Introducción
HP Workforce Experience Platform (WXP) es una solución empresarial basada en la nube que ayuda a los equipos de TI a reducir la fricción digital, mejorar la seguridad y resolver de forma proactiva los problemas de los dispositivos. Proporciona visibilidad y administración centralizadas de la flota de PC de una organización, como computadoras de escritorio, portátiles y otros activos conectados, a través de una plataforma segura y escalable.
WXP analiza los datos de telemetría casi en tiempo real de dispositivos y aplicaciones para identificar problemas, supervisar el estado y recomendar soluciones. Los administradores de TI pueden ver el estado del dispositivo, definir políticas, generar informes e iniciar acciones remotas para respaldar las necesidades operativas y de seguridad.
Este documento describe la arquitectura de seguridad y privacidad de WXP, centrándose en los dispositivos de PC administrados. Explica cómo se recopilan, transmiten, almacenan y protegen los datos, y describe el cumplimiento de la plataforma con los estándares de protección de datos. El público objetivo incluye administradores de TI, proveedores de servicios y revisores de seguridad que evalúan las prácticas de manejo de datos de la plataforma.
Arquitectura de la experiencia WXP
Como plataforma de análisis integral basada en la nube para dispositivos, datos y usuarios, WXP incorpora seguridad de nivel de servicio probada en la industria en toda su arquitectura y procesos de desarrollo. Los servicios clave incluyen:
Recopilación y análisis de telemetría de dispositivos en varios sistemas operativos
Permitir a los clientes de HP y a los proveedores de servicios gestionados generar informes y gestionar incidentes
Integración de varios servicios de terceros a través de un modelo de software como servicio (SaaS)
Usuarios y roles
El panel de control de WXP ofrece varios tipos de usuarios y roles, como se muestra en el diagrama siguiente.
Papeles | Alcance |
|---|---|
Administración regional | Un administrador de operaciones empresariales de HP utiliza esta cuenta para crear nuevos inquilinos tanto para clientes directos como para partners. Las cuentas de administrador raíz regional se controlan y tienen acceso para administrar y navegar por los inquilinos directos de clientes y asociados. Normalmente, existen cuentas de administrador raíz independientes para cada región. Actualmente, WXP opera en dos centros de datos regionales de AWS:
|
Socios | Los inquilinos asociados pueden incluir roles de administrador de asociados, especialista en servicios y especialista en ventas. Estos inquilinos pueden acceder a varias cuentas de clientes y administrar dispositivos, usuarios y operaciones diarias en su nombre. Además:
|
Soporte HP | Una cuenta de soporte de HP puede acceder a varias empresas simultáneamente y administrar dispositivos, usuarios y operaciones diarias en nombre de los clientes para fines de resolución de problemas. Estas acciones son gestionadas por el equipo de Operaciones Empresariales de HP. Hay dos tipos de usuarios en una cuenta de soporte de HP: administradores de soporte y especialistas de soporte. Los administradores de soporte pueden crear cuentas adicionales de administrador de soporte o especialista de soporte. |
Propietario de la empresa | Cuando se crea una empresa, los administradores raíz asignan un propietario de la empresa predeterminado. De forma predeterminada, a este usuario también se le asigna el rol de administrador de TI para administrar usuarios y dispositivos dentro de la empresa. Los propietarios de la empresa pueden administrar usuarios, manejar tareas relacionadas con el dispositivo y acceder a informes y otras funciones administrativas en función de sus permisos. Mientras que los proveedores de servicios gestionados (MSP) gestionan usuarios en varias empresas, los propietarios de empresas gestionan de forma independiente a los usuarios dentro de su propia empresa. |
Usuario de la empresa | En WXP, un usuario es una persona dentro de un inquilino de empresa empresarial al que se le asigna un rol que le permite realizar acciones. Los usuarios se pueden crear de las siguientes maneras:
|
Administrador de TI | El rol de administrador de TI se asigna a los usuarios de empresas de clientes o autogestionadas. Permite a los usuarios realizar tareas administrativas clave, como administrar usuarios y dispositivos. Si bien es similar en función a los roles disponibles para los MSP, el acceso de administrador de TI está limitado a su propia empresa. |
Administrador de informes | De forma predeterminada, los propietarios de la empresa tienen acceso a los informes. También se puede conceder acceso a los informes a cualquier usuario de la empresa. La función Administrador de informes es de solo lectura y permite a los usuarios ver información de los informes WXP. |
Administrador del conector | Este rol permite la administración segura y basada en roles de integraciones dentro de WXP. Esta función rige el acceso a las acciones de integración en todos los conectores compatibles. Garantiza que solo los usuarios autorizados puedan configurar y administrar los widgets de integración y los ajustes de conexión. |
Capacidades clave
Los administradores del conector pueden realizar las siguientes acciones dentro de WXP:
Configure y administre widgets de integración.
Conecte y desconecte integraciones de terceros, incluidos ServiceNow, Teams, Graph API y más.
Vea y acceda a la documentación de integración asociada.
En el diagrama siguiente se proporciona información general de alto nivel sobre la funcionalidad y las capacidades de Insights:
Dispositivos HP Workforce Experience
La arquitectura WXP está diseñada para ayudar a evitar que los atacantes obtengan el control de los dispositivos. Dependiendo del hardware y los sistemas operativos, el software del dispositivo debe instalarse durante el proceso de aprovisionamiento.
Para agregar dispositivos, el administrador de TI de su empresa o un proveedor de servicios administrados (MSP) debe inscribirlos de forma segura en WXP mediante un PIN de empresa asignado. Durante la inscripción, se produce un intercambio asimétrico de claves entre el servidor y el dispositivo. Cada dispositivo genera un par de claves único cuando se identifican los dispositivos, luego los dispositivos reciben un token de acceso que es válido durante 12 horas. Después de este período, los dispositivos deben enviar firmas al servidor que demuestren su identidad para los nuevos tokens de acceso.
Con el consentimiento de la empresa, los dispositivos inscritos cargan datos de telemetría diariamente en la canalización de análisis de WXP. A lo largo del día, también reciben comandos y señales de control de WXP. Todas las comunicaciones están protegidas por el token de acceso mencionado anteriormente.
WXP para Microsoft Windows® utiliza el protocolo HTTPS/TLS 1.2 a través del puerto 443 para todas las comunicaciones. No instala certificados ni modifica el almacén de certificados del sistema operativo Windows.
Plataforma de experiencia de la fuerza laboral de HP
WXP está alojado en Amazon Web Services (AWS) en dos regiones diferentes: Estados Unidos (AWS-OR) y la Unión Europea (AWS-DE).
Dependiendo del país de registro, el inquilino de la empresa se crea en el centro de datos regional correspondiente. Los administradores de TI acceden a WXP a través de un navegador web, que proporciona interfaces para la inscripción, autenticación y comunicación de dispositivos.
En las secciones siguientes se tratan las decisiones de diseño sobre seguridad.
Gestión de identidades
Actualmente, los proveedores de identidad (IdP) admitidos son HP Common Identity System (HPID) y Microsoft Entra ID. Para la identidad administrada por HP Common Identity System, la calidad de la contraseña no se puede configurar y la política de contraseñas se establece mediante la página de registro de ID de HP. Las contraseñas deben contener al menos ocho caracteres e incluir tres o más de los siguientes criterios:
Una letra mayúscula
Una letra minúscula
Números
Símbolos o caracteres especiales
La identidad administrada por el identificador de Microsoft Entra sigue las directivas establecidas por el administrador de la cuenta de identificador de Entra. Esto incluye, pero no se limita a: autenticación multifactor, complejidad de contraseñas, etc.
Gestión de sesiones
No hay límite para el número de sesiones simultáneas que puede tener un usuario. Sin embargo, cada sesión finaliza automáticamente después de 30 minutos de inactividad. En el caso de los dispositivos, las sesiones caducan cada 12 horas y se renuevan automáticamente. La autenticación y la autorización se implementan mediante el protocolo OAuth 2.0 y se administran a través de mecanismos basados en sesiones. Esta funcionalidad usa tokens web JSON (JWT). Cada microservicio WXP aplica la verificación de JWT para la validez de la firma y la caducidad del token.
Autorización
Además de la verificación de tokens JWT, se realizan comprobaciones de arrendamiento para todas las API. Esto garantiza que los datos de inquilino adecuados se pasen al autor de la llamada. Además, se realizan comprobaciones de roles para todas las operaciones críticas.
Para obtener información adicional, consulte la Users and Roles sección.
Multi-tenencia
WXP es una solución multiusuario basada en la nube. Los datos de inquilino se separan lógicamente mediante bases de datos relacionales y se aplican a través de comprobaciones de derechos de arrendamiento. Cada inquilino está asociado a un identificador único universal (UUID), que garantiza el aislamiento y la trazabilidad de los datos.
Datos en reposo
La información de la empresa, como dispositivos, usuarios y datos relacionados, se almacena en una base de datos MySQL de AWS Relational Database Service (RDS) y en un almacén de datos MongoDB. Tanto la base de datos MySQL de AWS RDS como los almacenes de datos de MongoDB están cifrados. Los campos confidenciales, como las claves y los tokens, también se cifran mediante AWS Key Management Service (KMS). La clave maestra se rota siguiendo las pautas de ciberseguridad de HP.
Datos en tránsito
Toda la comunicación externa hacia y desde WXP utiliza el protocolo HTTPS/TLS1.2. Los servicios dentro de la nube privada virtual (VPC) de AWS se comunican mediante texto sin formato.
Para obtener información adicional, consulte la Operational Security sección.
Integración de terceros
WXP se integra con varios servicios de terceros como ServiceNow, PowerBI, Tableau, EntraID. La comunicación de servidor a servidor se produce a través de HTTPS utilizando métodos de autenticación proporcionados por los sistemas de nuestros socios.
Para obtener más información sobre la integración de terceros, póngase en contacto con un experto en servicio de HP.
Validación de la interfaz de usuario (UI)
La validación de campos de la interfaz de usuario protege los campos de entrada en el agente WXP. La validación se aplica en función de los tipos de datos (por ejemplo, cadena, fecha/hora, moneda) y las reglas de negocio (por ejemplo, campos obligatorios o recomendados). Los campos también se pueden proteger en función de los roles de usuario y las operaciones permitidas (lectura/escritura). Se puede aplicar una validación adicional a través de funciones de scripting.
Plataforma de análisis de la experiencia de la fuerza laboral de HP
La plataforma de análisis WXP está alojada en AWS y sirve como columna vertebral de procesamiento de datos para WXP. La mayoría de los componentes de la plataforma de análisis son internos y no están expuestos al acceso externo.
Recogida de datos
La plataforma de análisis proporciona interfaces para cargar datos de forma segura desde los dispositivos. Utiliza una puerta de enlace de API autenticada para recibir datos. En este modo de transporte, las conexiones, los comandos y las políticas no se envían ni se recopilan desde los dispositivos, lo que garantiza una comunicación unidireccional desde el dispositivo a la nube.
Datos en reposo
Los datos no estructurados en reposo se mantienen en AWS S3; sin embargo, los datos estructurados se almacenan en AWS RedShift. Tanto los datos estructurados como los no estructurados se cifran en la plataforma de análisis.
Experiencia de la fuerza laboral de HP Seguridad operativa
En esta sección se describe cómo WXP aplica la seguridad de nivel de servicio para garantizar la seguridad en varias capas de comunicaciones.
Centro de datos
WXP está alojado en Amazon Web Services (AWS), más concretamente en Amazon Elastic Compute Cloud (Amazon EC2). Amazon EC2 proporciona capacidad informática escalable en la nube de AWS. WXP mantiene centros de datos en Oregón, Estados Unidos (AWS-OR) y Frankfurt, Alemania (AWS-DE). Los datos de los clientes ubicados en países europeos se pueden alojar en el centro de datos alemán. Los datos de los clientes de todos los demás países se pueden alojar en el centro de datos de EE. UU.
Todos los datos dentro de un solo "inquilino" de cliente se hospedan en un solo centro de datos, aunque los clientes que deseen tener inquilinos separados en diferentes centros de datos para alojar datos para diferentes unidades de negocio pueden solicitar esta opción. Mediante el uso de AWS, WXP aprovecha los más de quince años de experiencia de Amazon en la entrega de infraestructura global a gran escala de manera confiable y segura. Para obtener más información, consulte el portal de información de AWS: http://aws.amazon.com/ec2/ .
En la capa física, es importante abordar los controles que existen para proteger las instalaciones y la red. Los datos de los clientes y los dispositivos se almacenan en centros de datos de AWS que se distribuyen geográficamente para proporcionar redundancia. AWS es un líder reconocido en alojamiento en la nube. Al asociarse con AWS, WXP hereda una infraestructura en la nube que ha sido diseñada para ser uno de los entornos de computación en la nube más flexibles y seguros disponibles en la actualidad. Algunas de sus características de seguridad clave incluyen:
Diseñado para la seguridad
La infraestructura en la nube de AWS está alojada en centros de datos de AWS que están diseñados para satisfacer los requisitos de los clientes más sensibles a la seguridad.
La infraestructura de AWS ha sido diseñada para proporcionar alta disponibilidad al tiempo que ofrece sólidas salvaguardas para la privacidad del cliente y la segregación de datos.
Los datos de dispositivos, aplicaciones y ubicación transmitidos al centro de datos de administración de U.S. Analytics no incluyen nombres de usuario ni direcciones de correo electrónico. En cambio, los datos se asocian con números de serie de dispositivos e identificadores generados por el sistema, y se cifran en reposo de acuerdo con los estándares de protección de datos de HP.
Todos los datos estructurados y no estructurados en el WXP se cifran en reposo utilizando mecanismos de cifrado nativos de AWS, como AWS KMS, de acuerdo con las pautas de ciberseguridad de HP Altamente automatizado
AWS crea deliberadamente la mayoría de sus herramientas de seguridad para adaptarlas al entorno único de AWS y a los requisitos de escala.
Estas herramientas de seguridad están diseñadas para proporcionar la máxima protección de datos y aplicaciones. Esto significa que los expertos en seguridad de AWS dedican menos tiempo a las tareas rutinarias, lo que permite centrarse más en medidas proactivas que pueden aumentar la seguridad del entorno de la nube de AWS.
Alta disponibilidad
AWS crea sus centros de datos en varias regiones geográficas, así como en varias zonas de disponibilidad dentro de cada región para ofrecer la máxima resiliencia contra las interrupciones del sistema.
AWS diseña sus centros de datos con conexiones de ancho de banda excesivas significativas para que, si se produce una interrupción importante, haya suficiente capacidad para permitir que el tráfico se equilibre la carga a los sitios restantes.
Altamente acreditado
Las certificaciones significan que los auditores han verificado que los controles de seguridad específicos están implementados y funcionan según lo previsto.
Puede ver los informes de conformidad aplicables poniéndose en contacto con un representante de cuentas de AWS para que le ayude a cumplir con los estándares y regulaciones de seguridad específicos del gobierno, la industria y la empresa.
AWS proporciona informes de certificación que describen cómo la infraestructura en la nube de AWS cumple con los requisitos de una extensa lista de estándares de seguridad globales, que incluyen: ISO 27001, SOC, el estándar de seguridad de datos de la industria de tarjetas de pago (PCI), FedRAMP, el Manual de seguridad de la información de la Dirección de Señales de Australia (ASD) y el Estándar de seguridad en la nube de varios niveles de Singapur (MTCS SS 584).
Para obtener más información sobre las regulaciones y estándares de seguridad que cumple AWS, consulte la página web de conformidad de AWS.
Para obtener información detallada sobre la seguridad física y ambiental, el acceso a AWS y la seguridad de la red, consulte: Prácticas recomendadas de AWS para seguridad, identidad y conformidad.
Red
Los dispositivos de red, incluidos el firewall y otros dispositivos de límite, están en su lugar para monitorear y controlar las comunicaciones en el límite externo de la red y en los límites internos clave dentro de la red. Estos dispositivos de límite emplean conjuntos de reglas, listas de control de acceso (ACL) y configuraciones para aplicar el flujo de información a servicios específicos del sistema de información.
Las ACL, o políticas de flujo de tráfico, se establecen en cada interfaz administrada, lo que aplica el flujo de tráfico. Las políticas de ACL están aprobadas por Amazon Information Security. Estas políticas se envían automáticamente mediante la herramienta de administración de ACL de AWS, para ayudar a garantizar que estas interfaces administradas apliquen las ACL más actualizadas.
Puntos de acceso mejorados de seguridad
AWS ha colocado estratégicamente un número limitado de puntos de acceso a la nube para permitir un monitoreo más completo de las comunicaciones entrantes y salientes y el tráfico de red. Estos puntos de acceso de clientes se denominan puntos de enlace de API y permiten el acceso HTTP (HTTPS), que protege las sesiones de comunicación con instancias de almacenamiento o computación dentro de AWS. Además, AWS ha implementado dispositivos de red dedicados a administrar las comunicaciones de interfaz con los proveedores de servicios de Internet (ISP). AWS emplea una conexión redundante a más de un servicio de comunicación en cada borde de la red de AWS orientado a Internet. Todas las conexiones tienen dispositivos de red dedicados.
Seguridad de aplicaciones, host y administrador
En la capa lógica, se utilizan varios controles para proteger los sistemas host, las aplicaciones que se ejecutan en esos sistemas y para los administradores que administran los sistemas host y las aplicaciones asociadas.
El acceso de los administradores de TI a WXP y a los datos de los clientes es limitado y se administra estrictamente. Solo se permite el acceso a aquellas personas esenciales para realizar una tarea siempre que cumplan con los requisitos apropiados de verificación de antecedentes y administración de cuentas.
Seguridad de datos
Los datos intercambiados con WXP utilizan la implementación de AWS de Transport Layer Security (TLS) v1.2, la forma más reciente del protocolo Secure Sockets Layer (SSL) estándar de la industria. TLS ayuda a proteger los datos en varios niveles, proporcionando autenticación de servidor, cifrado de datos e integridad de datos. Debido a que TLS se implementa debajo de la capa de aplicación, es un mecanismo de seguridad pasivo que no depende de pasos o procedimientos adicionales del usuario. Las aplicaciones están mejor protegidas de los atacantes, incluso si los usuarios tienen poco o ningún conocimiento de las comunicaciones seguras.
Estas características ayudan a proteger los datos de daños incidentales y ataques maliciosos y están destinadas a evitar amenazas comunes basadas en la web. Además del cifrado SSL para la comunicación de red entre clientes y servidores, HP cifra los registros y los datos en reposo que se guardan en nuestras bases de datos de servidores).
Los dispositivos WXP deben tener los sistemas operativos y el software del dispositivo descritos en los requisitos del sistema. Si bien HP Service Experts puede ayudar a aplicar políticas de seguridad en dispositivos en función de la configuración administrativa, no existen requisitos de seguridad adicionales para implementar el software WXP en dispositivos. Las credenciales de inicio de sesión, como la dirección de correo electrónico y la contraseña del empleado, solo se requieren al acceder a WXP.
Verificación independiente
Se realizan dos técnicas diferentes de modelado de inteligencia de amenazas en WXP:
WXP se somete a un modelado de inteligencia de amenazas para todas las nuevas funcionalidades que se lanzan y periódicamente para todas las mejoras menores de la funcionalidad existente. Antes de comenzar el desarrollo de software de nuevas funciones, WXP también se somete a una revisión de la arquitectura de seguridad por parte de HP Cyber Security.
Pruebas mínimas de seguridad realizadas:
En WXP:
Secuencias de comandos entre sitios
Ataques de phishing
Robo de tokens de autenticación
Fuzzing de entrada
Suplantación de correo electrónico
Inyección SQL
Falsificación de solicitudes entre sitios (CSRF)
Otras vulnerabilidades web comunes
Sobre el servicio en la nube WXP y la infraestructura de análisis (incluidos los microservicios):
Pruebas de interfaz para autenticación y autorización
Cambiar los identificadores de inquilino para asegurarse de que los datos adecuados van solo a los usuarios autorizados
Inyección SQL
Inyección remota de código
Ataques DOS
Fuzzing de entrada
En WXP en todos los sistemas operativos, como Windows, Android y MAC:
la fuente de instalación y la integridad de la aplicación,
Escalada de privilegios
Ataques MITM
Fuzzing de entrada
Verificación de comandos con comprobaciones de integridad de datos
Envenenamiento del almacén de certificados
autenticación rota
configuración de seguridad, etc.
El equipo de desarrollo de WXP sigue un proceso de desarrollo de software seguro. Incluye revisiones de seguridad, además de revisiones periódicas de arquitectura y código que se centran en la seguridad, el modelado de amenazas y el análisis. Además, el equipo de WXP también realiza análisis y mitigación regulares de la infraestructura a través de herramientas como el agente Nessus. Todos estos son auditados de forma independiente por Coalfire y otorgan a WXP la certificación ISO 27001.
Como parte del marco de seguridad por diseño de HP, WXP se somete a pruebas de penetración internas continuas realizadas por HP Cybersecurity en cambios importantes del sistema [IS1] y nuevas características.
Además, una empresa de seguridad independiente realiza anualmente pruebas de penetración externas. El alcance de estas evaluaciones incluye todos los componentes orientados a Internet, el agente WXP y los componentes relevantes de la infraestructura en la nube.
Marcos de seguridad y cumplimiento de HP
WXP demuestra el compromiso de HP con los clientes mediante la implementación de un programa sólido y acreditado de seguridad de la información y gestión de riesgos. En el centro de todos los marcos de cumplimiento de seguridad se encuentra la protección de los datos de los clientes, que los clientes confían a HP. Como parte de su dirección estratégica, WXP garantiza la implementación de procedimientos y herramientas de seguridad adecuados para salvaguardar estos datos.
A través de acreditaciones de la industria reconocidas a nivel mundial, todos los datos de los clientes, incluida la información patentada, operativa, general y personal, se revisan rigurosamente para confirmar que los controles de seguridad de WXP se alinean con los marcos de cumplimiento establecidos.
Certificación ISO 27001:2022
La seguridad de los sistemas de información y la información crítica para el negocio requieren una medición y gestión constantes. La certificación ISO 27001:2022, emitida por el auditor independiente Coalfire, es la verificación del compromiso de HP de ofrecer continuidad operativa y protección de datos.
La Organización Internacional de Normalización (ISO) es responsable del desarrollo de varios estándares reconocidos internacionalmente para productos, servicios y sistemas. La certificación ISO 27001:2022 se otorga tras la realización de una auditoría externa por parte de un organismo de certificación acreditado y se basa en activos (información, procesos, personas y tecnología). HP ha obtenido la certificación ISO en todo el entorno de servicios de supervisión y gestión remotas, tanto para servicios de impresión gestionados como de sistemas personales.
La norma ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la Seguridad de la Información (SGSI) en el contexto de una organización. Un SGSI es un enfoque sistemático para gestionar la información confidencial de la empresa para que la información permanezca segura de acuerdo con los principios de confidencialidad, integridad y disponibilidad. El enfoque abarca personas, procesos y sistemas de TI, y consta de varios documentos de respaldo y pautas que definen la ruta de implementación y certificación.
La certificación ISO 27001:2022 cubre lo siguiente:
Políticas de seguridad de la información
Seguridad de las operaciones
Organización de la seguridad de la información
Seguridad de las comunicaciones
Seguridad de los recursos humanos
Adquisición, desarrollo y mantenimiento de sistemas
Gestión de activos
Relaciones con proveedores
Control de acceso
Gestión de incidentes de seguridad de la información
Criptografía
Aspectos de seguridad de la información de la gestión de la continuidad del negocio
Seguridad física y ambiental
Conformidad
HP ha ampliado la certificación ISO para incluir:
ISO 27701:2019 (Sistemas de gestión de la información de privacidad PIMS)
ISO 27017:2015 (Controles de seguridad de la información de servicios en la nube)
Certificación ISO 27701:2019
Los clientes y socios que utilizan WXP para la supervisión continua buscan la seguridad de que sus datos están protegidos cuando utilizan un proveedor de servicios en la nube. ISO 27017:2015 define estándares reconocidos por la industria para controles de seguridad de la información específicamente para clientes y proveedores de servicios en la nube.
SOC 2 Tipo 2
Una certificación SOC2 brinda a los clientes la seguridad de saber que WXP sigue estándares reconocidos a nivel mundial en cuanto a seguridad, confidencialidad, privacidad y disponibilidad. SOC 2 proporciona a los clientes y socios la verificación de cómo HP gestiona, almacena y procesa los datos privados del cliente en un esfuerzo repetible y continuo. Los clientes exigen marcos adicionales para respaldar su tolerancia al riesgo. HP comenzó a buscar la certificación SOC 2 anual para continuar mejorando para el futuro y satisfacer la demanda de los clientes.
Ciclo de vida de desarrollo de software seguro (SSDL) de HP
Los enfoques de la industria para la seguridad de las aplicaciones generalmente han sido reactivos y los enfoques de la industria no han podido aplicar las lecciones del campo de la calidad. Los dos enfoques predominantes son:
Enterrar la cabeza en la arena: Esto se caracteriza por parches de seguridad reactivos. Este enfoque se basa en vulnerabilidades y exposiciones comunes (CVE) con poco trabajo para evitar o minimizar la introducción de vulnerabilidades. Esto se ve con mayor frecuencia en segmentos de la industria con una carga regulatoria mínima relevante para la seguridad.
Seguridad de prueba en: Esto se nota por la falta de resistencia diseñada en las aplicaciones. En cambio, se aplica un esfuerzo para encontrar y corregir vulnerabilidades durante las pruebas en combinación con parches de seguridad. Este enfoque aparece más comúnmente en el sector público, las industrias reguladas por seguridad y la atención médica. Estos segmentos deben demostrar el cumplimiento de las regulaciones, incluida la Ley Federal de Gestión de Seguridad de la Información (FISMA) de los Estados Unidos, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS), la Ley de Portabilidad y Responsabilidad de la Información de Salud (HIPAA) y la Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH). Sin embargo, la seguridad como atributo de calidad debe aplicarse en cada etapa del ciclo de vida de la misma manera que aprendió el campo de la calidad hace medio siglo.
Los inquilinos clave incluyen lo siguiente:
La calidad no se puede probar en; debe diseñarse e incorporarse y luego probarse.
Los defectos de seguridad y las vulnerabilidades deben detectarse más temprano que tarde en el ciclo de vida en aras de los costos.
HP se toma muy en serio la seguridad del software y HP ha adoptado un ciclo de vida de desarrollo de software seguro (SSDL). Varios objetivos están vinculados al proceso SSDL, incluidos los siguientes:
Reduzca la superficie de ataque cibernético a través de una arquitectura de software segura
Minimice las vulnerabilidades inducidas por el código
Proteja la privacidad y la seguridad de los datos e identidades de los clientes
HP incluye procedimientos específicos relacionados con la seguridad en sus procesos SSDL, realiza revisiones de hitos para garantizar que los procesos de seguridad se completen con éxito y ofrece capacitación continua en seguridad a sus arquitectos de software, desarrolladores, ingenieros de pruebas, gerentes de programas y sus equipos de liderazgo.
Las siete etapas del proceso SSDL se definen a continuación:
Capacitación (Etapa 1): cursos formales que cubren el proceso SSDL, el diseño mejorado de seguridad, el modelado de amenazas y la codificación segura.
Requisitos (Etapa 2): Planificación de la seguridad al comienzo de los proyectos de software, incluidas las evaluaciones de riesgos de seguridad característica por característica.
Diseño (Etapa 3) – Definición y documentación de la arquitectura de seguridad; Identificación de componentes críticos de seguridad.
Implementación (Etapa 4): ejecución del esquema de protección diseñado y el enfoque de mitigación, junto con revisiones y validaciones de códigos por pares.
Verificación (Etapa 5): realización de análisis de código dinámico, pruebas de fuzzing (fuzzing) y revisiones de la superficie de ataque.
Lanzamiento (Etapa 6): verificación de que se han cumplido los requisitos de SSDL y no existen vulnerabilidades conocidas.
Respuesta (Etapa 7): Ejecución de las tareas de respuesta descritas durante la etapa de lanzamiento.
Recogida de datos
Los tipos de datos recopilados por WXP son proporcionados directamente por los clientes o recopilados automáticamente desde WXP basado en la nube. Los datos de los dispositivos se recopilan mediante el agente WXP instalado en los dispositivos. WXP recopila los siguientes datos para ejecutar los servicios contractuales:
Propósito de la recopilación de datos | Datos recopilados | Descripción de los datos recopilados |
Gestión de cuentas | Datos de la cuenta | Información relacionada con las compras de los clientes o la suscripción a los servicios de WXP, el historial de soporte con respecto a los incidentes generados por WXP y cualquier otra cosa relacionada con la cuenta de WXP para realizar servicios de transacciones como la administración de cuentas. |
Asegúrese de que WXP y los servicios funcionen correctamente | Datos de la aplicación | Incluye el número de versión, el estado de instalación y el historial de actualizaciones del agente WXP en cada dispositivo administrado. |
Configuración de cuentas, gestión de identidades y Validación de derechos | Datos de contacto | Datos de contacto personales y/o comerciales, incluidos nombre, apellidos, dirección postal, número de teléfono, número de fax, dirección de correo electrónico y otros datos de contacto similares utilizados para la configuración y validación de la cuenta de cliente de WXP, el derecho al servicio y las notificaciones por correo electrónico relacionadas con incidentes y servicios. |
Ofrezca mantenimiento y gestión proactivos de servicios de TI, e informes/paneles centrados en el cliente | Datos del dispositivo | Información básica del dispositivo, como el nombre del dispositivo, el sistema operativo, la cantidad de memoria, el tipo de dispositivo, el tamaño del disco, la configuración de la región, la configuración del idioma, la configuración de la zona horaria, el número de modelo, la fecha de inicio inicial, la antigüedad del dispositivo, la fecha de fabricación del dispositivo, la versión del navegador, el fabricante del dispositivo, el estado de la garantía, los identificadores únicos del dispositivo e información técnica adicional que varía según el modelo. Información de hardware, como BIOS, pantalla, GPU, almacenamiento, ranuras del sistema, memoria, reloj en tiempo real, datos de utilización de hardware del sistema (CPU, GPU, memoria y E/S de disco), controladores, térmicos, ventiladores, dispositivos PnP, periféricos RPOS, configuración de HP Sure Recover, prueba de diagnóstico de HP, estación de acoplamiento (solo HP), periférico conectado a la estación de acoplamiento, estado de la batería, configuración y estado de energía, diagnósticos de suspensión del sistema, atribución de disco principal/externo, utilización del disco, registro de servicio de la plataforma Intel (requiere Intel vPro), consumo de energía del sistema, consumo de energía del sistema por PCM (requiere HP Business PC G11 o posterior), margen de memoria del SoC Intel (solo HP Business PC G12 o posterior) y estado del teclado del portátil (solo HP Business PC G12 o posterior) Aplicaciones de software instaladas en el dispositivo, como la lista de aplicaciones instaladas, el tiempo de ejecución de las aplicaciones, los errores de la aplicación, los datos de utilización del hardware por aplicación (CPU y memoria).
Aplicaciones web en navegadores, como el número de visitas a la página, el tiempo de carga de la página y el error de carga de la página de solo las direcciones URL preconfiguradas en la página Configuración de WXP. De forma predeterminada, la recopilación de datos para aplicaciones web está deshabilitada, pero se puede habilitar en la página Configuración de > WXP . WXP no analiza ni recopila contenido de aplicaciones web en navegadores. Información generada por el sistema operativo para el dispositivo, como eventos del sistema operativo, actualizaciones de Windows faltantes, monitoreo de procesos y servicios, tiempo de inicio / suspensión / hibernación / apagado, tiempo de uso del dispositivo, tiempo de inicio de sesión del dispositivo, tiempo de inicio completo y rápido de arranque, fecha de último reinicio y bloqueo del sistema: bloqueo de pantalla azul en el sistema operativo Windows. Nota: De forma predeterminada, la recopilación de volcado de memoria para bloqueos del sistema está deshabilitada, pero se puede habilitar en la página de configuración de WXP. Información de red como interfaz de red, dirección MAC, dirección IP, SSID, intensidad de la señal, velocidad de conexión, configuración de autenticación de red, errores de red, consumo de red, utilización de red, pérdida de paquetes, fluctuación y latencia por proceso, y conexiones y desconexiones de red.
Información de seguridad, como el módulo de plataforma segura (TPM), el estado del antivirus, el estado del firewall, el estado del cifrado de BitLocker y el estado de arranque seguro. Información de usuario de los usuarios del cliente que inscriben sus dispositivos en WXP, como la información del último usuario que inició sesión y la información del usuario unido a Active Directory.
Información de ubicación del dispositivo, como la geolocalización en tiempo real del dispositivo y la ubicación del activo (establecida por los usuarios para indicar a dónde pertenece el dispositivo). Nota: De forma predeterminada, la recopilación de datos para la ubicación del dispositivo está deshabilitada, pero se puede habilitar en la página de configuración de WXP. |
Autenticación y autorización del acceso de los usuarios a las cuentas y servicios que utilizan HP | Credenciales de seguridad | Contraseñas de usuario, sugerencias de contraseña e información de seguridad similar requerida para la autenticación para autorizar a los usuarios a acceder a cuentas y servicios de portal basados en la nube de WXP. (solo si se utiliza HP ID) |
Agrupaciones de datos
Los datos del dispositivo recopilados por WXP 1 pueden incluir las siguientes agrupaciones:
Grupo de datos | Descripción |
Hardware | Incluyendo batería, BIOS, disco, pantalla/monitor, gráficos, inventario, memoria, interfaz de red, Plug and Play (PnP), procesador, reloj del sistema, ranuras del sistema, datos térmicos y de rendimiento del sistema. |
Aplicaciones de software | Incluidos los datos de cumplimiento, errores, inventario, rendimiento, utilización y utilización de aplicaciones web. |
Seguridad | Incluidos los dispositivos que no informan, la detección/administración de parches del sistema operativo, la ubicación del dispositivo, la alarma del dispositivo, el bloqueo y borrado, la configuración de la directiva de seguridad, la aplicación de la directiva de seguridad, las amenazas de seguridad, el cifrado del almacenamiento, la configuración de seguridad del usuario, el aprovisionamiento de Wi-Fi y los datos de infracciones de Windows Information Protection |
Registros de eventos de Windows | Los registros de eventos de Windows proporcionan un registro detallado de las notificaciones del sistema, la seguridad y las aplicaciones almacenadas por el sistema operativo Windows que usan los administradores para diagnosticar problemas del sistema y predecir problemas futuros. |
Paquetes de garantía y cuidado de HP | Los HP Care Packs son garantías extendidas para su computadora o impresora HP que cubren los productos después de que la garantía estándar haya expirado. |
Los datos de usuario recopilados por WXP incluyen:
Dirección de correo electrónico del usuario
Última cuenta de usuario conectada
WXP no recopila los siguientes tipos de datos:
Información demográfica (con la excepción de las preferencias de país o idioma)
Información de cuentas financieras, números de tarjetas de crédito o débito, registros de crédito o datos de pago
Redes sociales
Identificador emitido por el gobierno, como seguro social, número de seguro social o identificación gubernamental
Información de salud
Datos sensibles como origen étnico, creencias políticas, afiliación sindical, datos de salud, orientación sexual y datos genéticos
Privacidad de datos
HP tiene una larga historia de liderazgo en la industria en privacidad y protección de datos. Juntos, con nuestra sólida cartera de productos y servicios, apoyamos los esfuerzos de nuestros clientes y socios para proteger los datos personales. Con respecto a los análisis de WXP, HP actúa como procesador de datos. Consulte la sección Procesador de datos en HP Privacy Central. Como empresa global, es posible que cualquier información que proporcione pueda ser transferida o accedida por entidades de HP en todo el mundo de acuerdo con la Declaración de privacidad de HP y en función de los Programas de privacidad internacionales enumerados en la sección Transferencias internacionales de datos.
La privacidad de los datos se rige por la Política de privacidad de HP para países de todo el mundo. Esta política se actualiza periódicamente y cubre los siguientes temas:
Nuestros principios de privacidad
Transferencias internacionales de datos (incluida la información del Escudo de privacidad UE-EE. UU.)
Cómo usamos los datos
Qué datos recopilamos
Privacidad de los niños
Cómo conservamos y mantenemos seguros sus datos
Cómo compartimos datos
Comunicaciones HP
Ejercicio de sus derechos y contacto con nosotros
Cambios en nuestra declaración de privacidad
Retención de datos
La retención de datos es una pieza importante de cualquier programa de cumplimiento y es necesaria para cumplir con la administración adecuada de los datos. La política de retención de datos de HP incorpora las siguientes mejores prácticas de retención de datos:
Mantener los datos durante períodos más cortos de lo necesario puede violar los requisitos contractuales o legales o afectar la seguridad.
Mantener los datos durante períodos más largos de lo necesario puede violar las regulaciones de privacidad y es una de las principales preocupaciones de los clientes y consultas de ventas.
Una vez que se eliminan los datos, no hay obligación de proporcionarlos al cliente o a las fuerzas del orden.
Todos los datos de los centros de datos regionales de EE. UU. y Alemania se eliminan de forma permanente en un plazo de treinta días tras la desactivación del cliente de WXP.
Los datos del centro de datos de U.S. Analytics se eliminan de forma permanente después de dos años a partir de la fecha de creación de los datos o dentro de los treinta días posteriores a la desactivación del cliente desde WXP para el almacenamiento estructurado y no estructurado. Dado que el paquete de análisis de la aplicación WXP es un paquete compartido singular en muchas aplicaciones de HP, los datos del centro de datos de análisis de EE. UU. no se eliminan permanentemente si el cliente se desactiva de WXP porque el mismo cliente puede estar inscrito en otras aplicaciones de HP; y solo se eliminaron después de tres años de los datos de creación de datos.
Nota: Los datos de telemetría transmitidos al centro de datos de U.S. Analytics están vinculados a los números de serie del dispositivo y a los ID generados por el sistema. Estos datos se cifran en reposo y se manejan de acuerdo con los estándares de seguridad y protección de datos de HP. .
Almacenamiento de datos
El almacenamiento de datos para WXP se limita a la información del usuario y del dispositivo de los suscriptores de pago.
Todas las bases de datos de los centros de datos regionales de EE. UU. y Alemania que almacenan datos personales están encriptadas.
Todas las bases de datos de los centros de datos de gestión de identidades de EE. UU. que almacenan datos personales están encriptadas.
Todas las bases de datos y el almacenamiento no estructurado en el centro de datos de U.S. Analytics están encriptados.
Los siguientes tipos de datos se transmiten y almacenan en los diferentes centros de datos:
Categoría de datos | Regional de EE. UU. Centro de datos1 | Regional Alemán Centro de datos2 | Análisis de EE. UU. Centro de datos3 | Datos de gestión de identidad de EE. UU. Centro3 |
Datos de la cuenta | Sí | Sí | No | No |
Datos de la aplicación | Sí | Sí | Sí | No |
Datos de contacto | Sí | Sí | No | Sí (si se utiliza HP ID) |
Datos del dispositivo | Sí | Sí | Sí | No |
Datos de ubicación | Sí | Sí | Sí | No |
Datos de credenciales de seguridad | No | No | No | Sí (si se utiliza HP ID) |
Para clientes no europeos
Para clientes con sede en Europa
Para todos los clientes
Monitoreo e informes de servicios
WXP proporciona actualizaciones de servicio regularmente para ofrecer las últimas funciones y actualizaciones a los clientes. WXP también notifica a los clientes a través de varios métodos sobre actualizaciones y cambios programados o no programados en el servicio. Para eventos planificados de interrupción del servicio, como el mantenimiento del servicio, los clientes son notificados con ocho horas de anticipación.
Para ofrecer un servicio óptimo, HP realiza una supervisión e informes continuos del servicio.
Monitoreo de servicios
WXP y el agente se monitorean las 24 horas del día, los 7 días de la semana, los 365 días del año para garantizar la confiabilidad y el rendimiento. Además, el rendimiento de la red y la supervisión de la disponibilidad se producen de forma continua. Todas las herramientas de monitoreo enrutan cualquier problema, advertencia y problema directamente a los ingenieros de servicio. Las excepciones se elevan automáticamente a un sistema interno de tickets como elementos de trabajo de alta prioridad que requieren reconocimiento.
Si se supera un umbral, se produce el siguiente proceso de escalado automático:
Se envía una alerta por correo electrónico a un ingeniero de soporte de guardia correspondiente
Se envía una notificación push al dispositivo móvil del ingeniero de guardia
Se envía un correo electrónico a la lista de distribución del equipo de operaciones
WXP utiliza diferentes herramientas de monitoreo que incluyen:
New Relic: Monitorea varios componentes del sistema y, lo que es más importante, ayuda a identificar y depurar cuellos de botella cuando aparecen. La mayoría de las aplicaciones/servicios se han instrumentado para Splunk, lo que proporciona una recopilación continua de datos y métricas de rendimiento casi en tiempo real.
Amazon CloudWatch: monitorea los eventos relacionados con el aprovisionamiento, los errores de servicio y el logro de umbrales (como el consumo de memoria). Los incidentes se revisan y clasifican para identificar las áreas problemáticas más importantes. Según la prioridad, las acciones se toman de inmediato o se programan para su posterior desarrollo. Se lleva a cabo una reunión de calidad de servicio (QoS) post-mortem para revisar los hallazgos, identificar las causas raíz e implementar cambios para mejorar.
Conclusión
HP reconoce que el panorama de amenazas cambia rápidamente. La evolución de los ciberataques comenzó con la eliminación de archivos y la desfiguración del sitio web a fines de la década de 1990, luego pasó a la etapa de monetización con credenciales robadas y ransomware. Más recientemente, los ataques están siendo llevados a cabo por estados-nación que están extremadamente bien financiados y tienen la intención de derribar las redes eléctricas y dejar inoperables decenas de miles de computadoras y dispositivos móviles.
Abordar estos riesgos es una misión en la que HP se embarcó hace más de cuarenta años. El legado de innovación de HP en la detección y protección de amenazas de seguridad, junto con las inversiones continuas centradas en la seguridad, informa el diseño de aplicaciones como WXP. El resultado es una solución de gestión de TI segura y basada en la nube basada en una plataforma de seguridad integrada que abarca la aplicación, el centro de datos físico y el acceso del usuario final.
Con funciones de seguridad integradas, WXP, disponible a través de HP Proactive Insights, HP Active Care y otros servicios con tecnología WXP, ofrece a las organizaciones una herramienta confiable para simplificar la administración diaria de dispositivos, datos y usuarios a través de múltiples capas sólidas de seguridad.