de desarrollo de software seguro incluye evaluaciones de vulnerabilidad, supervisión continua y análisis de seguridad automatizados para detectar y corregir fallos de seguridad.
Auditorías de seguridad periódicas: realizamos auditorías internas y externas para garantizar el cumplimiento y abordar de forma proactiva los riesgos de seguridad.
SIEM con Azure Sentinel: utilizamos Azure Sentinel para la detección de amenazas en tiempo real, la respuesta automatizada y la supervisión continua de la seguridad en todos los entornos de nube y red.
Al implementar estas medidas de seguridad, MyQ Roger refuerza su marco de seguridad general, garantizando que los datos de los clientes permanezcan protegidos en todo momento.
Microsoft Azure y el cumplimiento normativo
MyQ Roger se ejecuta en Microsoft Azure, aprovechando Azure Kubernetes Service (AKS), Azure SQL Servers y Azure Cosmos DB para MongoDB. Al operar dentro de la infraestructura de Azure, nos beneficiamos de los estándares de seguridad, cumplimiento normativo y fiabilidad líderes en el sector de Microsoft.
Responsabilidades de Microsoft en materia de seguridad y cumplimiento normativo
Azure se adhiere a marcos de cumplimiento globales como ISO 27001, SOC 2 y GDPR en la UE, lo que garantiza el cumplimiento de estrictas normas reglamentarias.
Microsoft proporciona características de seguridad integradas, como aislamiento de red, protección de identidad y detección continua de amenazas, lo que reduce las superficies de ataque.
Los servicios de Azure se someten a rigurosas evaluaciones de seguridad y pruebas de penetración para identificar y corregir de forma proactiva las vulnerabilidades.
Aprovechando la infraestructura segura de Azure, MyQ Roger añade sus propias capas de seguridad para crear un modelo de seguridad robusto y resistente que protege las aplicaciones y los datos de los clientes.
Responsabilidades de seguridad del cliente
Aunque MyQ Roger proporciona una infraestructura segura y las mejores medidas de seguridad de su clase, los clientes también tienen responsabilidades clave para garantizar la seguridad de su entorno. Entre ellas se incluyen:
Mantener una lista de usuarios activos: los clientes deben gestionar continuamente el acceso de los usuarios aprovechando la sincronización automática de usuarios o desactivando manualmente las cuentas inactivas para minimizar el riesgo.
Aplicación del control de acceso basado en roles (RBAC): los clientes deben aplicar los principios del RBAC para restringir el acceso de los usuarios solo a los permisos necesarios, lo que garantiza una mayor seguridad y eficiencia operativa.
Proteger la red local: aunque MyQ Roger funciona con un modelo de confianza cero, los clientes deben asegurarse de que su red local cumpla con las mejores prácticas de seguridad, como configuraciones de cortafuegos, segmentación de la red y protección de los puntos finales.
Mantenimiento adecuado de los recursos: Todos los dispositivos conectados, incluidas las impresoras y los dispositivos multifunción (MFP), deben actualizarse periódicamente con el firmware y los parches de seguridad más recientes para evitar vulnerabilidades.
Al cumplir con estas responsabilidades, los clientes refuerzan su postura de seguridad y se benefician del completo marco de seguridad de MyQ Roger.
Automatización de la seguridad
Para mejorar aún más la seguridad a lo largo del ciclo de vida del desarrollo, MyQ Roger integra pruebas de seguridad automatizadas y evaluaciones de seguridad externas:
SAST (pruebas estáticas de seguridad de aplicaciones): se realizan en cada compromiso para detectar vulnerabilidades de seguridad en una fase temprana del ciclo de desarrollo, lo que reduce la probabilidad de que el código inseguro llegue a la producción.
DAST (pruebas dinámicas de seguridad de aplicaciones): se realizan en entornos sandbox para identificar y mitigar los riesgos de seguridad en tiempo de ejecución antes de la implementación.
Pruebas de penetración externas: Contratamos a expertos en seguridad independientes para que realicen pruebas de penetración, lo que garantiza que nuestras defensas de seguridad puedan resistir escenarios de ataque reales.
Al automatizar las pruebas de seguridad y realizar evaluaciones externas periódicas, MyQ Roger mantiene una postura de seguridad proactiva y resistente.
Conclusión
En MyQ Roger, la seguridad no es una cuestión secundaria, sino que forma parte integral de nuestro producto y del ciclo de vida del desarrollo. Al combinar principios de seguridad desde el diseño, las mejores prácticas del sector y un sólido marco de cumplimiento, ofrecemos una postura de seguridad robusta que protege los datos y las operaciones de nuestros clientes. Nuestro compromiso con la mejora continua de la seguridad garantiza que MyQ Roger siga siendo resistente frente a las amenazas en constante evolución, al tiempo que mantiene los más altos estándares de fiabilidad y confianza. Seguiremos evolucionando nuestra estrategia de seguridad, adaptándonos a los nuevos retos y aprovechando las últimas tecnologías para mantener nuestra misión de proporcionar una experiencia de usuario segura y fluida.