• Jose A. Esteban

IronIA Store. Personal Financial Store 03

Seguridad

Como en cualquier plataforma que gestiona dinero, la seguridad es un elemento critico para nosotros, por eso hemos extendido una metodología propia de la tecnología a todos los ámbitos de la compañía.

Esta metodología o marco de actuación se denomina Confianza Cero. Si atendemos a su definición tecnológica sería algo parecido a esto:

En lugar de suponer que todo lo que está detrás del firewall corporativo está seguro, el modelo de Confianza cero supone que hay incumplimientos y comprueba cada solicitud como si se originara en una red abierta. Independientemente del origen de la solicitud o de los recursos a los que accede, la Confianza cero nos enseña a "desconfiar y comprobar siempre". Cada solicitud de acceso pasa por un proceso completo de autenticación, autorización y cifrado antes de otorgar el acceso. Los principios de acceso de microsegmentación y privilegios mínimos se aplican para minimizar el movimiento lateral. Se utilizan análisis e inteligencia sofisticados para detectar anomalías y responder a ellas en tiempo real.

Cómo podemos comprobar la definición es bastante técnica, pero podemos traducirla a algo mucho más sencillo, utilizare una referencia cinematográfica.




Para IronIA Fintech todo el mundo es de confianza, es del demonio que llevan dentro del que desconfiamos y seamos claros todos tenemos un demonio dentro en algún momento.


Esta confianza cero nos ha llevado a tomar muchas decisiones de arquitectura en nuestra nueva plataforma IronIA Store.


Identificar Clientes.

Para identificar correctamente a nuestros clientes nos hemos dotado de un gestor de identidades DruID.

DruID es una plataforma que gestiona la identidad única de consumidor y control de acceso (CIAM). DruID permite integrar ecosistemas digitales complejos con enorme flexibilidad, gestionar todos los puntos de contacto de forma dinámica, asegurar el cumplimento de la legalidad en protección de datos y enriquecer la información de tus consumidores por medio de fuentes externas.

Además identificar a los clientes de forma segura DruID nos permite que los clientes utilicen otros sistemas de identificación como son las redes sociales, realizando lo que se llama acceso unificado o "single sign-on", como todas las funcionalidades tiene ventajas e inconvenientes.

  • Ventajas.

  • Utilizar el acceso basado en las redes sociales simplifica el acceso ya que tenemos que recordar menos contraseñas o métodos de acceso.

  • Nos permite conocer más al cliente. De esta forma contamos con más información sobre el mismo y tenemos más capacidad para identificarlo siempre de forma correcta. Nos pueden robar un usuario y contraseña pero si tenemos cumplimentados nuestros perfiles de redes sociales en IronIA será mucho más complicado que nos roben todas, de esta forma ante cualquier cambio en cualquiera de nuestros perfiles públicos podemos actual contra ese demonio que llevamos dentro y se hace pasar por nosotros.

  • Desventaja.

  • Si nos roban el perfil de la red social elegida nos roban el de todas las aplicaciones conectadas. Es decir aumentamos el riesgo, esto es como tener una llave para todas las cerradoras de nuestras casas, si nos roban la llave pueden acceder a todas, nosotros decidimos entre comodidad y seguridad.

Pero DruID nos aporta seguridad para nuestros clientes a otro nivel, a nivel de entorno legal o regulatorio.

Con DruID podremos:

  • Redes Sociales. Conectar mis perfiles de redes sociales a ironIA Fintech.

  • Mi contraseña. Cambiar mi contraseña.

  • Mi email. Cambiar el correo de acceso a la aplicación con verificación de la propiedad del mismo.

  • Teléfono. Cambiar el teléfono de firma. Recordar que en IronIA Store tendremos:

  • Teléfono de Firma. Dispositivo que permite firmar contratos. Siguiendo la norma de seguridad de múltiples factores de identificación. Usuario y contraseña algo que se sabe y el teléfono algo que se posee.

  • Teléfono de Operación. Dispositivo que permite firmar las operaciones. Puede ser el mismo que el teléfono de firma pero tener dos nos permite separar las acciones y en caso de que nos robarán el teléfono de operación no podrían hacer reembolsos de dinero ya que necesitan el de firma.

  • Firma de reembolso. Además en el caso de los reembolsos añadimos un código único conocido solo por el cliente obligatorio para los reembolsos, de esta forma queremos garantizar que siempre identificamos con la máxima seguridad a nuestros clientes en esta operación.

  • Comunicaciones. El cliente decide si quiere recibir comunicaciones por parte de IronIA o no, se entiende por comunicaciones todas aquellas que no son especificas de la operativa del servicio.

  • Portabilidad de datos. Esta es una funcionalidad que promocionamos ciertamente novedosa, ya que permite a los clientes descargarse toda la información que tenemos para su identificación de manera sencilla, aunque esta sea una obligación por parte de las empresas para cumplir la GDPR, son pocas las compañías que permiten hacerlo de forma autónoma para el cliente sin necesidad de realizar un proceso por correo electrónico o teléfono.

Arquitectura Segura.

No conozco ninguna otra forma de estar preparado para un cyber ataque que entrenarlo, para saber que todas las medidas de seguridad que tenemos funcionan y que esa frase de la definición "Se utilizan análisis e inteligencia sofisticados para detectar anomalías y responder a ellas en tiempo real. " es una realidad.


Por eso cada vez que realizamos cualquier cambio en la aplicación realizamos un escaneo de vulnerabilidades es decir un ataque completo de todo aquellos "ataques conocidos" y para ello tenemos contratado el servicio de Rapid7 una de las empresas lideres en este tipo de servicios según la prestigiosa consultora de tecnología Gartner.

El resultado es el conocimiento constante de qué riesgo tenemos y eso nos proporciona la información para realizar las acciones necesarias y eliminarlo el riesgo. En la siguiente imagen podéis ver el resultado del ataque del 18-08-2021 a nuestra versión IronIA Store beta 1.0. para ser una beta no tener ninguna vulnerabilidad ni alta ni media es un buen indicador de nuestra metodología de trabajo.

Uno de los errores más extendidos en seguridad es plantearla como algo estático, como un castillo que tenemos que proteger llenándolo de murallas y fosos, eso suele ser un caro fracaso.

Nuestras aplicaciones o plataformas cambian continuamente en el tiempo, ellas y los servicios de los que depende por ello es más importante adaptarse a cada instante que pensar que estas seguro porque tienes muchas murallas y fosos, o lo que sería equivalente en cyber seguridad herramientas de seguridad.


Estas herramientas sino están configuradas para el momento concreto y lo que esta sucediendo no suelen servir para mucho, bueno para aumentar los presupuestos de las empresas en cyber seguridad inútil. Se parece mucho a una caja de herramientas con todas las que podemos imaginar y sin tener ni idea de para qué sirven, esa es una triste realidad en muchas compañías.


Otra aplicación más de confianza cero, no nos fiamos ni de las herramientas de seguridad que tenemos y las probamos constantemente.


Para poder tenerlo todo medido a lo largo del tiempo en IronIA utilizamos Azure Security Center. Esta solución nos permite unificar todos los elementos de seguridad en un solo punto proporcionándonos una visión común y añadiéndole que esta pasando en el resto del mundo.


Nota.- Esta imagen no es de IronIA ya que no es bueno compartir cierta información.


Tampoco nos fiamos de nosotros mismos por lo que además estamos en proceso de exámenes continuos para obtener las certificaciones de seguridad, en concreto la ISO 27001. Y no nos vale solo con estudiar en el ultimo momento, aunque a día de hoy IronIA Store esta en su beta 1 ya tenemos la evaluación de cumplimiento de esta versión, para que cuando este completa podamos aprobar con buena nota.


Proporcionar conexiones seguras en nuestra plataforma es solo una pequeña parte de nuestra forma de entender la seguridad, donde la Confianza Cero es nuestra forma de trabajar. Todos somos responsables de la seguridad y por eso no encontrareis un CISO (Chief Information Security Officer) en IronIA Fintech, no tenemos un responsable de seguridad tenemos una responsabilidad total en cada miembro de la organización, y como hay un refrán que dice "Unos por otros la casa sin barrer" y no nos fiamos de nosotros mismos, tenemos evaluación continua y exámenes periódicos para demostrar esa responsabilidad.


Nota.- Sí alguno esta preocupado por los ataques tipo Ransomware, en IronIA si nos encriptán nuestros ordenadores no pasaría nada no hay información en nuestros equipos y cómo no tenemos ningún servidor es un riesgo que simplemente no tenemos.


Permitirme despedirme con un diálogo de otra película que resume nuestra metodología Confianza cero:


- Aquel río. Bajo el puente. ¿Cómo sabías que era una emboscada?

- Siempre que hay duda, no hay duda. Eso es lo primero que te enseñan

- ¿Y quién te lo enseña?

- No me acuerdo. Eso es lo segundo que te enseñan.

Ronin 1998.

456 vistas0 comentarios

Entradas Recientes

Ver todo