bandera

Guía de buenas prácticas para la seguridad de tu Sage

[dt_gap height=”30″ /]En AELIS velamos constantemente por la seguridad de las soluciones de nuestros clientes, poniendo en marcha, de forma regular, diversas acciones e iniciativas encaminadas a potenciar y mejorar dicha seguridad.

[dt_gap height=”20″ /]Por un lado, realizamos análisis proactivos con el objetivo de identificar potenciales mejoras e implantar mecanismos que refuercen la fiabilidad de nuestras soluciones.

[dt_gap height=”20″ /]Por otra parte, compartimos esta guía de buenas prácticas que proporcionan recomendaciones para una correcta instalación y configuración de las soluciones. En este sentido, y para tu información, te contamos cuáles son las recomendaciones de seguridad que debes tener en cuenta para tu Sage Murano, Sage 200 y Sage Despachos Connected.[dt_gap height=”30″ /]

[dt_gap height=”50″ /]GUIA DE BUENAS PRÁCTICAS

[dt_gap height=”20″ /]Esta guía de buenas prácticas recoge muchos de los controles que deberán tener en cuenta para asegurar sus datos.

[dt_gap height=”40″ /]GARANTIZAR LA SEGURIDAD DE LA INFRAESTRUCTURA LOCAL DE LAS APLICACIONES

[dt_gap height=”20″ /]Datos de clientes, información financiera, asientos contables… vas a terminar almacenando ésta y otra información sensible utilizando nuestros productos de gestión. Esta información puede almacenarse:[dt_gap height=”10″ /]

  • En tus servidores locales: si utilizas una solución on-premise.[dt_gap height=”10″ /]
  • Fuera de la infraestructura de tu empresa en el caso de utilizar la versión de Sage en la nube.

[dt_gap height=”10″ /]Recuerda que siempre obtendrás una mayor Seguridad, de una manera más sencilla, si optas por alguna de las versiones en la nube. Tendrás un mayor nivel de seguridad sin ningún esfuerzo adicional por tu parte si decides utilizar ”Sage 200 cloud”, “Sage Despachos en la nube” o las versiones del programa Partner Cloud, como la opción de Cloud de AELIS.

[dt_gap height=”10″ /]Sin embargo, si decides continuar utilizando alguna de las versiones locales de estos productos o incluso si alojas estos productos por medio de algún proveedor de almacenamiento no recomendado por Sage, estas recomendaciones de seguridad te resultarán de utilidad. Independientemente de donde hayas decidido finalmente alojar los datos gestionados por el programa, es importante adoptar un enfoque de seguridad a varios niveles. En este sentido, debe estar alineado con los distintos estándares de la industria, de forma que los datos permanezcan siempre con el mayor nivel de seguridad posible.

[dt_gap height=”40″ /]MANTENER LOS SISTEMAS SIEMPRE ACTUALIZADOS

[dt_gap height=”20″ /]Asegúrate de instalar siempre las últimas actualizaciones del software y del sistema operativo, de modo que siempre utilices las últimas versiones compatibles de Microsoft Windows. Este aspecto es igualmente aplicable a nuestros productos: por favor, instala siempre las últimas actualizaciones de Sage Murano, Sage 200 y Sage Despachos Connected. Las actualizaciones de producto suelen incluir mejoras en la seguridad, el rendimiento y la funcionalidad.

[dt_gap height=”40″ /]SEGURIDAD EN LA BASE DE DATOS[dt_gap height=”10″ /]

[dt_gap height=”20″ /]Utiliza identificadores de usuario únicos en Microsoft SQL Server

De acuerdo con el Principio de Mínimo Privilegio, debes asegurarte de que cada una de las bases de datos de Sage Murano, Sage 200 o Sage Despachos Connected (en caso de tener más de una) estén configuradas de modo que utilicen un identificador único de inicio de sesión cada una de ellas, de forma que cada uno de ellos sólo sirva para acceder a una de las bases de datos, pero no al resto. Otra forma de cumplir con este principio, en caso de que tengas más de una base de datos por cualquier motivo, es separarlas en servidores o instancias diferentes. Con esto conseguiremos que cada inicio de sesión sólo de acceso a una de ellas.[dt_gap height=”10″ /]

[dt_gap height=”30″ /]Asegura el servidor otorgando al usuario de base de datos el nivel de permiso adecuado

Es altamente recomendable evitar que el usuario de la base de datos (“logic”) esté configurado como System Administrator (sa). En su lugar, configura simplemente esta cuenta de usuario en la base de datos como db_owner.

[dt_gap height=”30″ /]Configura la base de datos para que todas las conexiones hacia ella sean encriptadas

Debes activar el protocolo TLS y configurarlo utilizando un certificado válido para la conexión con la base de datos, de manera que se pueda garantizar la seguridad y la integridad de los datos durante su envío
entre el programa y la base de datos.

[dt_gap height=”30″ /]Restringe el acceso al servidor de base de datos a través de la red

Además de todas las medidas de seguridad comentadas hasta ahora, Sage recomienda también hacer que Sage Murano, Sage 200 o Sage Despachos Connected funcionen en una VLAN separada del resto, o bien
implementar un control de acceso a la red estricto (Network Access Control, NAC) mediante “MAC pinning” (puedes configurarlo en Microsoft Windows de forma que sólo se permita el tráfico de ciertas direcciones MAC con otros dispositivos de tu red).[dt_gap height=”10″ /]

[dt_gap height=”30″ /]No utilices las contraseñas por defecto

Tal y como os hablamos en el artículo anterior de ”Personaliza tu contraseña de acceso a Sage para una mayor seguridad”, la instalación de Sage Murano, Sage 200 y Sage Despachos Connected permite definir una contraseña personalizada que será utilizada por el usuario de la base de datos. Sin embargo, durante el asistente de instalación y configuración, no es obligatorio definir tu propia contraseña. Si no has definido tu propia contraseña para el usuario de la base de datos, y aun sigues utilizando alguna de las contraseñas por defecto que el programa te ha facilitado, te recomendamos que cambies tu contraseña y establezcas una nueva que sea suficientemente segura.

[dt_gap height=”40″ /]SEGURIDAD DE SAGE MURANO, SAGE 200 Y SAGE DESPACHOS CONNECTED

[dt_gap height=”20″ /]Evita que los usuarios puedan instalar programas de terceros

Como ya sabes, Sage Murano, Sage 200 y Sage Despachos Connected son productos que, en sus versiones de escritorio, se ejecutan en Microsoft Windows y pueden ser instaladas de forma que sólo utilicen un único ordenador, o de forma que se puedan utilizar desde distintos ordenadores dentro de tu propia red interna de trabajo.
[dt_gap height=”10″ /]Dado que estos productos almacenan y procesan multitud de datos e información sensible, es muy importante que se pueda garantizar su seguridad e integridad. En este sentido, Sage te recomienda que configures tus ordenadores donde vayas a ejecutar las soluciones de manera que sea el único software que se pueda ejecutar en tus máquinas de trabajo. Sin embargo, la realidad es que los usuarios a menudo necesitan de otros programas para poder llevar a cabo su trabajo. Por ello, deberías considerar la implementación de algunas medidas de seguridad adicionales para garantizar que sólo los programas que tú necesites se puedan instalar y ejecutar en tus ordenadores. [dt_gap height=”10″ /]

[dt_gap height=”30″ /]Permisos de las cuentas de usuario de tus sistemas

Es muy importante que los usuarios de Windows que se utilicen para acceder a nuestros productos no tengan privilegios de administración.
[dt_gap height=”10″ /]Configurar todos los usuarios como estándar y restringir su capacidad para ejecutar otros procesos con elevación de permiso es una de las principales recomendaciones para tu instalación. Está considerado uno de los principales estándares en la industria. [dt_gap height=”10″ /]

[dt_gap height=”30″ /]Activar la aleatorización de imágenes (ASLR)

Asegúrate de tener activas las opciones de “Protección contra vulnerabilidades de seguridad” en tus equipos (tanto en el/los servidor/es como en los puestos de trabajo). Básicamente, consiste en la activación de forma obligatoria de la aleatorización de imágenes (o ASLR en inglés, Address Space Layout Randomization) y la Prevención de ejecución de datos (o DEP, del inglés Data Execution Prevention). Ambas son medidas altamente efectivas que evitarán la posible ejecución de algunos ataques y diferentes exploits en tus sistemas.
[dt_gap height=”10″ /]Desde AELIS, te recomendamos activar ambas medidas de seguridad en tus ordenadores, aunque el más importante de los dos es el ASLR. [dt_gap height=”10″ /]

[dt_gap height=”30″ /]No expongas tu solución a Internet mediante el protocolo Remote Desktop Protocol (RDP)

Si accedes a Sage 200 o Sage Despachos desde más de un puesto de trabajo, y utilizas Terminal Server para acceder a estas soluciones desde fuera de tu sitio habitual de trabajo a través de Internet, debes
plantearte tunelizar el tráfico RDP a través de una conexión HTTPS, de manera que puedas utilizar el programa directamente en un navegador web. [dt_gap height=”10″ /]

[dt_gap height=”30″ /]Desactiva el Modo Seguro en todos los puestos de trabajo

El Modo Seguro hace que Windows se inicie mediante un estado básico de su configuración, y está especialmente indicado para solucionar algunos problemas con los drivers del sistema y algunos otros aspectos de la configuración. Sin embargo, un usuario malicioso podría hacer uso de esta característica para, por ejemplo, crear nuevos usuarios en el sistema, reactivar usuarios que hayan sido previamente desactivados y algunas otras cuestiones que podrían poner en riesgo la seguridad del sistema.Para evitar esta situación, la recomendación principal es desactivar la posibilidad de arrancar en Modo Seguro. Este cambio puede realizarlo de manera muy sencilla alguno de los administradores utilizando la herramienta MSConfig, o bien modificando las opciones de arranque de Windows.
Recuerda además que, como ya se ha comentado antes, las cuentas con privilegios de administración deben ser utilizadas exclusivamente para tareas administrativas, y nunca se deben utilizar en el día a día de los usuarios estándar. 

[dt_gap height=”30″ /]Criterios de referencia del CIS

Las recomendaciones del CIS (más conocidos CIS Benchmark, en inglés) son consideradas como un estándar de la industria a la hora de configurar de manera segura los servidores y los puestos de trabajo, de forma que se pueda garantizar su integridad y seguridad.
Estas recomendaciones abarcan medidas como la desactivación de la consola (CMD) o del Powershell en Microsoft Windows.  

[dt_gap height=”40″ /]BLOQUEO DE LOS PROGRAMAS / MODO QUIOSCO

[dt_gap height=”20″ /]De forma adicional a todas las recomendaciones anteriores, quizás puedas considerar la posibilidad de ejecutar Sage Murano, Sage 200 o Sage Despachos Connected en modo quiosco.

[dt_gap height=”10″ /]Esta forma de ejecutar las soluciones te permitirá obtener:[dt_gap height=”10″ /]

  • El mayor nivel de seguridad en los puestos de trabajo, de forma que puedas configurarlos para que sólo permitan la ejecución de uno de estos programas.[dt_gap height=”10″ /]
  • El modo multi aplicación, que permite ejecutar un número reducido de ellos si fuera necesario.

[dt_gap height=”20″ /]El equipo de seguridad de Sage ha recopilado una guía paso a paso, para que puedas hacer uso de esta característica en Microsoft Windows. Puedes llevar a cabo los siguientes pasos una vez hayas instalado y configurado Sage Murano, Sage 200 o Sage Despachos Connected en tu sistema:[dt_gap height=”10″ /]

  1. Dirígete al Panel de control/Programas y características/Activar o desactivar las características de Windows/Expande la entrada “Bloqueo de dispositivo/Selector de Shell/Aceptar.[dt_gap height=”10″ /]
  2. Añade o configura una cuenta de usuario estándar en tu sistema, en caso de que no tuvieras ya una.
  3. Descarga el código Fuente que encontrarás en Selector de shell y modifícalo, de manera que arranque Sage Murano, Sage 200 o Sage Despachos Connected utilizando la cuenta de usuario estándar del paso anterior.[dt_gap height=”10″ /]
  4. Aplica la configuración de AppLocker que encontrarás en este enlace.[dt_gap height=”10″ /]
  5. Asegúrate de añadir la consola de comandos (CMD) y el PowerShell a la lista de exclusión de ejecutables (puede ser que no estén incluídos por defecto). [dt_gap height=”10″ /]
  6. Utiliza el Editor de Políticas de Grupo para desactivar la combinación de teclas CTRL + ALT + DEL. Lo encontrarás en la opción “Configuración de usuario > Plantillas administrativas > Sistema > Opciones Ctrl+Alt+Del”. Marca todas las opciones para activar esta política.[dt_gap height=”10″ /]
  7. Puedes encontrar más opciones de configuración adicionales para blindar aún más tu quiosco en caso de que necesites ejecutar varias aplicaciones.[dt_gap height=”10″ /]
  8. Establece el inicio de sesión automático para el usuario del paso 2 y tendrás todo listo.

[dt_gap height=”30″ /]

Pulsa AQUÍ para acceder en a esta guía de buenas prácticas para la seguridad de tu Sage en formato PDF.

[dt_gap height=”50″ /]

¿Quieres que un técnico de AELIS lo haga por tí?

[dt_gap height=”10″ /]

No dudes en contactarnos: 917 482 870 o 933 800 852.

Scroll al inicio
Llámanos al 933 800 852 | 917 482 870
Si lo prefieres te llamamos nosotros.

    ¿Cuándo te llamamos?

    Envíanos tu Cv

    Sube tu CV *

    Solo PDF, DOC, DOCX, XLS, XLSX, PPT, PPTX.

    Completa el formulario

      Indícanos cuándo quieres que te llamemos