FAQ: Seguridad del Software
Lokad es, ante todo, un especialista en supply chain y nuestro objetivo principal es ofrecer decisiones superiores en la cadena de suministro a través de la ingeniosidad tecnológica. Dicho esto, manejamos datos financieros importantes a diario, por lo que la seguridad de nuestra plataforma de software es una prioridad y la tratamos con la mayor seriedad. En lugar de abordar la seguridad como una idea secundaria que se maneja a través de la burocracia, creemos firmemente en un enfoque basado en principios que enfatiza la planificación y la proactividad, como lo demuestran nuestro diseño de software específico, las decisiones de contratación y capacitación.
Público objetivo: El departamento de TI
Última modificación: 21 de septiembre de 2023
Principios de seguridad
Una de las ilusiones más dañinas en los círculos de software empresarial es la idea de que la seguridad se puede abordar con listas de verificación de cumplimiento, certificaciones y, en general, todo tipo de trabajo burocrático. Desafortunadamente, los detalles de las preocupaciones de seguridad siempre están en constante cambio. Los problemas surgen cuando actores malintencionados se aprovechan del software o de las personas (o de ambos). Por lo tanto, la seguridad solo se puede abordar a través de la aplicación sensata de principios generales.
Más seguro por diseño
Creemos que el diseño es uno de los aspectos más subestimados de la seguridad del software. Aquí, el diseño abarca las decisiones fundamentales que se han tomado para desarrollar el software. Las decisiones de diseño que una empresa toma tienen enormes implicaciones en lo que respecta a la seguridad, especialmente la superficie de ataque. A través de un diseño de software sensato, Lokad ha eliminado clases enteras de problemas de seguridad. Por ejemplo, Lokad no utiliza una base de datos SQL, sino almacenamiento de blobs simple, como una capa de almacenamiento estrictamente pasiva. Esta elección por sí sola evita grupos enteros de problemas de seguridad, como los ataques de inyección SQL, ya que simplemente no hay una base de datos SQL para atacar. De manera similar, todas nuestras capas de persistencia son de solo agregación. Esto es como el control de versiones donde los cambios se agregan al final de los datos existentes, en lugar de sobrescribir todos los datos. Todos los cambios son rastreados y pueden revertirse. Este paso complica en gran medida la eliminación de cualquier dato (por parte de cualquier persona, incluidos los atacantes), así como la manipulación de los registros de Lokad.
La mayoría de los proveedores de software empresarial no reconocen el hecho de que las decisiones de diseño fundamentales son la base misma de sus productos de software. Como resultado, sus problemas de seguridad son interminables. Por ejemplo, si la configurabilidad, casi siempre un requisito para el software empresarial, se proporciona a través de un lenguaje de programación de propósito general (como Python o JavaScript), inevitablemente surgirán problemas de seguridad. Esto se debe a que es casi imposible asegurar completamente un lenguaje de programación de propósito general. En contraste, Lokad tomó la decisión consciente de diseño de canalizar toda la configurabilidad a través de un DSL (lenguaje de programación específico de dominio) llamado Envision. Envision es mucho más seguro porque carece, por diseño, de la capacidad de interactuar directamente con el sistema operativo (SO) y sus subsistemas, como el sistema de archivos.
Más seguro por cultura
Ninguna tecnología, y ciertamente ningún proceso, puede hacer que el software sea seguro si a las personas simplemente no les importa. Por lo tanto, hacemos todo lo posible para que Lokad, tanto sus tecnologías como sus procesos, sean algo que valga la pena cuidar de verdad. En el contexto del software empresarial, esto es difícil ya que el objeto de interés es abstracto y está desconectado de las perspectivas y motivaciones individuales de las personas1.
Primero, Lokad alinea, tanto como humanamente posible, sus mensajes de marketing con la realidad de su negocio. Hacemos esto ya sea que nos gane favor o críticas. Esto contrasta fuertemente con muchos proveedores de empresas que hacen afirmaciones públicas poco razonables (y a menudo fantasiosas) 2. Cuando esto último sucede, los empleados agudos, aquellos capaces de identificar la desconexión entre la realidad del negocio y lo que se comunica al mundo exterior, dejan de preocuparse. Esta indiferencia fomenta la complacencia y los problemas de seguridad siguen. A menudo, esos empleados abandonan la empresa, dejando atrás a los “crédulos”, aquellos que no ven la desconexión. La credulidad, al igual que la indiferencia, no es una característica deseable en lo que respecta a la seguridad.
En segundo lugar, Lokad fomenta entre sus empleados una mezcla de curiosidad y escepticismo saludable sobre todos los aspectos de nuestro negocio, tanto técnicos como no técnicos, incluida la seguridad. Esto crea flexibilidad cuando se trata de revisar y actualizar prácticas, ya que se capacita y se anima a los empleados a contribuir. Esta plasticidad es útil para anticipar a actores con malas intenciones, dado que se sabe que idean formas cada vez más creativas de ataque. Afortunadamente para Lokad, esta mentalidad también resulta ser muy deseable para fines de la cadena de suministro, ya que los comportamientos adversos, aunque no necesariamente criminales, son comunes en la cadena de suministro 3.
Más seguro por entrenamiento
Capacitamos activamente a todo nuestro personal para que comprenda mejor las amenazas cibernéticas y cómo mitigarlas. A diferencia del diseño y la cultura, la capacitación en seguridad es en gran medida un proceso de arriba hacia abajo. Aunque el pensamiento de abajo hacia arriba tiene su lugar, este tipo de capacitación es inherentemente débil contra la mayoría de los riesgos de seguridad informática. En pocas palabras, incluso si se capacita a las personas para que no hagan algo, Lokad no puede asumir que nadie hará nunca esa cosa 4. Por lo tanto, adoptamos un enfoque más estricto. Como parte de nuestra capacitación, desaconsejamos el uso de unidades flash USB y otros dispositivos USB que podrían comprometer las máquinas. Nos aseguramos de que se utilice la autenticación de dos factores siempre que sea posible. Capacitamos a nuestro personal para que opere con el menor número de privilegios posible en sus estaciones de trabajo. Nos aseguramos de que todos estén al tanto de cómo funciona la ingeniería social, que puede usarse para engañar incluso a las personas más inteligentes.
En general, la capacitación en seguridad se centra en aumentar la conciencia sobre cómo los actores con malas intenciones pueden reutilizar y corromper el software y los procesos. Dada la amplitud de la capacitación, habilidad y conocimientos necesarios para prevenir tales ataques sutiles, Lokad generalmente tiene muy pocos pasantes, en comparación con la mayoría de las empresas de tamaño similar en el espacio. En resumen, preferimos apostar por un equipo estable y altamente capacitado a largo plazo.
Preguntas frecuentes (FAQ)
1. Prácticas
1.1 ¿Tienen garantía de seguridad?
Sí. La garantía de seguridad es un término general para una variedad de prácticas como endurecimiento de seguridad, pruebas de seguridad y gestión de vulnerabilidades. El endurecimiento de seguridad, en Lokad, se aborda principalmente a través del diseño. A través de elecciones de diseño específicas, eliminamos clases enteras de vulnerabilidades que, a su vez, eliminan la necesidad misma de endurecimiento. Por ejemplo, Lokad no se basa en una capa de almacenamiento “programática” - como una base de datos relacional - sino en un simple almacén de clave-valor. Esto elimina todos los vectores de inyección SQL. Además, las pruebas de seguridad se abordan a través de un conjunto diverso de métodos; algunas automatizadas y otras manuales, como pruebas de penetración de terceros. Para la gestión de vulnerabilidades, tenemos un programa de recompensa por errores y un proceso de gestión de versiones ampliamente automatizado para garantizar que las correcciones se puedan implementar rápidamente.
1.2 ¿Cumplen con ISO 27001 (ISMS) y/o SOC 2?
No. Creemos firmemente que estas certificaciones son distracciones que hacen que las empresas de software sean menos seguras. Estos procesos de cumplimiento enfatizan una mentalidad burocrática que es lo opuesto a lo que se requiere para hacer que el software sea seguro. Por ejemplo, estas certificaciones requieren que se produzca documentación y que se instalen comités. Francamente, la idea de que la documentación y los comités entreguen algo sustancial para la seguridad del software es profundamente discutible y no es algo que Lokad acepte en lo más mínimo.
En círculos de software, la seguridad generalmente se logra haciendo menos, no más; aprovechando los esfuerzos de ingenieros de software especializados en seguridad de software, no creando equipos adicionales de no especialistas. A modo de evidencia anecdótica, considere algunas de las catástrofes de ciberseguridad más graves, como Heartbleed o Log4Shell. Estos desastres probablemente se habrían evitado si las miles de empresas de software “certificadas” hubieran optado por priorizar la revisión del código de terceros - a menudo la causa raíz de los problemas - en lugar de perseguir sellos de aprobación comerciales arbitrarios.
En general, creemos que estas certificaciones son trucos de marketing que adormecen a las empresas en una falsa sensación de seguridad (tanto figurativa como literalmente).
1.3 ¿Siguen las prácticas de OWASP?
Sí. OWASP proporciona, a través de sus guías, una extensa lista de verificación contra vulnerabilidades comúnmente encontradas en el software. Esta es una compilación extensa y de alta calidad que los ingenieros de Lokad utilizan para proteger nuestro software de cualquiera de los problemas identificados por OWASP. Sin embargo, a través de sus elecciones de diseño, Lokad elimina en gran medida clases enteras de vulnerabilidades comunes destacadas por OWASP. Por ejemplo:
Gestión de contraseñas: Al delegar la autenticación a través de la funcionalidad SSO (inicio de sesión único, algo recomendado por Lokad), Lokad ya no tiene que “gestionar” contraseñas, lo que hace que toda la lista de verificación relacionada con contraseñas sea irrelevante.
Registro: El diseño de eventos adoptado por Lokad registra todo por necesidad. Si una acción no se registra, entonces, según el sistema, nunca ocurrió. Esto anula la mayor parte de la lista de verificación de registro.
Seguridad de la base de datos: La capa de persistencia de Lokad no incluye una base de datos relacional, solo dos componentes no programáticos; a saber, una fuente de eventos y un almacén de valores clave. Esta elección de diseño anula completamente la lista de verificación de la base de datos.
Más en general, cuando es posible, preferimos evitar los patrones de diseño propensos a errores que crean la necesidad de tales listas de verificación en primer lugar.
1.4 ¿Cumplen con el GDPR?
Sí. Sin embargo, la optimización de la cadena de suministro, tal como la ofrece Lokad, no requiere datos personales. Consideramos los datos personales como una responsabilidad en lugar de un activo. Por lo tanto, recomendamos encarecidamente a nuestros clientes que no nos transfieran datos personales. Esta recomendación suele formar parte de nuestros acuerdos contractuales. Al no tener datos personales en custodia, y por lo tanto no procesar datos personales, eliminamos en gran medida las preocupaciones y protocolos relacionados con su protección, como el GDPR u otras regulaciones similares.
1.5 ¿Cumplen todos los servicios/soluciones de terceros (que implican acceso a Información de Identificación Personal (PII)) en la solución de Lokad con los requisitos del Oficial de Protección de Datos (DPO)?
Sí. Sin embargo, como se indica en Prácticas 1.4, la optimización de la cadena de suministro, tal como la ofrece Lokad, no requiere datos personales. Por lo tanto, recomendamos encarecidamente a nuestros clientes que no nos transfieran datos personales.
Cabe destacar que la solución de Lokad tiene una lista muy corta de terceros que tienen acceso a datos PII. A partir de enero de 2023, esta lista se limita a Microsoft Azure.
1.6 ¿Siguen las mejores prácticas de seguridad?
Sí. Es decir, tomamos decisiones prudentes, ya que no hay un acuerdo a nivel de la industria sobre lo que constituye “las mejores prácticas de seguridad de software”. Por su propia naturaleza, la seguridad del software existe en un estado de evolución constante, adaptándose a un entorno lleno de nuevas amenazas y vectores de ataque hábiles. Por lo tanto, no nos remitimos categóricamente a terceros sobre cuáles son las mejores prácticas de seguridad de software. En su lugar, definimos lo que es mejor para nuestros clientes. Esto nos permite absorber buenas prácticas cuando están disponibles, sin seguir rígidamente aquellas menos recomendables solo porque son populares. Todo esto se traduce en prácticas de seguridad de software que son actuales, aplicables y efectivas.
1.7 ¿Realizan regularmente pruebas de penetración?
Sí. Realizamos tanto pruebas de penetración planificadas como no planificadas. Las planificadas suelen ser financiadas por nuestros grandes clientes que pueden, según el acuerdo contractual firmado con ellos, contratar a empresas especializadas para realizar pruebas de penetración de sus principales proveedores de software, lo que incluye a Lokad. Por lo general, hay cierto grado de coordinación entre el equipo de ingeniería de Lokad y esos especialistas en seguridad. Las pruebas no planificadas suelen formar parte de nuestro programa público de recompensas por errores, donde especialistas en seguridad independientes pueden intentar encontrar una debilidad en nuestro sistema que esté abierta a un exploit potencial.
1.8 ¿Realizan regularmente auditorías externas?
No. Dicho esto, estamos más que dispuestos a someternos a una auditoría externa si la operación es financiada por el cliente. Muchos de nuestros grandes clientes tienen disposiciones para tales auditorías en nuestros acuerdos contractuales. Sin embargo, hasta enero de 2023, las pruebas de penetración realizadas por los clientes no han descubierto suficientes problemas como para justificar que se lleven a cabo dichas auditorías.
1.9 ¿Tienen un Plan de Continuidad del Negocio?
Sí. La mayor contingencia que Lokad ha abordado es la cesación hipotética de la propia empresa. Lokad opera como una solución SaaS, sin embargo, algunos de nuestros grandes clientes tienen disposiciones en sus acuerdos contractuales para poder solicitar instantáneas completas de nuestro código fuente. Estas instantáneas se ponen en depósito con un tercero acordado para que, en caso de que Lokad cese sus operaciones, el cliente obtenga automáticamente acceso al código fuente en depósito y una licencia permisiva para recrear su propia instancia del servicio Lokad.
1.10 ¿Tienen un Plan de Comunicación de Crisis?
Sí. Para cada cliente tenemos un punto de contacto identificado dentro de su organización. En nuestro caso, hay al menos dos empleados en Lokad: un principal y un suplente (típicamente dos de nuestros científicos de la cadena de suministro) que supervisan la comunicación de cualquier mensaje urgente al cliente. En la práctica, la gran mayoría de las crisis a las que nos enfrentamos no son problemas de seguridad de software, sino de la cadena de suministro, emergencias que Lokad identifica en base a los datos que nos proporciona el cliente. En caso de un evento de seguridad, este canal se utiliza para asegurarse de que nuestros clientes estén informados de manera oportuna.
1.11 ¿Cómo garantizan que los sistemas informáticos del cliente se mantengan seguros?
Recomendamos enfáticamente que Lokad no tenga acceso a los sistemas informáticos de nuestros clientes; el sistema informático del cliente solo debe enviar y recibir datos de Lokad. Este enfoque está destinado a mitigar la posibilidad de que un evento de seguridad en Lokad se propague al sistema informático del cliente. Además, también recomendamos encarecidamente el uso de un proceso de SSO (inicio de sesión único), ya que elimina el escenario hipotético en el que una contraseña utilizada para acceder a Lokad sea interceptada (de alguna manera) y luego se utilice para comprometer uno de los sistemas informáticos del cliente.
1.12 ¿Cómo aseguran su red?
Nuestro diseño adopta una arquitectura de Confianza Cero, es decir, solo permitir que las personas adecuadas accedan a los datos en un momento dado. Simplemente estar presente en nuestra red no proporciona automáticamente estado o privilegios (este punto se amplía en Autenticación 2.1). Por lo tanto, aunque somos conscientes de la seguridad de la red, nos aseguramos, como primer paso, de que la superficie de ataque asociada con nuestras redes sea lo más pequeña posible.
Lokad utiliza dos redes notables. La primera es Microsoft Azure, que se utiliza para alojar nuestra solución. La seguridad de la red de Microsoft Azure está completamente delegada a Microsoft. No utilizamos capacidades de red “avanzadas”, como las ofrecidas por Microsoft Azure, más allá de los equilibradores de carga básicos.
La segunda es la red local de nuestra sede en París. La seguridad de la red local es gestionada internamente por el equipo de ingeniería de Lokad. Nuestra red local no aloja ningún componente o sistema que contribuya al entorno de producción.
1.13 ¿Garantizan que todos los componentes (incluidos los de terceros) y herramientas (incluidas las de código abierto) integrados en la solución son legalmente válidos para su desarrollo y uso en producción?
Sí. Lokad tiene, en comparación con la mayoría de los proveedores de software empresarial, muy pocas dependencias. Todas nuestras dependencias principales son proyectos de código abierto creíbles y ampliamente utilizados (por ejemplo, .NET de Microsoft, React de Facebook). Esto hace que nuestro proceso de auditoría interna en este punto específico sea un asunto sencillo.
1.14 ¿Cómo gestionan los cambios importantes en la organización y los procesos en términos de seguridad?
Dado que Lokad adoptó decisiones y prácticas de diseño de seguridad sensatas desde el principio, es raro que un cambio de cualquier magnitud (menor o mayor) afecte la seguridad (incluso hipotéticamente). En toda la historia de Lokad, solo hay 3 eventos que podrían considerarse verdaderamente significativos desde una perspectiva de seguridad: la migración a Microsoft Azure en 2010; la introducción de la autenticación delegada en 2012 (tanto para clientes como para empleados); y, internamente en Lokad, la migración de la Autenticación de Google a Microsoft Azure AD en 2022.
Para cada uno de estos eventos, la migración había sido preparada con meses de anticipación por el equipo de ingeniería de software de Lokad. Se implementaron materiales de capacitación relevantes y sesiones de capacitación antes del cambio programado, para garantizar la preparación de todos los empleados de Lokad. Finalmente, después de cada evento de migración nos aseguramos de que el “camino” anterior fuera eliminado, como es la práctica estándar de Lokad.
A partir de enero de 2023, no tenemos planeados cambios importantes próximos. Si se introdujera un cambio de ese tipo, casi con certeza procederíamos de manera similar.
1.15 ¿Cómo gestionan el fin de un contrato?
Nuestros acuerdos detallan el proceso de terminación al final de un contrato, según lo acordado con el cliente. El proceso de terminación finaliza con la eliminación definitiva de los datos del cliente. Dado que este proceso de terminación representa un riesgo de seguridad en sí mismo, este punto está sujeto a discusión con cada cliente, y por lo tanto puede variar ligeramente dependiendo del caso. Desde una perspectiva de seguridad, un actor malintencionado podría intentar suplantar al cliente para provocar una terminación anticipada del contrato (y perturbar las operaciones del cliente). Para evitar esto, Lokad y el cliente se esforzarían conjuntamente en adoptar un proceso, contractualmente reforzado, que no sea trivialmente vulnerable a un ataque de ingeniería social. Este proceso típicamente implica confirmaciones escritas y un retraso obligatorio.
1.16 ¿Cuál es la estrategia de licencia de Lokad, el modelo de costos asociado y el modelo de costos de mantenimiento anual?
Lokad típicamente cobra una tarifa mensual fija asociada con el costo operativo de la plataforma, además de una tarifa mensual fija asociada con el servicio proporcionado por los científicos de la cadena de suministro dedicados al cliente (es decir, los ingenieros proporcionados por Lokad). Los detalles se negocian y detallan en el contrato de servicio entre el cliente y Lokad. Estas dos tarifas representan un paquete “todo incluido” con Lokad. No hay tarifas adicionales de mantenimiento, tarifas de licencia, integradores de terceros, consultores de terceros, etc. El paquete viene con límites, en alcance y escala, que se negocian conjuntamente como parte del acuerdo contractual para el servicio.
1.17 ¿Pueden proporcionar los términos y condiciones de Lokad para la(s) licencia(s), el(los) servicio(s), el soporte, el mantenimiento y las capacitaciones?
Sí, a solicitud del cliente, podemos proporcionar una plantilla contractual que represente un acuerdo “base”. Sin embargo, las situaciones varían sustancialmente dependiendo de la escala de la iniciativa de la cadena de suministro, los países aplicables y el alcance de los servicios esperados por Lokad. Por lo tanto, si es posible, preferimos entablar una discusión inicial con un cliente potencial, para aclarar los detalles de la iniciativa de la cadena de suministro que se está considerando. Esto nos ayuda a diseñar el marco contractual más relevante para la situación.
1.18 ¿Ofrecen capacitación (en el lugar/capacitación en línea)?
Sí, Lokad ofrece tanto capacitaciones en el lugar como a distancia. Los detalles de estas sesiones se negocian como parte del acuerdo contractual. Además, Lokad cuenta con una extensa documentación técnica pública y una detallada serie de conferencias públicas sobre cadena de suministro. Estas conferencias abarcan la tecnología de Lokad y la perspectiva de la cadena de suministro.
1.19 ¿Cumple el sistema de Lokad con los estándares legales/locales relevantes (por ejemplo, ISO)?
Sí, Lokad opera de acuerdo con los estándares relevantes. Sin embargo, Lokad ofrece optimización predictiva de la cadena de suministro y, como tal, Lokad no controla directamente las operaciones. Nuestra influencia es en gran medida indirecta, generalmente a través de la optimización de la asignación de recursos. Por lo tanto, los estándares ISO no son relevantes aquí (es decir, no son aplicables a Lokad).
1.20 ¿Existe protección contra malware integrada a nivel de red, por ejemplo, en firewalls, dispositivos proxy y/o en la red como soluciones separadas?
Ver Prácticas 1.12
1.21 ¿Incluye el proceso de desarrollo de software una evaluación integrada de amenazas?
Sí. Esta es la razón principal por la que preferimos abordar las preocupaciones de seguridad “por diseño”. Al eliminar clases enteras de amenazas en la etapa de diseño, mantenemos la práctica general de evaluación de amenazas más manejable. La evaluación de amenazas también cubre “ataques a la cadena de suministro”. Esta es otra razón por la que ponemos tanto énfasis en minimizar la cantidad de dependencias de terceros en nuestra pila de software, ya que cualquier dependencia aumenta inherente el área de superficie de ataque.
1.22 ¿Se ensaya el proceso de gestión de incidentes al menos una vez al año?
Sí. Hay muchos tipos diferentes de incidentes. Uno de los más frecuentes es que la propia empresa cliente sufra una brecha de seguridad. En caso de ransomware, esto a veces lleva a que los datos de Lokad se conviertan accidentalmente en el único conjunto de datos aún accesible. En casos de robo de identidad, a veces se intenta acceder a la cuenta de Lokad a través de credenciales robadas. Los detalles de los diversos procesos de gestión de incidentes se establecen conjuntamente con la empresa cliente, y típicamente son supervisados por el científico de la cadena de suministro en Lokad a cargo de la cuenta (para clientes que optan por una cuenta gestionada).
1.23 ¿Se revisa el mapeo de riesgos y amenazas al menos una vez al año?
Sí, aunque estas revisiones se realizan típicamente regularmente a lo largo del año. Dichas revisiones suelen ser impulsadas por eventos significativos, como brechas de seguridad notables en la industria del software.
1.24 ¿Se realiza la evaluación de riesgos también en funciones de apoyo que podrían afectar la disponibilidad, calidad y/o seguridad de la solución?
Sí. Sin embargo, la plataforma de Lokad es esencialmente un monolito que no depende de ninguna “función de apoyo” además de algunos fundamentos básicos, como el almacenamiento de blobs y las máquinas virtuales Linux proporcionadas por Microsoft Azure.
1.25 ¿Se crean cuentas de sistema dedicadas, con solo los derechos de acceso necesarios, para ejecutar procesos del sistema?
Sí, se utilizan cuentas de sistema dedicadas con los derechos de acceso apropiados para ejecutar procesos del sistema. Lokad utiliza demonios en forma de servicios de systemd, que siempre se ejecutan como usuarios con los menos privilegios posibles.
Si bien Lokad no emplea una base de datos SQL, la plataforma utiliza un sistema basado en roles para dictar los derechos de acceso para procesos programados y activados. Estos procesos se clasifican como procesos “de usuario” en lugar de procesos “del sistema”.
1.26 ¿Existe un plan formalizado de gobernanza de riesgos aprobado por la dirección que defina los requisitos del programa de Gestión de Riesgos Empresariales?
Sí, tenemos un plan formalizado de gobernanza de riesgos que ha sido aprobado por la alta dirección.
Este plan describe los requisitos y pautas para nuestro programa de Gestión de Riesgos Empresariales (ERM). Está diseñado para identificar, evaluar, gestionar y monitorear los riesgos en toda la empresa de manera estructurada y consistente.
Nuestro plan de gobernanza de riesgos se revisa y actualiza periódicamente para garantizar que siga siendo relevante y alineado con nuestros objetivos organizativos y el panorama de riesgos en evolución. Además, la implementación y efectividad del programa ERM se informan regularmente a la alta dirección y a las partes interesadas relevantes para garantizar una supervisión y apoyo continuos.
1.27 ¿Existe un programa de seguridad física aprobado por la dirección, comunicado a los interesados, y se ha asignado un responsable para mantenerlo y revisarlo?
Sí, tenemos un programa integral de seguridad física que ha sido aprobado por la alta dirección. Este programa se ha comunicado exhaustivamente a todos los interesados relevantes para garantizar la conciencia y el cumplimiento.
Además, hemos designado un responsable que es responsable de mantener, actualizar y revisar periódicamente el programa para garantizar su efectividad y relevancia. Este responsable colabora con varios equipos y departamentos para abordar cualquier preocupación emergente de seguridad física y garantizar que el programa se alinee con las mejores prácticas y nuestros objetivos organizativos.
1.28 ¿Se realizan evaluaciones de los peligros físicos y ambientales antes de establecer la ubicación o sitio de una instalación donde residen los sistemas?
Sí, las evaluaciones de los peligros físicos y ambientales son una parte integral de nuestro proceso de toma de decisiones al determinar la ubicación o sitio de una instalación para nuestros sistemas. Dado que nuestros sistemas residen en los centros de datos de Microsoft Azure, nos beneficiamos del riguroso proceso de selección y evaluación de sitios de Microsoft. Microsoft Azure realiza evaluaciones exhaustivas de los riesgos potenciales, incluidos los peligros físicos y ambientales, antes de establecer cualquiera de sus centros de datos. Su proceso de selección implica analizar factores como el potencial de desastres naturales, la accesibilidad, la estabilidad de la infraestructura y más.
Al aprovechar los centros de datos de Azure, tenemos la confianza de que estas evaluaciones se han llevado a cabo de manera integral para garantizar los más altos niveles de seguridad física y resiliencia ambiental para nuestros sistemas.
1.29 ¿Existe un programa documentado de cumplimiento interno y ética?
Sí, aunque no creemos que la “ética” se pueda imponer de arriba hacia abajo. Este tipo de enfoque produce inevitablemente resultados no deseados que van en contra de los objetivos originales.
Famosamente, Enron tenía un código de ética escrito. Este código enfatizaba el respeto, la integridad, la comunicación y la excelencia. El escándalo de Enron, que salió a la luz en 2001, reveló que la empresa había estado involucrada en un fraude contable masivo, que estaba, obviamente, en desacuerdo con los principios establecidos en su código de ética. Por lo tanto, hubo una desconexión completa entre la ética declarada y escrita de Enron y las prácticas comerciales reales y la cultura corporativa.
Por lo tanto, Lokad se enfoca en asegurarse de que los empleados tengan la oportunidad de preocuparse genuinamente por nuestros clientes. “¿Estamos haciendo lo correcto?” es uno de nuestros mantras. El cumplimiento y la ética son, en nuestra estimación, productos secundarios de una cultura corporativa adecuada, no el resultado de ningún programa en particular.
1.30 ¿Existe una auditoría interna, gestión de riesgos o departamento de cumplimiento, o una función de supervisión de gestión similar, con responsabilidad para el seguimiento de la resolución de problemas regulatorios o de cumplimiento pendientes?
Sí. Aunque Lokad no es lo suficientemente grande como para tener un departamento independiente dedicado a realizar auditorías internas, gestión de riesgos o cumplimiento, ciertamente priorizamos estas áreas. Tenemos personas designadas con experiencia en estos ámbitos que tienen la tarea específica de manejar y supervisar estas responsabilidades críticas.
Estas personas informan directamente a la capa superior de la dirección de Lokad, asegurando que la resolución de cualquier problema regulatorio o de cumplimiento pendiente se trate con la máxima prioridad y reciba la supervisión necesaria en el nivel más alto de nuestra organización.
1.31 ¿Existe una política o programa inalámbrico que haya sido aprobado por la dirección, comunicado a los interesados apropiados y se haya designado un responsable para mantenerlo y revisarlo?
Sí, Lokad tiene una política inalámbrica bien definida que ha sido aprobada por la dirección y comunicada a todos los interesados relevantes para garantizar el cumplimiento. Esta política distingue entre dos redes Wi-Fi independientes y aisladas: una dedicada para empleados y otra específicamente para invitados. La distinción asegura que nuestras operaciones principales permanezcan seguras, incluso cuando proporcionamos conectividad para invitados o visitantes.
Sin embargo, es importante tener en cuenta que nuestro modo principal de conexión es a través de Ethernet, priorizado debido a su rendimiento superior y seguridad mejorada. Las redes Wi-Fi están principalmente en su lugar para acomodar reuniones y ofrecer flexibilidad en ciertos escenarios.
Además, hemos designado un responsable para la política que es responsable de su mantenimiento y revisión periódica, asegurando que se mantenga actualizada y efectiva para abordar las necesidades y desafíos en evolución.
2. Autenticación
2.1 ¿Exige la autenticación para todos los accesos?
Sí. Acceder a los datos del cliente y/o cualquier capacidad sustancial de la solución requiere autenticación previa. Sin embargo, por necesidad, algunos puntos de contacto no están sujetos a autenticación. Por ejemplo, acceder a la página de inicio de sesión no requiere autenticación previa (ya que autenticarse es el propósito de esta página de inicio de sesión).
En general, muy pocos puntos finales técnicos no requieren autenticación, y suelen formar parte de la instrumentación de la plataforma (por ejemplo, un punto final utilizado solo para verificar que una máquina está activa). Cabe destacar que los puntos finales no autenticados no exponen ningún tipo de datos sensibles, y mucho menos datos reales de clientes.
2.2 ¿Requiere que todos los accesos remotos estén seguros? ¿Exige HTTPS para las conexiones web?
Sí. Asegurar los accesos remotos significa tener la autenticación correcta, la autorización correcta y la encriptación del canal de transporte en sí, todo lo cual aplicamos. Esta disposición cubre tanto a los usuarios clientes como a los empleados de Lokad por igual. Incluso para el equipo de ingeniería de Lokad, no hay “acceso local no seguro” a nuestros sistemas de producción. No utilizamos ningún tipo de “localidad de red” como un bypass de seguridad.
2.3 ¿Ofrece SSO (inicio de sesión único)? ¿Admite Active Directory (AD)?
Sí. Ofrecemos SSO (inicio de sesión único) a través del protocolo SAML. Active Directory admite SAML y se puede utilizar para acceder a Lokad.
2.4 ¿Admite autenticación de dos factores como EZToken, Google Authenticator o Microsoft Authenticator?
Sí. La autenticación de dos factores se logra a través de la autenticación delegada mediante SAML. A través de SAML, Lokad no gestiona ni el primer factor de autenticación ni el segundo, ya que este proceso está delegado.
2.5 ¿Admite el protocolo de autenticación OAuth2?
Por defecto, Lokad admite el protocolo de autenticación SAML. Este protocolo es compatible con los principales sistemas de identidad federados, como Microsoft Office 365 o Google Workspace. El desafío de admitir OAuth2 es que OAuth2 no es realmente un “protocolo de autenticación”, sino un conjunto de pautas muy extensas para diseñar “protocolos de autenticación” que pueden divergir de muchas maneras.
Como resultado, observamos que las diversas implementaciones de OAuth2 que existen en el ámbito del software empresarial tienden a ser en gran medida incompatibles. Por lo tanto, si OAuth2 es un requisito absoluto, según el acuerdo contractual, podemos admitir un sabor específico de OAuth2. Sin embargo, este acuerdo requiere recursos dedicados para garantizar la compatibilidad con la variante de OAuth2 operada por la empresa cliente.
2.6 ¿Admite la integración LDAP?
Sí, a través de una capa puente de middleware que coloca SAML sobre LDAP. Sin embargo, la mayoría de los sistemas de identidad federados que admiten LDAP también admiten SAML. Por lo tanto, recomendamos utilizar SAML directamente.
2.7 ¿Exige la autenticación de dos factores?
Para los empleados de Lokad, sí. Para los empleados del cliente, lo recomendamos encarecidamente, pero en última instancia no podemos exigirlo (ya que la autenticación suele delegarse a través de SSO). Este asunto está en manos del departamento de TI de nuestro cliente, no en las nuestras.
2.8 ¿Puede imponer una complejidad mínima de contraseña?
Sí, pero hasta cierto punto. En lo que respecta a la seguridad del software, imponer una complejidad mínima de contraseña ahora se reconoce ampliamente como una mala práctica. Los usuarios finales responden mal (y predeciblemente) a demandas de complejidad de contraseña excesivamente estrictas, lo que hace que el nivel general de seguridad se vea afectado. Además, consideramos tales demandas de contraseña como “bloatware” que aumentan la complejidad de una pieza de software crítica para la seguridad (gestión de contraseñas), exponiéndola (y la solución general) a riesgos indebidos. Ver https://www.sans.org/blog/nist-has-spoken-death-to-complexity-long-live-the-passphrase/
Recomendamos encarecidamente el uso de SSO en lugar de contraseñas/estrategias tradicionales. A través de SSO, no es necesario introducir ninguna contraseña dedicada a Lokad.
2.9 ¿Puede imponer rotaciones programadas de contraseñas?
Podríamos, pero no lo hacemos. Al igual que la complejidad mínima de la contraseña (ver Autenticación 2.8), la rotación programada de contraseñas ahora se reconoce ampliamente como una mala práctica de seguridad del software. Los usuarios finales responden mal (y predeciblemente) a las rotaciones programadas de contraseñas. La seguridad incluso puede debilitarse, ya que los empleados a menudo realizan solo pequeñas alteraciones a las contraseñas (para reducir la carga cognitiva asociada con rotaciones frecuentes). Al igual que con la complejidad mínima de la contraseña, vemos la rotación de contraseñas como “bloatware” que aumenta la complejidad de una pieza de software crítica para la seguridad (gestión de contraseñas), exponiéndola (y la solución general) a riesgos indebidos. Ver https://www.sans.org/blog/time-for-password-expiration-to-die/
2.10 ¿Hasheado y salado las contraseñas?
Sí. Utilizamos scrypt como nuestra función de hash de contraseñas. Como regla general, recomendamos encarecidamente el uso de SSO en lugar de utilizar contraseñas/estrategias tradicionales. A través de SSO, no es necesario introducir ninguna contraseña dedicada a Lokad.
2.11 ¿La solución de Lokad habilita CAPTCHA después de un número establecido de intentos de autenticación fallidos?
Sí, aunque mediante la delegación de autenticación (a través de SSO). Si bien los CAPTCHA son un enfoque valioso para mitigar algunos vectores de ataque, caen en la categoría de componentes de software que es mejor dejar completamente fuera del alcance de una solución de optimización de la cadena de suministro como la de Lokad. Además, el valor añadido de los CAPTCHA en el contexto del software empresarial es menos claro que en el software B2C, especialmente el freeware.
2.12 ¿Tienes una política de seguridad general para contraseñas? ¿Tienes un proceso para hacerla cumplir?
Sí. Nuestra política de seguridad general para contraseñas es “sin contraseñas”. Recomendamos encarecidamente SSO, que elimina la necesidad de introducir contraseñas dedicadas a Lokad.
2.13 ¿Centralizas la gestión de usuarios?
Sí. Lokad tiene su propia gestión centralizada de usuarios para la solución que operamos. Este subsistema fue implementado por Lokad y también cubre los accesos de los empleados de Lokad, incluidos nuestros equipos de ingeniería.
2.14 ¿Permites cuentas de usuario genéricas/compartidas?
No. Lokad impone una relación de 1 a 1 entre empleados y usuarios (según lo ve la plataforma de Lokad). Desaconsejamos enérgicamente el uso de cuentas de usuario compartidas. De hecho, una de las razones por las que no cobramos por usuario es para evitar dar a nuestros clientes un incentivo para compartir cuentas de usuario entre sus empleados. Sin embargo, hay algunos casos en los que es aceptable tener una cuenta de usuario que no tiene un empleado correspondiente. Esto suele suceder para el servicio de “carga de robots” del lado del cliente encargado de enviar datos a Lokad. Como parte de nuestro RBAC (Control de Acceso Basado en Roles), tenemos un rol dedicado (llamado “uploader”) que proporciona derechos mínimos para este único caso de uso.
2.15 ¿Ofreces conexiones VPN seguras?
No. Las conexiones de los usuarios finales se realizan a través de canales cifrados (típicamente TLS).
2.16 ¿Permites a los usuarios iniciar sesión desde varios dispositivos?
Sí, dentro de ciertos límites. En general, el límite máximo es de 6 dispositivos por usuario (no cobramos por permitir múltiples dispositivos). Cada sesión está restringida a una sola dirección IP. Sin embargo, Lokad se reserva el derecho de cambiar este límite para contrarrestar algunas amenazas y/o abusos potenciales.
2.17 ¿La solución tiene la capacidad de bloquear y/o cerrar la sesión de un usuario de forma forzada (si se considera malicioso)?
Sí. Esta función requiere derechos de acceso de “Propietario” dentro de la cuenta de Lokad.
2.18 ¿El sistema cierra automáticamente la sesión de un usuario inactivo después de un tiempo especificado de inactividad?
Sí, aunque la “inactividad” no es el factor relevante. Lokad cierra automáticamente la sesión de los usuarios después de un tiempo especificado. Los usuarios no pueden posponer el cierre de sesión siendo “activos”; una vez que se cumple el tiempo especificado, los usuarios deben volver a autenticarse.
2.19 ¿Está prohibido el uso de cuentas compartidas y/o credenciales de acceso, y se monitorea el cumplimiento de estas políticas?
Sí. Ver Autenticación 2.14.
2.20 ¿Se comunican/distribuyen los IDs de usuario y contraseñas a través de medios separados (por ejemplo, correo electrónico y teléfono)?
Sí, priorizamos la seguridad de las credenciales de usuario y nos aseguramos de que se comuniquen de una manera que se alinee con las mejores prácticas. Internamente, nuestros sistemas aprovechan Azure Active Directory para la autenticación de usuarios. Cuando se distribuyen los IDs de usuario y contraseñas iniciales, Azure Active Directory sigue sus patrones predeterminados que están diseñados teniendo en cuenta la seguridad. Además, aplicamos la autenticación de dos factores para nuestro Azure AD, añadiendo una capa adicional de seguridad al proceso de autenticación.
Externamente, para los empleados de clientes que se conectan a nuestros sistemas, recomendamos encarecidamente el uso de Inicio de Sesión Único (SSO) y sistemas de identidad federada. Estos sistemas, por diseño, respaldan las mejores prácticas en la gestión de credenciales, asegurando que las credenciales se comuniquen de manera segura, a menudo involucrando canales de comunicación separados o métodos para los IDs de usuario y los mecanismos de autenticación.
Cabe destacar que no recomendamos la autenticación de un solo factor, ya sea para usuarios internos o externos, si el objetivo es mantener un alto estándar de seguridad.
2.21 ¿Se desactivan y eliminan los IDs de usuario inactivos después de períodos definidos de inactividad?
Sí, gestionamos y monitoreamos activamente los IDs de usuario para garantizar la seguridad. Para los empleados de Lokad, nuestra política establece que todos los derechos de acceso se revocan en su último día de empleo, asegurando que no haya acceso posterior al empleo para los ex empleados.
Para nuestros clientes, abogamos por el uso de Inicio de Sesión Único (SSO) y sistemas de identidad federada. Este enfoque simplifica la gestión de acceso. Por ejemplo, cuando un cliente elimina a un empleado de su sistema de identidad, el acceso a Lokad se termina simultáneamente. Este método no solo mejora la seguridad, sino que también garantiza la eficiencia en la gestión de usuarios.
Nota: los detalles sobre la terminación del acceso de usuario se detallan en nuestros acuerdos contractuales con cada cliente. Lokad reconoce firmemente el impacto operativo potencial de desactivar prematuramente una cuenta y toma medidas activas para evitar tales escenarios. Para evitar interrupciones inadvertidas, los términos de terminación del acceso de usuario se describen explícitamente, ya sea en el contrato o en un procedimiento acordado conjuntamente, asegurando que las medidas de seguridad de Lokad se alineen con las necesidades operativas de nuestros clientes.
3. Autorización
3.1 ¿Proporciona la solución derechos de acceso detallados?
Sí. La solución de Lokad incluye un subsistema de control de acceso basado en roles (RBAC) granular. Esto permite al cliente controlar qué “Proyectos” y “Archivos” son accesibles (y por quién) en la cuenta de Lokad. El RBAC tiene su propia interfaz de usuario web (panel de control). Está disponible para todos los usuarios con designación de “Propietario” dentro de la cuenta de Lokad. Consulta nuestra documentación sobre roles y permisos de usuario para más información.
3.2 ¿Permite la solución al cliente configurar el acceso de acuerdo con el principio de menor privilegio (PoLP)?
Sí. La solución de Lokad incluye un subsistema de control de acceso basado en roles (RBAC) granular que se puede utilizar para implementar el PoLP. Sin embargo, a través de Envision (el DSL de la solución), Lokad va mucho más allá que la mayoría del software empresarial en lo que respecta a este principio.
A través de Envision, Lokad ha eliminado conjuntos enteros de privilegios del sistema que son simplemente irrelevantes para la optimización de la cadena de suministro. Lo que queda es simplificado pero aún altamente configurable. De manera similar, el sistema de archivos personalizado ofrecido por Lokad también elimina grupos enteros de privilegios del sistema innecesarios.
3.3 ¿Se aplican derechos de acceso de menor privilegio?
Sí, aunque lo que constituye el “privilegio mínimo aceptable” es decidido en última instancia por nuestros clientes. Lokad no puede determinar unilateralmente quién se beneficia de una designación de “Propietario” en el personal de nuestros clientes. Sin embargo, podemos proporcionar orientación al respecto. En la práctica, para nuestros clientes “gestionados” - aquellos que son apoyados por el equipo de Supply Chain Scientists de Lokad - aclaramos (por escrito) la organización deseada y los derechos de acceso correspondientes.
3.4 ¿Tiene la solución la capacidad de ocultar una entidad particular en el sistema a usuarios designados?
Sí. Esta es una forma de implementación de PoLP y está cubierta en las respuestas 3.1, 3.2 y 3.3.
3.5 ¿Tiene una clasificación para los datos (niveles de sensibilidad) y controles ajustados de acuerdo con esta clasificación?
Sí. Como elemento incorporado, Lokad restringe, por defecto, todos los datos administrativos (como la lista de usuarios con una cuenta) a los “Propietarios” de la cuenta. Esta designación es la más alta y privilegiada del RBAC (Control de Acceso Basado en Roles). Todos los demás datos dentro de la cuenta de Lokad pueden ser segmentados de acuerdo con una clasificación de sensibilidad definida por el usuario. Esta clasificación definida por el usuario se puede aplicar tanto a los datos originales (cargados por el cliente) como a los datos transformados (el resultado de las transformaciones de datos realizadas dentro de la plataforma de Lokad).
Para obtener más información sobre controles de acceso y designaciones, consulta las respuestas 3.1, 3.2 y 3.3.
3.6 ¿Puede la solución autorizar o bloquear usuarios/roles/transacciones en tiempo real?
Sí, aunque “en tiempo real” requiere aclaración en el contexto de un sistema informático distribuido (como la solución de Lokad). Las actualizaciones en el RBAC (Control de Acceso Basado en Roles) ocurren de forma síncrona, lo que significa que las actualizaciones se activan en unos pocos segundos (normalmente menos). No hay retrasos notables (como un período de espera de una hora o un día).
En cuanto a interrumpir transacciones, esto no es relevante ya que Lokad no tiene una base de datos transaccional. Dicho esto, Lokad puede interrumpir operaciones asincrónicas de larga duración (a las que Lokad se refiere como “Ejecuciones de Proyectos”). Cuando se activa una interrupción, inmediatamente (sincrónicamente) se asegura de que el procesamiento no afectará al sistema, como sobrescribir archivos. Sin embargo, detener el procesamiento es asíncrono y generalmente tiene efecto dentro de 20 segundos.
3.7 ¿La solución restringe el acceso a la Información de Identificación Personal (PII) solo a usuarios con el nivel de permiso adecuado?
Sí, aunque la solución no está destinada a contener datos PII (más allá de los identificadores de autenticación de los empleados con acceso a la solución). Esto es válido tanto para Lokad como para el cliente. Dentro de la solución, solo los empleados con designaciones de “Propietario” tienen acceso a la lista de usuarios. Para fines de optimización de la cadena de suministro, Lokad no necesita (ni se beneficia) de datos PII, y tenemos estipulaciones contractuales en este sentido (explicadas en Prácticas 1.4 y Prácticas 1.5).
Para obtener más información sobre controles de acceso y designaciones, consulte las respuestas 3.1, 3.2 y 3.3.
3.8 ¿La solución permite filtros de búsqueda de datos de Información de Identificación Personal (PII) para evitar búsquedas con comodines?
Sí. Sin embargo, un usuario con designación de “Propietario” dentro de una cuenta de Lokad puede acceder a todos los usuarios (incluido el personal del cliente) autorizados para acceder a la cuenta. Lokad no puede restringir esta capacidad ya que nuestros clientes deben poder auditar, en su totalidad, la lista de usuarios con acceso a su propia cuenta.
3.9 ¿El sistema está equipado con tecnología de WAF (Firewall de Aplicaciones Web)?
No. El WAF es un diseño inherentemente peligroso ya que viola el principio de seguridad de “menor privilegio”: un componente recibe grandes privilegios para operar como un “hombre en el medio”. Esto convierte al WAF en sí mismo un objetivo principal para los atacantes, y amplía enormemente la superficie de ataque de la plataforma. Sin embargo, Lokad monitorea de cerca su tráfico web y los comportamientos anómalos de los usuarios en nuestra propia plataforma. Estas capacidades, sin embargo, forman parte de la plataforma en sí misma y, por lo tanto, no se delegan a componentes de software de terceros aislados privilegiados.
Ver también Empleados 6.6.
3.10 ¿La red está equipada con tecnología IPS (Sistema de Prevención de Intrusiones)?
No. El IPS es un diseño inherentemente peligroso ya que viola el principio de seguridad de “menor privilegio”: un componente recibe grandes privilegios para operar como un “hombre en el medio”. Esto convierte al IPS en sí mismo un objetivo principal para los atacantes, y amplía enormemente la superficie de ataque de la plataforma. Para fortalecer la plataforma de Lokad contra intrusiones, nuestro diseño comienza minimizando el área de superficie de ataque. Creemos que es mucho más seguro eliminar los caminos para intrusiones por diseño, en lugar de intentar “prevenir” como una idea posterior.
Ver también Empleados 6.6.
3.11 ¿El servicio utiliza tecnología de protección DoS (Denegación de Servicio)?
Sí. Lokad aprovecha ReCaptcha, límites de velocidad de nginx y nuestros propios componentes específicos (como el fallo temprano cuando la autenticación es inválida).
3.12 ¿Todo el acceso administrativo al entorno de producción se realiza a través de hosts de salto o servidores bastión?
Sí. Tenemos un sistema que es esencialmente similar a ‘Teleport’. Esto ofrece no solo trazabilidad completa de todos los accesos, sino que también facilita la revocación segura de los derechos de acceso de los empleados.
3.13 ¿Existe un proceso de autorización claro para otorgar acceso administrativo (y que genere un registro de auditoría confiable)?
Sí. Ver Registro y Monitoreo 5.1 y 5.11.
3.14 ¿Existe un proceso sistemático y regular de revisión de derechos de acceso (realizado por una persona autorizada), donde se verifican los derechos de acceso administrativo con respecto a todos los roles y funciones cambiados?
Sí. Hay dos niveles de derechos de acceso administrativo.
Primer nivel: los derechos administrativos para soportar la infraestructura de Lokad. Estos derechos son otorgados y monitoreados por la división de TI de Lokad.
Segundo nivel: los derechos de acceso administrativo dentro de cada cuenta de Lokad. Estos derechos son otorgados y monitoreados por el Supply Chain Scientist a cargo de la cuenta, para nuestras cuentas gestionadas. Alternativamente, estos derechos son otorgados y monitoreados por la propia empresa cliente si la cuenta no es gestionada directamente por Lokad/un Supply Chain Scientist.
3.15 ¿Sigue su política de restricción de acceso el principio de “menor privilegio”, donde solo se permite el tráfico necesario y aprobado?
Sí. Aplicamos el principio de menor privilegio (PoLP) a todos los niveles de acceso de nuestra infraestructura, incluido el tráfico de red. La severidad de las restricciones de acceso varía según el caso de uso. Por ejemplo, para algunos accesos, solo se permite un usuario específico autenticado desde una dirección IP específica. En otros escenarios, cualquier persona en cualquier lugar puede acceder, como es el caso del contenido de nuestra CDN (Red de Distribución de Contenidos).
Ver también Autorización 3.3.
3.16 ¿Están restringidas las conexiones salientes desde el entorno de producción?
No, las conexiones salientes desde el entorno de producción no están universalmente restringidas. Si bien algunos servidores especializados, como los balanceadores de carga, tienen restricciones salientes, la mayoría de nuestros servidores no las tienen.
Nuestras VM de producción requieren acceso a múltiples APIs externas. Una gran parte de estas APIs están alojadas en Microsoft Azure, con algunas excepciones como letsencrypt.org. Hemos determinado que mantener una lista blanca rigurosa de direcciones IP introduciría complejidades que podrían contrarrestar los beneficios. Restringir las conexiones salientes podría ofrecer ventajas de seguridad limitadas, pero también podría introducir complicaciones que potencialmente socaven la seguridad de nuestro entorno de producción.
3.17 ¿Existe una forma de comunicación con personal (por ejemplo, correo electrónico, formulario web, teléfono, etc.) disponible para clientes las 24 horas, los 7 días de la semana, los 365 días del año para informar incidentes de seguridad?
Sí, hemos implementado el estándar security.txt para facilitar la notificación de incidentes de seguridad.
El enfoque security.txt es un patrón ampliamente reconocido en seguridad web donde se coloca un archivo de texto específico en el sitio web. Este archivo de texto detalla cómo informar vulnerabilidades de seguridad.
Nuestro archivo security.txt se puede encontrar en https://www.lokad.com/.well-known/security.txt y describe el proceso actualizado para informar incidentes de seguridad. Esto asegura que cualquier persona, ya sea un cliente, un cliente o un investigador de seguridad, pueda encontrar fácilmente los detalles de contacto relevantes y las pautas sobre cómo informar preocupaciones de seguridad a nosotros.
Tenga en cuenta que aunque el proceso detallado en el ‘security.txt’ puede ser revisado, la información más actual y precisa siempre estará disponible en ese punto final. Nos aseguramos de que los canales de comunicación mencionados en el archivo, ya sea correo electrónico, formulario web u otro medio, estén atendidos y disponibles las 24 horas, los 7 días de la semana, los 365 días del año para abordar rápidamente los informes de seguridad.
4. Gestión de datos
4.1 ¿Dónde aloja y procesa los datos?
Nuestra plataforma SaaS (Software as a Service) está alojada al 100% en Microsoft Azure; más precisamente, está alojada en el centro de datos de Microsoft Azure en Europa del Norte (basado en Dublín). Nuestras copias de seguridad se almacenan en el centro de datos de Microsoft Azure en Europa del Oeste (basado en Ámsterdam). En caso de un fallo importante en el centro de datos, tenemos planes de contingencia para migrar la plataforma a Dublín. Desde nuestra migración a Microsoft Azure en 2010, nunca hemos enfrentado esta situación. Todos los datos de nuestros clientes residen en Europa, donde permanecerán incluso en caso de un fallo importante en el centro de datos.
4.2 ¿Quién es dueño de los datos?
Nuestros clientes siguen siendo los únicos propietarios de todos los datos que cargan en Lokad. Nuestros clientes también siguen siendo los únicos propietarios de todos los datos que generan, a través de su cuenta de Lokad, en la plataforma de Lokad. Lokad no utiliza internamente los datos de los clientes para ningún propósito que no contribuya directamente a la(s) tarea(s) que nuestros clientes nos han encargado realizar. Lokad no vende el acceso a los datos de nuestros clientes a ningún tercero. Lokad no comparte el acceso a los datos del cliente, excepto con los pocos proveedores de alojamiento que contribuyen directamente a la tarea en cuestión (por ejemplo, alquilar máquinas virtuales de una plataforma de computación en la nube para ejecutar los cálculos solicitados por nuestros clientes).
4.3 ¿Se maneja la gestión de la base de datos interna o externamente?
La gestión de la capa de datos de Lokad es realizada por los equipos de ingeniería de Lokad. Como se mencionó anteriormente, la plataforma central de Lokad no incluye una base de datos transaccional (ver Autorización 3.6), ya que Lokad utiliza un almacén de eventos en su lugar. Este almacén de eventos está implementado y operado completamente por Lokad.
4.4 ¿La solución tiene la capacidad de cambiar entre una base de datos RDBMS (PostgreSQL, Oracle, MySQL) y una base de datos NoSQL (Cosmos)?
Teóricamente, sí, pero esto es irrelevante ya que la solución de Lokad no utiliza RDMBS. La capa de persistencia de datos de la solución de Lokad aprovecha un almacén de eventos y un almacén de valores clave. Este enfoque difiere sustancialmente del diseño CRUD (Crear-Leer-Actualizar-Eliminar) comúnmente encontrado en software empresarial. Dado que Lokad es una solución SaaS, asumimos la plena responsabilidad de la persistencia de datos y la compatibilidad hacia adelante (para garantizar que los datos antiguos sigan siendo accesibles).
4.5 ¿Hay terceros involucrados en la ejecución de la solución?
Sí, principalmente la plataforma de computación en la nube subyacente que Lokad utiliza, Microsoft Azure. La lista de terceros involucrados en la ejecución de la solución es muy corta y se limita a la infraestructura de alojamiento de nivel inferior. Lokad no utiliza terceros para desarrollar, administrar u operar su propia solución. En particular, tanto nuestros equipos de ingeniería como nuestros equipos de soporte técnico son internos.
4.6 ¿Se separan las capas (redes, servidores y aplicaciones)?
Sí, sin embargo, la gestión de bajo nivel de redes y servidores se delega en la plataforma de computación en la nube subyacente que Lokad utiliza, Microsoft Azure. Por lo tanto, la separación de las capas de red y servidor está principalmente fuera del perímetro gestionado por Lokad. Dentro de la solución de Lokad, restringimos fuertemente los privilegios otorgados a las capas aplicativas para que no puedan administrar su propia infraestructura (por ejemplo, las capas aplicativas no tienen acceso de escritura a la gestión de DNS).
4.7 ¿Tienen un proceso para garantizar la eliminación permanente de datos?
Sí, aunque puede llevar varias semanas completar todos los pasos. El proceso implica hacer una solicitud escrita formal, emitida por una parte autorizada dentro de la organización del cliente, para que los datos correspondientes se eliminen de forma permanente. En la práctica, disposiciones específicas para tales solicitudes están incluidas en el acuerdo contractual entre Lokad y sus clientes. Los datos primero se eliminarán de nuestro sistema de producción principal y luego de nuestro sistema de respaldo. Esta última etapa es la causa de la relativa “lentitud” de la operación. Esta es una elección de diseño, ya que una vez que los datos se eliminan de nuestro sistema principal, no se pueden acceder nuevamente (excepto a través de procesos extraordinarios de recuperación ante desastres).
Por defecto, la solución de Lokad garantiza que todas las operaciones estándar de eliminación sean eliminaciones suaves (es decir, no eliminaciones permanentes). Este diseño es necesario para evitar clases enteras de problemas de seguridad, como la eliminación accidental de datos por parte de un empleado del cliente, o la eliminación maliciosa por parte de un atacante. Además, se necesita un proceso de eliminación permanente intencionalmente lento para mitigar ataques de ingeniería social, como un escenario en el que un atacante se hace pasar por un empleado de un cliente.
4.8 ¿Tiene la solución la capacidad de eliminar datos de forma suave?
Sí. La solución de Lokad adopta un diseño de almacenamiento de eventos. Como tal, todo está versionado por defecto, tanto las entradas de usuario como los cambios realizados en el sistema de archivos de Lokad. Por lo tanto, todas las eliminaciones de software son eliminaciones suaves, y estas pueden rastrearse y deshacerse, según se desee.
4.9 ¿Ofrecen acceso directo a la base de datos?
Sí, en el sentido de que el sistema de archivos, parte de la solución de Lokad, se puede acceder a través de protocolos como FTPS y SFTP. Este acceso es extenso, ya que todos los datos utilizados como entradas o producidos como salidas se almacenan dentro de este sistema de archivos.
Sin embargo, como Lokad no tiene una base de datos transaccional, no hay una base de datos subyacente que pueda hacerse “accesible”. El equivalente más cercano en la arquitectura de Lokad es nuestro almacén de eventos y no ofrecemos acceso directo al flujo de eventos. Sin embargo, podrían hacerse disposiciones en el acuerdo contractual si un cliente solicitara algunas extracciones específicas de este flujo de eventos (siempre que haya un caso de uso válido).
4.10. ¿Cómo integra la solución datos externos?
La solución puede utilizar varios protocolos para integrar datos externos, especialmente FTPS y SFTP. También está disponible una interfaz de usuario web para cargar archivos manualmente. La solución de Lokad puede integrar cualquier dato tabular razonable. Para obtener más información sobre las capacidades de integración de datos externos de Lokad, consulte Ir a la Perspectiva de TI sobre Lokad 2.15.
4.11 ¿Tiene el sistema la capacidad de manejar la captura de datos de cambio (CDC) de fuentes de datos en tiempo real?
Sí, bajo la disposición de un acuerdo contractual específico con el cliente. La captura de datos de cambio es un patrón de diseño de software, no un estándar de datos específico o un protocolo de transferencia de datos específico, y las expectativas de “tiempo real” pueden variar desde latencias submilisegundos hasta subminutos. Las características en esta área deben evaluarse desde una perspectiva de cadena de suministro. En nuestra experiencia, las fuentes de datos en tiempo real rara vez son relevantes para abordar problemas de cadena de suministro.
4.12 ¿Se puede exportar todos los datos dentro de la solución?
Sí, todos los datos accesibles a través del sistema de archivos dentro de la cuenta de Lokad se pueden exportar a través de protocolos como FTPS o SFTP.
4.13 ¿Ofrece la solución herramientas para exportar datos?
Sí, la solución de Lokad ofrece un DSL (lenguaje específico de dominio) llamado Envision, hecho a la medida para análisis de cadena de suministro. Envision ofrece amplias capacidades para reformatear los datos dentro de la cuenta de Lokad.
4.14 ¿Cuál será el formato de los datos exportados?
La plataforma de Lokad admite todos los formatos tabulares comunes, incluidos CSV y XLS (Microsoft Excel). La plataforma admite numerosas opciones en cuanto al formato de números, fechas, delimitadores, codificación de texto, encabezados, etc.
4.15 ¿La solución tiene Encriptación de Datos Transparente (TDE) de Datos de Identificación Personal (PII) en almacenamiento móvil y de back-end?
La encriptación de datos transparente se utiliza tanto en el almacenamiento de back-end de Lokad (a través de la encriptación de Azure Storage para datos en reposo) como en los dispositivos emitidos por Lokad (a través de BitLocker). Lokad no almacena PII en dispositivos sin TDE habilitado.
4.16 ¿Todos los contraseñas y secretos utilizados dentro de la aplicación están encriptados y no son accesibles en formato de texto libre en el código fuente, archivos de configuración, parámetros de compilación, etc.?
Sí. Todos los secretos a nivel de plataforma se almacenan en Key Vault, un servicio ofrecido por Microsoft Azure. Las contraseñas de usuario se salan internamente y se hashean con Scrypt según las prácticas estándar.
4.17 ¿La solución tiene la capacidad de restringir las cargas de archivos según el tipo y tamaño de archivo, y escanear contenido malicioso?
Sí, hasta cierto punto. En cuanto al tamaño del archivo, la optimización de la cadena de suministro requiere con frecuencia que se procesen archivos grandes. Estos tamaños de archivo reflejan la extracción de los datos comerciales históricos que procesamos en última instancia (por ejemplo, pedidos de ventas históricos). Dada esta realidad, la plataforma de Lokad admite tamaños de archivo de hasta 100GB.
En cuanto al tipo de archivo, tenemos una lista blanca de extensiones conocidas y formatos esperados. En caso de un caso de uso válido, este parámetro podría ajustarse. Este ajuste se reflejaría en nuestro acuerdo contractual.
En cuanto a la capacidad de escanear contenido malicioso, Lokad no tiene esta función. Nuestra solución enfatiza el intercambio de contenido generado por la plataforma. Además, el diseño mismo que hemos adoptado asegura que los archivos generados dentro de Lokad sean seguros, incluso si los archivos de entrada no lo son. Por el contrario, a través de su diseño, la solución de Lokad desenfatiza el intercambio de contenido cargado por el usuario a través de Lokad.
4.18 ¿Cuál es el período recomendado de retención de datos?
Lokad es SaaS, por lo tanto, tenemos la responsabilidad de elegir el período adecuado de retención de datos, y esta duración varía según el tipo de datos. Los datos históricos transaccionales, transmitidos a Lokad por el cliente a través del canal de extracción de datos, generalmente se conservan durante la duración del servicio de Lokad. De hecho, los datos históricos suelen valer la pena conservar durante períodos arbitrariamente largos (fuera de los límites del servicio de Lokad). En el otro extremo del espectro, está la data de instrumentación, que refleja el rendimiento detallado de nuestra plataforma. Esta data solo es útil para solucionar ralentizaciones inesperadas dentro de la plataforma. Esta data es extremadamente detallada y generalmente no se conserva por más de unas pocas semanas.
4.19 ¿Proporcionan documentación de la estructura de datos?
Sí, como parte del “Manual de Procedimiento Conjunto”. Cabe destacar que Lokad no utiliza una base de datos relacional, a diferencia de la mayoría del software empresarial. En su lugar, utilizamos un paradigma de event sourcing. Sin embargo, las estructuras de datos de interés (para la empresa cliente) no se encuentran en la fuente de eventos, sino en los archivos planos producidos a través de scripts de Envision dentro de la plataforma de Lokad. Estos archivos planos están diseñados para cumplir con los requisitos específicos de la empresa cliente. La documentación de estos archivos está incluida en el “Manual de Procedimiento Conjunto” - que es uno de los entregables en una iniciativa típica de Lokad.
4.20 ¿La segmentación de datos de otros clientes es parte del diseño del sistema?
Sí, mientras Lokad es una aplicación multiinquilino, los datos están separados a nivel de diseño entre inquilinos, es decir, cuentas de clientes. Esta partición es un ciudadano de primera clase de nuestro diseño de back-end. Este diseño evita errores de programación que expondrían los datos de un inquilino a otro inquilino, mientras se desarrollan funciones mundanas dentro de la plataforma. El almacenamiento subyacente principal utilizado por Lokad - Blob Storage de Microsoft Azure - facilita este tipo de particionamiento estricto a nivel de diseño.
4.21 ¿Se toman medidas efectivas para garantizar que no se utilicen datos de clientes en entornos de desarrollo y pruebas?
Sí, por defecto, el equipo de ingeniería de software no tiene acceso directo a los datos de los clientes. Hemos desarrollado extensos entornos de datos ‘falsos’ y conjuntos de datos ‘falsos’ para permitir que el equipo de ingeniería de software opere sin problemas sin acceso a los datos de los clientes. Lokad también utiliza internamente su propia plataforma para el procesamiento de datos (por ejemplo, analizando el consumo detallado de recursos de computación en la nube obtenidos de Microsoft Azure). Esta práctica de ‘dogfooding’ asegura que Lokad también tenga un suministro abundante de datos no críticos para usar con fines de desarrollo y pruebas.
Sin embargo, hemos diseñado un canal especial restringido para acceder a fragmentos mínimos (solo lectura) de datos de clientes con fines de diagnóstico. Este canal garantiza automáticamente una minimización estricta y totalmente automatizada de los datos recuperados. Este canal también garantiza automáticamente la eliminación de los datos al final de la operación de diagnóstico. Consulte 4.22 para obtener más detalles sobre este canal restringido.
4.22 Si el desarrollo o las pruebas requieren un uso limitado de datos de clientes, ¿existe un proceso definido para garantizar la destrucción segura y completa de los datos en entornos de desarrollo y pruebas?
Sí, hemos diseñado un canal de datos especial (solo lectura) dedicado al uso excepcional de datos de clientes con fines de diagnóstico, generalmente pruebas de rendimiento. Este canal de datos solo es accesible para una parte restringida del equipo de ingeniería de software.
Este canal de datos ha sido diseñado para minimizar automáticamente el fragmento de los datos del cliente que se recuperan para el diagnóstico de interés. Esta capacidad nos permite operar con lo que suele ser una fracción muy pequeña de los datos originales (como se encuentran en la cuenta del cliente). Además, elimina la necesidad de que el equipo de ingeniería seleccione manualmente qué datos recuperar.
Finalmente, este canal de datos elimina automáticamente los datos recuperados al final de la operación de diagnóstico.
4.23 ¿Se conocen y documentan todas las ubicaciones físicas de los datos de los clientes, incluidos los sistemas de copia de seguridad y alta disponibilidad?
Sí. Todos los datos de los clientes se almacenan en los centros de datos físicamente seguros de Microsoft Azure, incluidas las copias de seguridad. No mantenemos los datos de los clientes localmente (es decir, en las instalaciones de Lokad), ni se almacenan los datos de los clientes en los dispositivos de los empleados.
4.24 ¿El acceso a las ubicaciones físicas de los servidores está limitado a los empleados que lo requieren para realizar su trabajo?
Sí, aunque los datos de los clientes de Lokad se almacenan en los centros de datos seguros de Microsoft Azure, a los que Lokad no tiene acceso físico. La ubicación física de los centros de datos de Microsoft es de conocimiento público, y la elección de los centros de datos de Lokad está documentada públicamente.
4.25 ¿Se almacena el Número de Cuenta Principal (PAN) solo si es absolutamente necesario para fines comerciales legítimos?
Lokad no recibe, almacena ni gestiona ningún PAN de cliente.
El PAN (Número de Cuenta Principal) suele hacer referencia al número principal en una tarjeta de crédito o débito. Es la secuencia de números en relieve o impresa en la cara de una tarjeta y se utiliza para identificar de forma única la cuenta bancaria vinculada a la tarjeta.
Para procesar pagos, confiamos exclusivamente en terceros que gestionan los PAN para nosotros. Sin embargo, cabe destacar que la mayoría de las transacciones recibidas por Lokad se realizan a través de transferencia bancaria, eliminando por completo el problema de la gestión de los PAN.
Tenemos algunos PAN, para las propias tarjetas de Lokad, que gestionamos de forma segura, siguiendo las indicaciones proporcionadas por los propios bancos.
4.26 ¿Los Números de Cuenta Principal (PAN) sin cifrar nunca se envían por tecnologías de mensajería de usuarios finales (por ejemplo, por correo electrónico, mensajería instantánea y chat)?
Sí, los PAN sin cifrar nunca se envían a través de canales inseguros como el correo electrónico. Lokad proporciona un canal de comunicación seguro integrado en su plataforma, que es una alternativa superior para transmitir materiales sensibles. Recomendamos este canal siempre que el uso de un canal inseguro represente un riesgo comercial significativo.
Nota: Por diseño, Lokad no recibe, almacena ni gestiona ningún PAN de cliente. Por lo tanto, no hay transferencias de PAN sin cifrar.
Consulte también el almacenamiento de PAN
4.27 ¿Tiene un contrato con su proveedor(es) de servicios de computación en la nube y este contrato contiene cláusulas relacionadas con los acuerdos de seguridad de la información del proveedor(es) de servicios de computación en la nube?
Sí, Lokad tiene un Acuerdo Empresarial (EA) con Microsoft para los servicios de computación en la nube de Azure. El Acuerdo Empresarial suele incluir varios términos y condiciones relacionados con el uso de los servicios, incluidos compromisos sobre la seguridad del entorno en la nube.
Microsoft Azure, como uno de los principales proveedores de servicios en la nube, pone un gran énfasis en la seguridad. Azure cuenta con un conjunto completo de características y prácticas de seguridad para proteger los datos en la nube, y estas a menudo se reflejan en sus acuerdos contractuales con los clientes empresariales.
Si bien no podemos divulgar los detalles específicos de nuestro acuerdo contractual públicamente, después de más de una década de colaboración con Microsoft, estamos satisfechos de que este acuerdo cumpla con nuestros requisitos y estándares de seguridad.
4.28 ¿Participan subcontratistas en el procesamiento de los detalles/datos del cliente?
No, Lokad no subcontrata el procesamiento de los detalles o datos del cliente. En cuanto a la plataforma de Lokad, compramos recursos informáticos, principalmente máquinas virtuales y almacenamiento de blobs, de Microsoft Azure, pero aparte de eso, no hay terceros involucrados cuando se trata de los datos del cliente.
En cuanto a la provisión de los servicios profesionales de Lokad, solo los empleados a tiempo completo de Lokad (en este caso, los Supply Chain Scientists) tienen acceso a los detalles o datos del cliente. Lokad ocasionalmente tiene algunos pasantes (aunque muchos menos que la mayoría de las empresas comparables) para pasantías a largo plazo, pero operan bajo la supervisión directa y estricta de un Supply Chain Scientist senior.
Nota: Los pasantes están sujetos a los mismos acuerdos de confidencialidad que los Supply Chain Scientists a tiempo completo.
5. Registro y monitoreo
5.1 ¿Ofrecen registros de acceso (usuario, fecha, última fecha de conexión, etc.)?
Sí. Lokad proporciona registros de acceso formateados como archivos CSV. En este momento, estos registros pueden solicitarse al personal de soporte de Lokad. La extracción de registros se colocará en la cuenta de Lokad en un lugar accesible solo para los usuarios con designaciones de “Propietario”. Planeamos introducir un método de acceso más directo, a través de una interfaz web dedicada, al registro de auditoría completo que ya existe en el backend de la plataforma de Lokad.
5.2 ¿Centralizan los registros de todos los componentes en la solución?
Sí. El diseño de Lokad basado en event sourcing centraliza no solo los registros, sino todos los cambios de estado que ocurren en la solución. Los registros, junto con otros cambios de estado, se centralizan con una pequeña colección de flujos de eventos, gestionados por el mismo almacén de eventos. Internamente, los registros que no afectan al estado de la solución están segregados de los que sí lo hacen.
Desde una perspectiva puramente técnica, hay algunos registros relacionados con el rendimiento que no se centralizan intencionalmente dentro del almacén de eventos. Estos registros incluyen mediciones de rendimiento detalladas, como las producidas por la instrumentación interna de perfilado de rendimiento de Lokad (por ejemplo, cuántos milisegundos se gastan en cada llamada de función durante la ejecución de un script de Envision). Estos registros de rendimiento no contienen nada que califique como materiales “relacionados con la seguridad”.
5.3 ¿Registran los cambios y operaciones realizadas en la aplicación? ¿Realizan un seguimiento de todas las transacciones?
Sí. Debido al diseño de Lokad basado en event sourcing, todo se registra por necesidad. De hecho, la solución en sí misma es la suma de la colección de eventos registrados dentro de la solución. Por lo tanto, el registro es un aspecto fundamental de la arquitectura de la solución. Este diseño de event sourcing evita la omisión accidental de un registro que refleje un cambio de estado. Bajo este marco de event sourcing, no hay transacciones, al menos no en el sentido habitual de una base de datos transaccional (por ejemplo, MySQL, Oracle, etc.). Estas transacciones son reemplazadas por eventos que contienen toda la información asociada con un cambio de estado.
5.4 ¿Normalizan los formatos de registro de los diversos componentes con fines forenses?
Sí. Los “registros”, desde un punto de vista de auditoría y/o seguridad, son las transformaciones de los eventos subyacentes. Técnicamente, los eventos son objetos serializados. Para obtener registros, la solución de Lokad convierte y compila estos eventos en archivos CSV. Normalizamos los formatos de fecha, los formatos de número y los identificadores de usuario que se utilizan en la extracción CSV.
5.5 ¿Ofrecen exportaciones de registros a un tercero a través de algún protocolo de consulta?
Sí, bajo la provisión de un acuerdo contractual con el cliente.
5.6 ¿Registran todas las excepciones lanzadas en su solución?
Sí. El diseño de event sourcing de Lokad nos permite rastrear todas las excepciones lanzadas en nuestra solución y reproducir las condiciones que llevaron al problema en primer lugar. Una vez identificadas, el equipo de ingeniería de Lokad elimina todas las excepciones observadas. Hemos diseñado herramientas dedicadas para este propósito específico, y mantenemos una cantidad muy limitada de excepciones no corregidas.
5.7 ¿Tiene la solución la capacidad de monitorear la salud de los diferentes componentes/servicios en tiempo real?
Sí. Nuestros subsistemas han sido diseñados con puntos finales de monitoreo dedicados a las comprobaciones de salud. Tenemos herramientas de monitoreo, accesibles solo - a partir de enero de 2023 - para los equipos de ingeniería de Lokad que consolidan continuamente la información disponible a través de esos puntos finales de monitoreo.
Como se mencionó anteriormente, “en tiempo real” es bastante vago cuando se trata de sistemas distribuidos. Para fines de monitoreo de la salud del sistema, la latencia esperada oscila entre unos pocos segundos y un minuto (aproximadamente).
5.8 ¿Tiene la solución la capacidad de integrar herramientas de monitoreo de terceros? ¿La solución es compatible con SNMP o JMX, o tiene la capacidad de enviar eventos SNMP y JMX a soluciones de monitoreo de terceros?
Sí, bajo la provisión de un acuerdo contractual dedicado.
5.9 ¿Tiene la solución la capacidad de monitorear trabajos por lotes que no se iniciaron según lo programado y monitorear su finalización?
Sí. La solución de Lokad tiene su propio programador de trabajos interno (llamado “Runflow”) para orquestar tareas de larga duración dentro de la plataforma de Lokad, típicamente la ejecución de scripts de Envision. Este programador se puede configurar, a través de una interfaz de usuario web, para especificar un horario y un marco de tiempo de ejecución para cualquier secuencia de trabajos.
5.10 ¿Tiene la solución la capacidad de producir alertas proactivas? ¿Tiene la capacidad de correlacionar y analizar errores, y luego tomar acciones proactivas?
Sí. Runflow, el programador de trabajos de la solución, puede alertar al cliente/Lokad que una secuencia de ejecución en curso se está retrasando. La alerta se puede enviar antes de la finalización de la secuencia. La solución de Lokad ofrece amplias capacidades a través de Envision (su DSL) para analizar y autodiagnosticar situaciones con el fin de tomar medidas proactivas. Si bien la plataforma de Lokad proporciona esta capacidad, aún se requiere que un ingeniero implemente, a través de Envision, la lógica real, ya que las situaciones de la cadena de suministro que califican como “errores” pueden variar.
5.11 ¿Tiene la solución capacidades de retención de datos de auditoría? ¿Se archivan los datos y se purgan en una base de datos MIS para auditar la actividad del usuario?
Sí. A través de su diseño de eventos, la solución de Lokad conserva un extenso rastro de auditoría; mucho mayor que el obtenido a través de diseños más convencionales que típicamente aprovechan una base de datos transaccional en lugar de un almacén de eventos. La solución de Lokad no aísla un Sistema de Información de Gestión (MIS) como un subsistema separado. De hecho, el flujo de eventos es el rastro de auditoría. Más en general, Lokad retiene los datos de producción durante la duración del servicio con el cliente. Al finalizar el servicio, que depende de los términos contractuales negociados, los datos del cliente se purgan, aunque la eliminación final dentro del sistema de respaldo podría ocurrir unos meses después del final del contrato.
5.12 ¿Su sistema integra un mecanismo de auto-monitoreo (técnico y funcional)?
Sí, la plataforma de Lokad integra múltiples mecanismos de auto-monitoreo en varios niveles.
La plataforma alojada en la nube es monitoreada por los equipos de ingeniería de software de Lokad. Dado que la plataforma de Lokad es multiinquilino, este monitoreo se realiza en gran medida con una mentalidad de “sistema”, asegurando que las capacidades de la plataforma (incluido su perfil de rendimiento) estén a la altura. Hemos diseñado nuestra propia capa de instrumentación para este propósito. El monitoreo “funcional” es típicamente específico del cliente, ya que depende de los detalles de la cadena de suministro dada. Este monitoreo suele ser proporcionado por los equipos de científicos de la cadena de suministro (los ingenieros proporcionados por Lokad), según el acuerdo contractual.
Los científicos de la cadena de suministro de Lokad suelen especializarse en una clase particular de cuenta de cliente (por ejemplo, aeroespacial). Ellos diseñan instrumentación de monitoreo personalizada utilizando la cuenta de Lokad. Este monitoreo incluye asegurarse de que los números entregados por Lokad sean correctos, no solo en un sentido técnico, sino también desde la perspectiva comercial del cliente.
5.13 ¿Se revisan y analizan los registros de manera oportuna y sistemática, para detectar anomalías e indicios de violación?
Sí. Revisar la actividad continua de la plataforma de Lokad es parte de nuestra rutina diaria. El diseño de nuestra plataforma facilita este proceso.
Ver también Registro y Monitoreo 5.2.
5.14 ¿Los sistemas de gestión de registros son administrados por personas que no están involucradas en la administración de otros sistemas (es decir, segregación de funciones)?
Sí. La supervisión de los registros y la actividad general de la plataforma la realizan los Científicos de la Cadena de Suministro, mientras que la administración general de nuestra infraestructura la realizan empleados específicos dentro de nuestra división de TI.
5.15 ¿Se realizan escaneos de vulnerabilidades a nivel de aplicación periódica y sistemáticamente?
Sí, aunque dichos escaneos son una parte muy pequeña de nuestros procesos de seguridad. Ver Empleados 6.6.
5.16 ¿Existe un proceso definido para la revisión periódica de las reglas efectivas del firewall?
Sí, nuestra máquina de producción viene con reglas muy estrictas, como la apertura de un número muy limitado de puertos (configurados a través de Microsoft Azure). La configuración de nuestra infraestructura está escrita en código, y su evolución sigue nuestro proceso habitual de revisión de código. Esta práctica no solo facilita las revisiones periódicas, sino que también mitiga la necesidad de revisar manualmente las reglas en primer lugar.
5.17 ¿La red está equipada con tecnología IDS (Sistema de Detección de Intrusos)?
No. IDS es un diseño inherentemente peligroso ya que viola el principio de seguridad de “menor privilegio”: un componente recibe grandes privilegios para operar como un “hombre en el medio”. Esto convierte al IDS en un objetivo principal para los atacantes, y amplía enormemente la superficie de ataque de la plataforma. Sin embargo, Lokad monitorea de cerca el tráfico web y los comportamientos anómalos de los usuarios en nuestra propia plataforma. Estas capacidades, sin embargo, forman parte de la plataforma en sí y, por lo tanto, no se delegan a componentes de software de terceros aislados privilegiados.
Ver también Empleados 6.6.
6. Empleados
6.1 ¿Los empleados tienen Acuerdos de No Divulgación (NDA)?
Sí, todos los empleados de Lokad están sujetos a una disposición de NDA en sus contratos de trabajo.
6.2 ¿Los empleados reciben capacitación en conciencia de seguridad y seguridad?
Sí, se proporciona capacitación en conciencia de seguridad y seguridad a los empleados de Lokad que están en contacto con datos confidenciales y/o sistemas de ingeniería que están en contacto con datos confidenciales. Para obtener más información sobre este punto, la conferencia Ciberseguridad para Supply Chain está dedicada a los científicos de la cadena de suministro, las personas que manejan los datos confidenciales de los clientes.
6.3 ¿Quién tiene acceso a los datos del cliente en Lokad?
El cliente define explícitamente una lista de usuarios que tienen acceso a su cuenta de Lokad. Estos usuarios, dependiendo de sus derechos de acceso configurados dentro de la cuenta de Lokad, pueden tener acceso a varias clases de datos del cliente. Hay una aplicación web dentro de la solución de Lokad dedicada a administrar permisos (llamada “Hub”).
En el extremo de Lokad, para cada cuenta de cliente hay una breve lista de empleados que tienen acceso. En primer lugar, esta lista incluye a los científicos de la cadena de suministro (los ingenieros proporcionados por Lokad) que implementan y mantienen la solución de optimización de la cadena de suministro. Se espera que estos científicos de la cadena de suministro accedan a los datos del cliente a diario. Internamente, Lokad restringe el acceso a la cuenta del cliente solo a los científicos de la cadena de suministro asignados a esas cuentas. Es decir, el Científico de la Cadena de Suministro A no puede acceder a la Cuenta del Cliente B a menos que A haya sido asignado explícitamente para administrar esta cuenta (según lo acordado con el cliente).
En segundo lugar, esta lista incluye al equipo de ingeniería a cargo de la administración del sistema de nuestra plataforma. Como regla general, el acceso directo a los datos del cliente es poco frecuente y se limita a investigar situaciones reportadas ya sea por los propios clientes o por sus científicos de la cadena de suministro de apoyo. Lokad no comparte el acceso a los datos del cliente con ningún tercero, con la excepción de la plataforma de computación en la nube.
6.4 ¿Cómo se aseguran las estaciones de trabajo de los empleados?
Excepto por el equipo de ingeniería de software, los empleados de Lokad operan sin privilegios administrativos en sus dispositivos proporcionados por la empresa. Todas las estaciones de trabajo están configuradas con cifrado de disco completo para protegerse contra el robo de datos que podría ser causado por la pérdida, robo o confianza en terceros (por ejemplo, para reparaciones).
Las estaciones de trabajo utilizadas por nuestros empleados no contienen los datos de nuestros clientes. Dependiendo de la tarea en cuestión, un empleado puede descargar algunas hojas de Excel en su máquina, por ejemplo, para hacer una presentación, pero nuestra política es mantener estrictamente seguros todos los datos del cliente en la nube.
6.5 ¿Cómo se aseguran los teléfonos inteligentes de los empleados?
Los empleados de Lokad no tienen teléfonos inteligentes proporcionados por la empresa. Los datos no críticos, como recordatorios de calendario, pueden enviarse a través de dispositivos personales (no proporcionados por la empresa), pero los teléfonos inteligentes, al igual que las estaciones de trabajo, no contienen los datos de nuestros clientes.
6.6 ¿Utilizan un antivirus?
Sí, nuestras estaciones de trabajo tienen Microsoft Defender, según las configuraciones de Microsoft Windows 10+. No tenemos otro antivirus además de Microsoft Defender, pero nuestra actitud es que esta clase de herramienta tiende a hacer más daño que bien (en términos de seguridad informática). A modo de evidencia anecdótica, el hackeo de SolarWinds de 2020 se considera una de las mayores catástrofes de seguridad informática de todos los tiempos, y fue causado por un software que se suponía que mejoraría la seguridad en primer lugar. Más en general, casi todos los productos de software destinados a fines de seguridad requieren privilegios de sistema bastante altos. Como resultado, estos productos de software se convierten en sus propios vectores de ataque. Nuestra perspectiva sobre la seguridad informática es que menos es más, y que agregar piezas de tecnología muy complejas a nuestro panorama aplicativo casi invariablemente lo hace menos seguro, no más seguro.
6.7 ¿Los desarrolladores de software reciben capacitación periódica en métodos de evaluación de amenazas, estándares de codificación segura, listas de verificación de seguridad conocidas y marcos?
Sí. Sin embargo, la mayoría de las listas de verificación conocidas reflejan principalmente arquitecturas que son “inseguras por diseño”. Siempre que sea posible, preferimos eliminar la fuente de los problemas de seguridad en la etapa de diseño. Ver también Empleados 6.2.
6.8 ¿Todos los contratos con subcontratistas/trabajadores externos de Lokad incluyen un Acuerdo de No Divulgación (NDA)? ¿Este NDA cubre la información del cliente?
Sí a ambas, aunque Lokad, al momento de escribir esto, no depende de subcontratistas/un personal externo. Los equipos de ingeniería de software y científicos de la cadena de suministro de Lokad están completamente integrados por personas bajo el empleo directo, permanente y supervisión de Lokad.
Sin embargo, si Lokad considerara necesario contratar a un subcontratista, estarían sujetos a los mismos términos de PI (Propiedad Intelectual) y NDA que nuestros empleados permanentes. Estos acuerdos incluyen términos sobre la información de los clientes de Lokad.
6.9 ¿Todo el personal externo de Lokad ha recibido la capacitación interna de información y seguridad de Lokad (y la capacitación relevante en curso)?
Lokad, al momento de escribir esto, no depende de subcontratistas/un personal externo. Los equipos de ingeniería de software y científicos de la cadena de suministro de Lokad están completamente integrados por personas bajo el empleo directo, permanente y supervisión de Lokad.
Sin embargo, si Lokad considerara necesario contratar personal externo, esto sería un requisito. Todos los subcontratistas/trabajadores externos estarían sujetos a los mismos procesos de seguridad y requisitos de capacitación que nuestros empleados permanentes.
Como se mencionó anteriormente, Lokad actualmente no depende de un personal externo, por lo tanto, no se lleva a cabo tal capacitación.
Ver también Empleados 6.8
6.10 ¿Todos los contratos con empresas que proporcionan el personal externo de Lokad (cualquier contratista, consultor, etc., que participe en la entrega de los servicios de Lokad) requieren que los trabajadores externos sean evaluados mediante verificaciones de antecedentes? ¿Estas verificaciones de antecedentes están de acuerdo con el nivel correspondiente de acceso a la información y la criticidad del rol del empleado?
Lokad, al momento de escribir esto, no depende de subcontratistas/un personal externo. Los equipos de ingeniería de software y científicos de la cadena de suministro de Lokad están completamente integrados por personas bajo el empleo directo, permanente y supervisión de Lokad.
Sin embargo, si Lokad considerara necesario contratar personal externo, esto sería un requisito. Todos los subcontratistas/trabajadores externos estarían sujetos a los mismos procesos de seguridad, verificaciones de antecedentes y requisitos de capacitación que nuestros empleados permanentes.
Nota: Históricamente hablando, muchos de los incidentes más grandes, y peores, como el ciberespionaje, son cometidos por personas que tienen registros impecables. Por esta y otras razones, Lokad se muestra reacio a depender de un personal externo y prefiere firmemente contratos de empleo directos y abiertos.
6.11 ¿Las cuentas administrativas se desactivan o eliminan automáticamente al final del empleo?
Sí. Todos los empleados de Lokad reciben sus derechos de acceso a través de un proveedor de identidad federado (Microsoft Azure Active Directory). Al final de su empleo, si corresponde, este acceso se revoca, desactivando automáticamente todos los derechos administrativos asociados.
Nota: La mayoría de los empleados de Lokad nunca reciben derechos administrativos ya que no son necesarios para la ejecución de sus funciones.
6.12 ¿Realiza verificaciones de antecedentes penales a todo el personal que tiene acceso a datos sensibles, datos financieros, datos bancarios, datos de tarjetas de pago, etc.?
Sí, las verificaciones de antecedentes se realizan estrictamente de acuerdo con los requisitos del trabajo que se está realizando.
Cabe señalar que Lokad no gestiona internamente los datos de tarjetas de pago, esto lo gestionan terceros. Por lo tanto, el personal de Lokad no tiene acceso a ningún dato de tarjeta de pago de nuestros clientes.
6.13 ¿Qué precauciones toma Lokad para garantizar que el personal no autorizado no pueda acceder a las instalaciones donde se realiza el trabajo?
A nivel de edificio, Lokad opera en un edificio de oficinas que se beneficia de vigilancia de terceros las 24 horas del día, los 7 días de la semana, con seguridad en el lugar.
A nivel de oficina, las instalaciones de Lokad tienen sus propios puntos de acceso seguros, independientes de los del edificio en sí. Esta última capa evita que los empleados de otras empresas dentro del edificio accedan a las oficinas de Lokad.
Nota: cualquier visitante excepcional (como clientes, candidatos potenciales, etc.) debe ser recibido físicamente y autorizado a ingresar por miembros del personal de Lokad.
6.14 ¿Se permiten visitantes en las instalaciones?
Si “instalaciones” significa “el lugar donde se almacenan y procesan los datos del cliente”, entonces no. Los datos del cliente se almacenan en los centros de datos de Microsoft Azure. Estos centros de datos no están abiertos al público: Lokad mismo no puede acceder a ellos.
Sin embargo, Lokad ocasionalmente recibe visitantes en su sede corporativa. Nuestras oficinas no están abiertas al público, pero ocasionalmente surgen circunstancias excepcionales, como visitas de clientes, solicitantes de empleo esperando una entrevista, etc. Tales visitas se planifican con anticipación y los visitantes son acompañados por miembros del personal de Lokad en todo momento mientras están en nuestras oficinas.
6.15 ¿Se almacenan los registros de datos en papel (y los medios electrónicos extraíbles que contienen datos) en gabinetes ignífugos seguros durante la noche?
Lokad no opera con registros de datos en papel, ni opera con medios electrónicos extraíbles. Como no tenemos registros físicos para almacenar, Lokad no necesita gabinetes ignífugos.
Aunque ocasionalmente podemos imprimir un documento (Lokad imprime muy pocos documentos, si es que alguna vez lo hace), también tenemos una trituradora al lado de la impresora. La política predeterminada de Lokad es no imprimir ningún documento sensible, pero si teóricamente tuviera que hacerlo, nuestra política predeterminada también es destruir el documento impreso inmediatamente después de usarlo.
6.16 ¿Existe una política de escritorio despejado? En caso afirmativo, ¿hasta qué punto?
Sí, Lokad opera con una política de escritorio despejado firmemente establecida. Esta política se aplica “por diseño” a través de nuestro entorno digital.
Excepto por algunos documentos que estamos legalmente obligados a imprimir, o documentos ocasionales que se imprimen por necesidad (por ejemplo, un póster para una feria comercial, aunque incluso esto típicamente se subcontrataría), el entorno de trabajo de Lokad es estrictamente digital.
Por lo tanto, al final del día, los empleados de Lokad no tienen nada que despejar. Una vez que se ha bloqueado la sesión de la computadora del empleado, una política que aplicamos estrictamente, el escritorio dado se despeja efectivamente.
6.17 ¿Dónde llegan los faxes y quién podría tener acceso a ellos?
Lokad nunca ha tenido una máquina de fax, ya sea física o virtual. No conocemos ningún caso de uso convincente para cambiar nuestra postura sobre esta tecnología.
6.18 ¿Existe un proceso para verificar el retorno de activos constituyentes (computadoras, teléfonos celulares, tarjetas de acceso, tokens, tarjetas inteligentes, llaves, etc.) al momento de la terminación?
Sí, no solo tenemos un proceso establecido, sino también un software de gestión de activos de TI para apoyar este esfuerzo y minimizar la cantidad de errores administrativos.
Sin embargo, hemos diseñado deliberadamente la seguridad de Lokad para no depender del retorno oportuno de activos constituyentes. Lokad asume que cualquier activo constituyente tiene una buena probabilidad de perderse o ser robado, sin importar cuán disciplinados y capacitados puedan ser nuestros empleados. En la práctica, esto sucede muy raramente, pero desde una perspectiva de ingeniería, hacemos la suposición opuesta. Por esta razón, los activos constituyentes pueden ser desactivados de forma remota. Además, aplicamos cifrado completo de la unidad siempre que sea aplicable.
Más en general, nuestro entorno de trabajo ha sido diseñado para no requerir ningún almacenamiento persistente de datos de clientes en estaciones de trabajo, computadoras portátiles o teléfonos celulares. Este diseño alivia considerablemente la criticidad de los activos constituyentes en caso de que nuestras otras medidas preventivas fallaran.
6.19 ¿Las políticas y/o procedimientos de Recursos Humanos (RRHH) están aprobados por la gerencia y comunicados a los constituyentes, y se designa un responsable para mantenerlos y revisarlos?
Sí, nuestras políticas y procedimientos de Recursos Humanos han sido formalmente aprobados por la alta dirección. Ponemos un fuerte énfasis en la comunicación clara, y como tal, estas políticas y procedimientos se han difundido ampliamente a todos los constituyentes relevantes para garantizar una comprensión completa y cumplimiento.
Además, hemos designado un responsable que es responsable del mantenimiento continuo, actualizaciones y revisión regular de las políticas y procedimientos. Esto garantiza que nuestras prácticas permanezcan actuales, relevantes y alineadas tanto con los estándares de la industria como con nuestros objetivos organizacionales.
6.20 ¿Hay dispositivos móviles personales (BYOD), en lugar de propiedad de la empresa, utilizados por personas asociadas con su organización que tienen acceso a datos de clientes?
No, Lokad no permite el acceso a datos de clientes en dispositivos móviles personales (BYOD). Proporcionamos a nuestros empleados hardware de alta calidad propiedad de la empresa, eliminando la necesidad de dispositivos personales. Esta disposición aborda el escenario común en el que los empleados recurren a usar sus propios dispositivos debido a la insatisfacción con el hardware de la empresa de calidad inferior.
Además, nuestros protocolos operativos están diseñados de tal manera que incluso en nuestros dispositivos propiedad de la empresa, los datos de los clientes no se almacenan permanentemente. Todo el procesamiento de datos ocurre dentro de nuestra plataforma basada en la nube. En los dispositivos de los empleados, los datos de los clientes (si alguna vez se acceden) se manejan de forma transitoria y solo en segmentos mínimos, garantizando la máxima seguridad.
Notas
-
En la industria de los videojuegos, muchos, si no la mayoría, de los empleados son verdaderamente apasionados por los videojuegos; no solo los que fueron desarrollados por el empleador, sino por el mercado en su conjunto. Muchos de estos empleados no solo “hacen su trabajo”; están emocionalmente invertidos en el resultado de su trabajo. En contraste, el estado predeterminado de los empleados de software empresarial es, francamente, un aburrimiento inmenso. Hacer que las personas se preocupen por un software empresarial es una batalla cuesta arriba, pero necesaria. ↩︎
-
Las tecnologías de pronóstico, un ingrediente clave de las soluciones de optimización de la cadena de suministro, son particularmente propensas a exageraciones espectaculares, tanto en términos de precisión de pronóstico como de resultados positivos para las empresas clientes. Ver Las 10 mentiras de los proveedores de pronósticos ↩︎
-
La corrupción epistémica es una fascinante clase de problema de seguridad. Degradan el software no a través del código, sino mediante la propagación de creencias incorrectas o dañinas entre los especialistas que dirigen el desarrollo del software. Ver Investigación de mercado adversarial para software empresarial ↩︎
-
Incluso las personas más confiables suelen estar agotadas, enfermas, angustiadas en ocasiones. El viejo dicho dice que cualquier sistema (informático) que dependa de la fiabilidad humana es poco fiable. ↩︎