Introducción
HP Workforce Experience Platform (WXP) es una solución empresarial basada en la nube que ayuda a los equipos de TI a reducir la fricción digital, mejorar la seguridad y resolver de forma proactiva los problemas de los dispositivos. Proporciona visibilidad y gestión centralizadas de la flota de PC de una organización, como ordenadores de sobremesa, portátiles y otros activos conectados, a través de una plataforma segura y escalable.
WXP analiza los datos de telemetría casi en tiempo real de dispositivos y aplicaciones para identificar problemas, supervisar el estado y recomendar correcciones. Los administradores de TI pueden ver el estado de los dispositivos, definir políticas, generar informes e iniciar acciones remotas para satisfacer las necesidades operativas y de seguridad.
Este documento describe la arquitectura de seguridad y privacidad de WXP, centrándose en los dispositivos de PC administrados. Explica cómo se recopilan, transmiten, almacenan y protegen los datos, y describe el cumplimiento de la plataforma con los estándares de protección de datos. El público objetivo incluye administradores de TI, proveedores de servicios y revisores de seguridad que evalúan las prácticas de manejo de datos de la plataforma.
Arquitectura de experiencia WXP
Como plataforma de análisis integral basada en la nube para dispositivos, datos y usuarios, WXP incorpora seguridad de nivel de servicio probada en la industria en todos sus procesos de arquitectura y desarrollo. Los servicios clave incluyen:
Recopilación y análisis de telemetría de dispositivos en varios sistemas operativos
Permitir que los clientes de HP y los proveedores de servicios gestionados generen informes y gestionen incidentes
Integración de varios servicios de terceros a través de un modelo de software como servicio (SaaS)
Usuarios y roles
El panel de WXP ofrece varios tipos de usuarios y roles, como se muestra en el siguiente diagrama.
Papeles | Alcance |
|---|---|
Administrador Regional | Esta cuenta es utilizada por un administrador de operaciones comerciales de HP para crear nuevos inquilinos tanto para clientes directos como para socios. Las cuentas de administrador raíz regional están controladas y tienen acceso para administrar y navegar por los inquilinos directos de clientes y asociados. Normalmente, existen cuentas de administrador raíz independientes para cada región. Actualmente, WXP opera en dos centros de datos regionales de AWS:
|
Socios | Los inquilinos de asociados pueden incluir roles de administrador de socios, especialista en servicios y especialista en ventas. Estos inquilinos pueden acceder a varias cuentas de cliente y administrar dispositivos, usuarios y operaciones diarias en su nombre. Además:
|
Soporte de HP | Una cuenta de soporte de HP puede acceder a varias empresas simultáneamente y administrar dispositivos, usuarios y operaciones diarias en nombre de los clientes con fines de resolución de problemas. Estas acciones son gestionadas por el equipo de Operaciones Empresariales de HP. Hay dos tipos de usuarios en una cuenta de soporte de HP: administradores de soporte y especialistas de soporte. Los administradores de soporte pueden crear cuentas adicionales de administrador de soporte o especialista de soporte. |
Propietario de la empresa | Cuando se crea una empresa, los administradores raíz asignan un propietario de la empresa predeterminado. De forma predeterminada, a este usuario también se le asigna el rol de administrador de TI para administrar usuarios y dispositivos dentro de la empresa. Los propietarios de la empresa pueden administrar usuarios, manejar tareas relacionadas con el dispositivo y acceder a informes y otras funciones administrativas en función de sus permisos. Mientras que los proveedores de servicios gestionados (MSP) gestionan usuarios en varias empresas, los propietarios de empresas gestionan de forma independiente a los usuarios dentro de su propia empresa. |
Usuario de la empresa | En WXP, un usuario es una persona dentro de un inquilino de una empresa a la que se le asigna un rol que le permite realizar acciones. Los usuarios se pueden crear de las siguientes maneras:
|
Administrador de TI | El rol de administrador de TI se asigna a los usuarios dentro de las empresas del cliente o autogestionadas. Permite a los usuarios realizar tareas administrativas clave, como la gestión de usuarios y dispositivos. Si bien su función es similar a la de los roles disponibles para los MSP, el acceso de los administradores de TI se limita a su propia empresa. |
Administrador de informes | De forma predeterminada, los propietarios de la empresa tienen acceso a los informes. También se puede conceder a cualquier usuario de la empresa acceso a los informes. El rol de administrador de informes es de solo lectura y permite a los usuarios ver información de los informes WXP. |
Administrador de conectores | Esta función permite la gestión segura y basada en funciones de las integraciones dentro de WXP. Esta función rige el acceso a las acciones de integración en todos los conectores compatibles. Garantiza que solo los usuarios autorizados puedan configurar y administrar los widgets de integración y los ajustes de conexión. |
Capacidades clave
Los administradores de conectores pueden realizar las siguientes acciones dentro de WXP:
Configure y administre widgets de integración.
Conecta y desconecta integraciones de terceros, como ServiceNow, Teams, Graph API, etc.
Ver y acceder a la documentación de integración asociada.
En el diagrama siguiente se proporciona una descripción general de alto nivel de la funcionalidad y las capacidades de Insights:
Dispositivos HP Workforce Experience
La arquitectura WXP está diseñada para ayudar a evitar que los atacantes obtengan el control de los dispositivos. En función del hardware y los sistemas operativos, el software del dispositivo debe instalarse durante el proceso de aprovisionamiento.
Para agregar dispositivos, el administrador de TI de su empresa o un proveedor de servicios gestionados (MSP) debe inscribirlos de forma segura en WXP mediante un PIN de empresa asignado. Durante la inscripción, se produce un intercambio de claves asimétricas entre el servidor y el dispositivo. Cada dispositivo genera un par de claves único cuando se identifican los dispositivos y, a continuación, los dispositivos reciben un token de acceso que es válido durante 24 horas. Después de este período, los dispositivos deben enviar firmas al servidor que demuestren su identidad para nuevos tokens de acceso.
Con el consentimiento de la empresa, los dispositivos inscritos cargan datos de telemetría diariamente en la canalización de análisis de WXP. A lo largo del día, también reciben comandos y señales de control de WXP. Todas las comunicaciones están protegidas por el token de acceso mencionado anteriormente.
WXP para Microsoft Windows® utiliza el protocolo HTTPS/TLS 1.2 a través del puerto 443 para todas las comunicaciones. No instala certificados ni modifica el almacén de certificados del sistema operativo Windows.
Plataforma de experiencia de la fuerza laboral de HP
WXP está alojado en Amazon Web Services (AWS) en dos regiones diferentes: Estados Unidos (AWS-OR) y la Unión Europea (AWS-DE).
Dependiendo del país de registro, el inquilino de la empresa se crea en el centro de datos regional correspondiente. Los administradores de TI acceden a WXP a través de un navegador web, que proporciona interfaces para la inscripción, autenticación y comunicación de dispositivos.
En las siguientes secciones se tratan las decisiones de diseño sobre la seguridad.
Gestión de identidades
Actualmente, los proveedores de identidad (IdP) compatibles son HP Common Identity System (HPID) y Microsoft Entra ID. En el caso de la identidad gestionada por HP Common Identity System, la calidad de la contraseña no se puede configurar y la política de contraseñas se establece mediante la página de registro del ID de HP. Las contraseñas deben contener al menos ocho caracteres e incluir tres o más de los siguientes criterios:
Una letra mayúscula
Una letra minúscula
Números
Símbolos o caracteres especiales
La identidad administrada por Microsoft Entra ID sigue las directivas establecidas por el administrador de la cuenta de Entra ID. Esto incluye, pero no se limita a: autenticación multifactor, complejidad de contraseñas, etc.
Gestión de sesiones
No hay límite para el número de sesiones simultáneas que puede tener un usuario. Sin embargo, cada sesión finaliza automáticamente después de 30 minutos de inactividad. En el caso de los dispositivos, las sesiones caducan cada 24 horas y se renuevan automáticamente. La autenticación y la autorización se implementan mediante el protocolo OAuth 2.0 y se administran a través de mecanismos basados en sesiones. Esta funcionalidad utiliza tokens web JSON (JWT). Cada microservicio WXP aplica la verificación de JWT para la validez de la firma y la caducidad del token.
Autorización
Además de la verificación de tokens JWT, se realizan comprobaciones de arrendamiento para todas las API. Esto garantiza que se pasen los datos de inquilino adecuados al autor de la llamada. Además, se realizan comprobaciones de roles para todas las operaciones críticas.
Para obtener información adicional, consulte la sección Usarios y roles .
Multi-tenencia
WXP es una solución multiusuario basada en la nube. Los datos de inquilino se separan lógicamente mediante bases de datos relacionales y se aplican a través de comprobaciones de derechos de arrendamiento. Cada inquilino está asociado a un identificador único universal (UUID), que garantiza el aislamiento y la trazabilidad de los datos.
Datos en reposo
La información de la empresa, como los dispositivos, los usuarios y los datos relacionados, se almacena en una base de datos MySQL de AWS Relational Database Service (RDS) y en un almacén de datos de MongoDB. Tanto la base de datos MySQL de AWS RDS como los almacenes de datos de MongoDB están cifrados. Los campos confidenciales, como las claves y los tokens, también se cifran mediante AWS Key Management Service (KMS). La llave maestra se rota siguiendo las directrices de ciberseguridad de HP.
Datos en tránsito
Todas las comunicaciones externas hacia y desde WXP utilizan el protocolo HTTPS/TLS1.2. Los servicios de AWS Virtual Private Cloud (VPC) se comunican mediante texto sin formato.
Para obtener información adicional, consulte la sección Seguridad Operativa.
Integración de terceros
WXP se integra con varios servicios de terceros como ServiceNow, PowerBI, Tableau, EntraID. La comunicación de servidor a servidor se produce a través de HTTPS utilizando métodos de autenticación proporcionados por los sistemas de nuestros socios.
Para obtener más información sobre la integración de terceros, póngase en contacto con un experto de servicio de HP.
Validación de la interfaz de usuario (UI)
La validación de campos de la interfaz de usuario protege los campos de entrada en el agente WXP. La validación se aplica en función de los tipos de datos (por ejemplo, cadena, fecha/hora, moneda) y las reglas de negocio (por ejemplo, campos obligatorios o recomendados). Los campos también se pueden proteger en función de los roles de usuario y las operaciones permitidas (lectura/escritura). Se puede aplicar una validación adicional a través de funciones de scripting.
Plataforma de análisis de la experiencia de la fuerza laboral de HP
La plataforma de análisis de WXP está alojada en AWS y sirve como columna vertebral de procesamiento de datos para WXP. La mayoría de los componentes de la plataforma de análisis son internos y no están expuestos a acceso externo.
Recogida de datos
La plataforma de análisis proporciona interfaces para cargar datos de forma segura desde los dispositivos. Utiliza una puerta de enlace de API autenticada para recibir datos. En este modo de transporte, las conexiones, los comandos y las políticas no se envían ni se recopilan de los dispositivos, lo que garantiza la comunicación unidireccional desde el dispositivo hasta la nube.
Datos en reposo
Los datos no estructurados en reposo se mantienen en AWS S3; sin embargo, los datos estructurados se almacenan en AWS RedShift. Tanto los datos estructurados como los no estructurados se cifran en la plataforma de análisis.
HP Workforce Experience Seguridad operativa
En esta sección se describe cómo WXP aplica la seguridad de nivel de servicio para garantizar la seguridad en varias capas de comunicaciones.
Centro de datos
WXP está alojado en Amazon Web Services (AWS), más concretamente en Amazon Elastic Compute Cloud (Amazon EC2). Amazon EC2 proporciona capacidad informática escalable en la nube de AWS. WXP mantiene centros de datos en Oregón (Estados Unidos (AWS-OR) y Fráncfort (Alemania (AWS-DE). Los datos de los clientes ubicados en países europeos se pueden alojar en el centro de datos alemán. Los datos de los clientes de todos los demás países se pueden alojar en el centro de datos de EE. UU.
Todos los datos dentro de un solo "inquilino" de cliente se alojan en un solo centro de datos, aunque los clientes que deseen tener inquilinos separados en diferentes centros de datos para alojar datos para diferentes unidades de negocio pueden solicitar esta opción. Mediante el uso de AWS, WXP aprovecha los más de quince años de experiencia de Amazon en la entrega de infraestructura global a gran escala de forma fiable y segura. Para obtener más información, consulte el portal de información de AWS: http://aws.amazon.com/ec2/ .
En la capa física, es importante abordar los controles que existen para proteger las instalaciones y la red. Los datos de los clientes y los dispositivos se almacenan en centros de datos de AWS que se distribuyen geográficamente para proporcionar redundancia. AWS es un líder reconocido en alojamiento en la nube. Al asociarse con AWS, WXP hereda una infraestructura en la nube que ha sido diseñada para ser uno de los entornos de computación en la nube más flexibles y seguros disponibles en la actualidad. Algunas de sus características clave de seguridad incluyen:
Diseñado para la seguridad
La infraestructura en la nube de AWS está alojada en los centros de datos de AWS, que están diseñados para satisfacer los requisitos de los clientes más sensibles a la seguridad.
La infraestructura de AWS se ha diseñado para proporcionar una alta disponibilidad y, al mismo tiempo, establecer sólidas medidas de seguridad para la privacidad de los clientes y la segregación de datos.
Los datos de dispositivo, aplicación y ubicación transmitidos al centro de datos de U.S. Analytics Management no incluyen nombres de usuario ni direcciones de correo electrónico. En su lugar, los datos se asocian con los números de serie del dispositivo y los identificadores generados por el sistema, y se cifran en reposo de acuerdo con los estándares de protección de datos de HP.
Todos los datos estructurados y no estructurados de WXP se cifran en reposo mediante mecanismos de cifrado nativos de AWS, como AWS KMS, de acuerdo con las directrices de ciberseguridad de HP Altamente automatizado
AWS crea deliberadamente la mayoría de sus herramientas de seguridad para adaptarlas a los requisitos únicos del entorno y la escala de AWS.
Estas herramientas de seguridad están diseñadas para proporcionar la máxima protección de los datos y las aplicaciones. Esto significa que los expertos en seguridad de AWS dedican menos tiempo a las tareas rutinarias, lo que permite centrarse más en las medidas proactivas que pueden aumentar la seguridad del entorno de la nube de AWS.
Alta disponibilidad
AWS construye sus centros de datos en varias regiones geográficas, así como en varias zonas de disponibilidad dentro de cada región para ofrecer la máxima resiliencia frente a las interrupciones del sistema.
AWS diseña sus centros de datos con un exceso significativo de conexiones de ancho de banda para que, si se produce una interrupción importante, haya suficiente capacidad para permitir que el tráfico se equilibre en la carga de los sitios restantes.
Altamente Acreditado
Las certificaciones significan que los auditores han verificado que los controles de seguridad específicos están implementados y funcionan según lo previsto.
Para ver los informes de conformidad aplicables, póngase en contacto con un representante de cuentas de AWS para que le ayude a cumplir con las normas y normativas de seguridad específicas del gobierno, el sector y la empresa.
AWS proporciona informes de certificación que describen cómo la infraestructura de la nube de AWS cumple con los requisitos de una extensa lista de estándares de seguridad globales, entre ellos: ISO 27001, SOC, el estándar de seguridad de datos de la industria de tarjetas de pago (PCI), FedRAMP, el manual de seguridad de la información de la Dirección de Señales de Australia (ASD) y el estándar de seguridad en la nube de varios niveles de Singapur (MTCS SS 584).
Para obtener más información acerca de las regulaciones y estándares de seguridad con los que AWS cumple, consulte la página web de conformidad de AWS.
Para obtener información detallada sobre la seguridad física y ambiental, el acceso a AWS y la seguridad de la red, consulte: Prácticas recomendadas de AWS para la seguridad, la identidad y la conformidad.
Red
Los dispositivos de red, incluidos los cortafuegos y otros dispositivos de límite, están en su lugar para monitorear y controlar las comunicaciones en el límite externo de la red y en los límites internos clave dentro de la red. Estos dispositivos de límite emplean conjuntos de reglas, listas de control de acceso (ACL) y configuraciones para imponer el flujo de información a servicios de sistemas de información específicos.
Las ACL, o políticas de flujo de tráfico, se establecen en cada interfaz administrada, lo que aplica el flujo de tráfico. Las políticas de ACL están aprobadas por Amazon Information Security. Estas políticas se envían automáticamente mediante la herramienta de administración de ACL de AWS para ayudar a garantizar que estas interfaces administradas apliquen las ACL más actualizadas.
Puntos de acceso mejorados de seguridad
AWS ha colocado estratégicamente un número limitado de puntos de acceso a la nube para permitir un monitoreo más completo de las comunicaciones entrantes y salientes y el tráfico de red. Estos puntos de acceso de clientes se denominan puntos de enlace de API y permiten el acceso HTTP (HTTPS), que protege las sesiones de comunicación con instancias de almacenamiento o computación dentro de AWS. Además, AWS ha implementado dispositivos de red que se dedican a administrar las comunicaciones de interfaz con los proveedores de servicios de Internet (ISP). AWS emplea una conexión redundante a más de un servicio de comunicación en cada borde de la red de AWS orientado a Internet. Cada una de las conexiones tiene dispositivos de red dedicados.
Seguridad de aplicaciones, hosts y administradores
En la capa lógica, se utilizan varios controles para proteger los sistemas host, las aplicaciones que se ejecutan en esos sistemas y para los administradores que administran los sistemas host y las aplicaciones asociadas.
El acceso de los administradores de TI a WXP y a los datos de los clientes es limitado y está estrictamente gestionado. Solo se permite el acceso a aquellas personas esenciales para realizar una tarea, siempre que cumplan con las verificaciones de antecedentes y los requisitos de administración de cuentas adecuados.
Seguridad de los datos
Los datos intercambiados con WXP utilizan la implementación de AWS de Transport Layer Security (TLS) v1.2, la forma más reciente del protocolo Secure Sockets Layer (SSL) estándar del sector. TLS ayuda a proteger los datos en varios niveles, proporcionando autenticación de servidor, cifrado de datos e integridad de datos. Dado que TLS se implementa por debajo de la capa de la aplicación, es un mecanismo de seguridad pasivo que no depende de pasos o procedimientos adicionales del usuario. Las aplicaciones están mejor protegidas de los atacantes, incluso si los usuarios tienen poco o ningún conocimiento de las comunicaciones seguras.
Estas características ayudan a proteger los datos de daños incidentales y ataques maliciosos, y están pensadas para evitar amenazas comunes basadas en la web. Además del cifrado SSL para la comunicación de red entre clientes y servidores, HP cifra los registros y los datos en reposo que se guardan en las bases de datos de nuestros servidores.
Los dispositivos WXP deben tener los sistemas operativos y el software del dispositivo descritos en los requisitos del sistema. Aunque los expertos de servicio de HP pueden ayudar a aplicar las políticas de seguridad en los dispositivos en función de la configuración administrativa, no hay requisitos de seguridad adicionales para implementar el software WXP en los dispositivos. Las credenciales de inicio de sesión, como la dirección de correo electrónico y la contraseña del empleado, solo son necesarias para acceder a WXP.
Verificación independiente
En WXP se realizan dos técnicas diferentes de modelado de inteligencia de amenazas:
WXP se somete a un modelado de inteligencia de amenazas para todas las nuevas funcionalidades que se lanzan y periódicamente para todas las mejoras menores de la funcionalidad existente. Antes de comenzar el desarrollo de software de nuevas funciones, WXP también se somete a una revisión de la arquitectura de seguridad por parte de HP Cyber Security.
Ejemplo de pruebas de seguridad realizadas:
En WXP:
Secuencias de comandos entre sitios
Ataques de phishing
Robo de tokens de autenticación
Fuzzing de entrada
Suplantación de identidad por correo electrónico
Inyección SQL
Falsificación de solicitudes entre sitios (CSRF)
Otras vulnerabilidades web comunes
En el servicio en la nube WXP y la infraestructura de análisis (incluidos los microservicios):
Pruebas de interfaz para autenticación y autorización
Cambiar los identificadores de inquilino para asegurarse de que los datos adecuados vayan solo a los usuarios autorizados
Inyección SQL
Inyección remota de código
Ataques DOS
Fuzzing de entrada
En WXP en sistemas operativos, como Windows, Android y MAC:
fuente de instalación e integridad de la aplicación,
Escalada de privilegios
Ataques MITM
Fuzzing de entrada
Verificación de comandos con comprobaciones de integridad de datos
Envenenamiento de la tienda de certificados
Autenticación rota
configuración de seguridad, etc.
El equipo de desarrollo de WXP sigue un proceso de desarrollo de software seguro. Incluye revisiones de seguridad, además de revisiones periódicas de arquitectura y código que se centran en la seguridad, el modelado de amenazas y el análisis. Además, el equipo de WXP también realiza análisis y mitigación regulares de la infraestructura a través de herramientas como el agente Nessus. Todos ellos son auditados de forma independiente por Coalfire, al tiempo que concede a WXP la certificación ISO 27001.
Marcos de cumplimiento y seguridad de HP
WXP demuestra el compromiso de HP con los clientes mediante la implementación de un programa sólido y acreditado de gestión de riesgos y seguridad de la información. En el centro de todos los marcos de cumplimiento de seguridad se encuentra la protección de los datos de los clientes, que los clientes confían a HP. Como parte de su dirección estratégica, WXP garantiza la implementación de procedimientos y herramientas de seguridad adecuados para salvaguardar estos datos.
A través de acreditaciones de la industria reconocidas a nivel mundial, todos los datos de los clientes, incluida la información privada, operativa, general y personal, se revisan rigurosamente para confirmar que los controles de seguridad de WXP se alinean con los marcos de cumplimiento establecidos.
Certificación ISO 27001:2022
La seguridad de los sistemas de información y la información crítica para el negocio requieren una medición y gestión constantes. La certificación ISO 27001:2022, emitida por el auditor independiente Coalfire, es una verificación del compromiso de HP de ofrecer continuidad operativa y protección de datos.
La Organización Internacional de Normalización (ISO) es responsable del desarrollo de varias normas reconocidas internacionalmente para productos, servicios y sistemas. La certificación ISO 27001:2022 se otorga tras la realización de una auditoría externa por parte de un organismo de certificación acreditado y se basa en activos (información, procesos, personas y tecnología). HP ha obtenido la certificación ISO en todo el entorno de servicios de gestión y supervisión remota, tanto para los servicios de impresión gestionada como para los servicios de sistemas personales.
La norma ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI) en el contexto de una organización. Un SGSI es un enfoque sistemático para gestionar la información sensible de la empresa de modo que la información permanezca segura de acuerdo con los principios de confidencialidad, integridad y disponibilidad. El enfoque abarca a las personas, los procesos y los sistemas de TI, y consta de varios documentos de apoyo y directrices que definen la ruta de implementación y certificación.
La certificación ISO 27001:2022 cubre lo siguiente:
Políticas de seguridad de la información
Seguridad de las operaciones
Organización de la seguridad de la información
Seguridad de las comunicaciones
Seguridad de los recursos humanos
Adquisición, desarrollo y mantenimiento de sistemas
Gestión de activos
Relaciones con los proveedores
Control de acceso
Gestión de incidentes de seguridad de la información
Criptografía
Aspectos de seguridad de la información de la gestión de la continuidad del negocio
Seguridad física y ambiental
Conformidad
HP ha ampliado la certificación ISO para incluir:
ISO 27701:2019 (Sistemas de Gestión de Información de Privacidad PIMS)
ISO 27017:2015 (Controles de seguridad de la información de servicios en la nube)
Certificación ISO 27701:2019
Los clientes y socios que utilizan WXP para la supervisión continua buscan la seguridad de que sus datos están protegidos cuando utilizan un proveedor de servicios en la nube. La norma ISO 27017:2015 define los estándares reconocidos por la industria para los controles de seguridad de la información, específicamente para los clientes y proveedores de servicios en la nube.
SOC 2 Tipo 2
Una certificación SOC2 proporciona a los clientes la seguridad de saber que WXP sigue estándares reconocidos a nivel mundial en materia de seguridad, confidencialidad, privacidad y disponibilidad. SOC 2 proporciona a los clientes y socios la verificación de cómo HP gestiona, almacena y procesa los datos privados del cliente en un esfuerzo repetible y continuo. Los clientes exigen marcos adicionales para respaldar su tolerancia al riesgo. HP comenzó a buscar la certificación SOC 2 anual para seguir mejorando en el futuro y satisfacer la demanda de los clientes.
Ciclo de vida de desarrollo de software seguro (SSDL) de HP
Los enfoques de la industria para la seguridad de las aplicaciones han sido típicamente reactivos, y los enfoques de la industria no han logrado aplicar las lecciones del campo de la calidad. Los dos enfoques predominantes son:
Enterrar la cabeza en la arena: se caracteriza por la aplicación de parches de seguridad reactivos. Este enfoque se basa en vulnerabilidades y exposiciones comunes (CVE) con poco trabajo para evitar o minimizar la introducción de vulnerabilidades. Esto se observa con mayor frecuencia en segmentos de la industria con una carga regulatoria mínima relevante para la seguridad.
Probar la seguridad en: Esto se nota por la falta de resistencia diseñada en las aplicaciones. En su lugar, se aplica un esfuerzo para encontrar y corregir vulnerabilidades durante las pruebas en combinación con la aplicación de parches de seguridad. Este enfoque aparece con mayor frecuencia en el sector público, las industrias reguladas por la seguridad y la atención médica. Estos segmentos deben demostrar el cumplimiento de las regulaciones, incluida la Ley Federal de Administración de Seguridad de la Información (FISMA) de los Estados Unidos, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS), la Ley de Portabilidad y Responsabilidad de la Información de Salud (HIPAA) y la Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH). Sin embargo, la seguridad como atributo de calidad debe aplicarse en cada etapa del ciclo de vida de la misma manera que el campo de la calidad aprendió hace medio siglo.
Entre los inquilinos clave se incluyen los siguientes:
La calidad no se puede probar; Hay que diseñarlo e incorporarlo, y luego probarlo.
Los defectos de seguridad y las vulnerabilidades deben detectarse más pronto que tarde en el ciclo de vida en aras de los costes.
HP se toma muy en serio la seguridad del software, y HP ha adoptado un ciclo de vida de desarrollo de software seguro (SSDL). El proceso de SSDL tiene varios objetivos, entre los que se incluyen los siguientes:
Reduzca la superficie de ciberataque a través de una arquitectura de software segura
Minimice las vulnerabilidades inducidas por el código
Proteger la privacidad y la seguridad de los datos e identidades de los clientes
HP incluye procedimientos específicos relacionados con la seguridad en sus procesos SSDL, realiza revisiones de hitos para garantizar que los procesos de seguridad se completen con éxito y ofrece formación continua en seguridad a sus arquitectos de software, desarrolladores, ingenieros de pruebas, gestores de programas y sus equipos de liderazgo.
Las siete etapas en el proceso SSDL se definen a continuación:
Capacitación (Etapa 1): cursos formales que cubren el proceso SSDL, el diseño mejorado de seguridad, el modelado de amenazas y la codificación segura.
Requisitos (Etapa 2): planificación de la seguridad al comienzo de los proyectos de software, incluidas las evaluaciones de riesgos de seguridad característica por característica.
Diseño (Etapa 3) – Definición y documentación de la arquitectura de seguridad; Identificación de componentes críticos de seguridad.
Implementación (Etapa 4): ejecución del esquema de protección diseñado y el enfoque de mitigación, junto con revisiones y validaciones de código entre pares.
Verificación (Etapa 5): realización de análisis de código dinámico, pruebas de fuzzing (fuzzing) y revisiones de la superficie de ataque.
Versión (Etapa 6): verificación de que se han cumplido los requisitos de SSDL y que no existen vulnerabilidades conocidas.
Respuesta (Etapa 7): ejecución de las tareas de respuesta descritas durante la etapa de lanzamiento.
Recogida de datos
Los tipos de datos recopilados por WXP son proporcionados directamente por los clientes o recopilados automáticamente desde WXP basado en la nube. Los datos de los dispositivos se recopilan mediante los agentes WXP instalados en los dispositivos. WXP recopila los siguientes datos para ejecutar los servicios contractuales:
Finalidad de la recogida de datos | Datos recopilados | Descripción de los datos recopilados |
Gestión de cuentas | Datos de la cuenta | Información relacionada con las compras de los clientes o la inscripción en los servicios de WXP, el historial de soporte con respecto a los incidentes generados por WXP y cualquier otra cosa relacionada con la cuenta de WXP para realizar servicios de transacción como la administración de cuentas. |
Asegúrese de que WXP y los servicios funcionen correctamente | Datos de la aplicación | Incluye el número de versión, el estado de instalación y el historial de actualizaciones del agente WXP en cada dispositivo administrado. |
Configuración de la cuenta, gestión de identidades y Validación de derechos | Datos de contacto | Datos de contacto personales y/o comerciales, incluidos nombre, apellido, dirección postal, número de teléfono, número de fax, dirección de correo electrónico y otros datos de contacto similares utilizados para la configuración y validación de la cuenta de cliente de WXP, el derecho al servicio y las notificaciones por correo electrónico relacionadas con incidentes y servicios. |
Ofrezca mantenimiento y gestión proactivos de servicios de TI, así como informes/paneles centrados en el cliente | Datos del dispositivo | Información básica del dispositivo, como el nombre del dispositivo, el sistema operativo, la cantidad de memoria, el tipo de dispositivo, el tamaño del disco, la configuración de la región, la configuración del idioma, la configuración de la zona horaria, el número de modelo, la fecha de inicio inicial, la antigüedad del dispositivo, la fecha de fabricación del dispositivo, la versión del navegador, el fabricante del dispositivo, el estado de la garantía, los identificadores únicos del dispositivo y la información técnica adicional que varía según el modelo. Información de hardware, como BIOS, pantalla, GPU, almacenamiento, ranuras del sistema, memoria, reloj en tiempo real, datos de utilización de hardware del sistema (CPU, GPU, memoria y E/S de disco), controladores, dispositivos térmicos, ventiladores, PnP, periféricos RPOS, configuración de HP Sure Recover, prueba de diagnóstico de HP, estación de acoplamiento (solo HP), periférico conectado a la estación de acoplamiento, estado de la batería, configuración y estado de energía, diagnóstico de suspensión del sistema, atribución de disco primario/externo, utilización del disco, registro de servicio de la plataforma Intel (requiere Intel vPro), consumo de energía del sistema, consumo de energía del sistema por PCM (requiere HP Business PC G11 o posterior), margen de Intel SoC en memoria (solo HP Business PC G12 o posterior) y estado del teclado del portátil (solo HP Business PC G12 o posterior) Aplicaciones de software instaladas en el dispositivo, como la lista de aplicaciones instaladas, el tiempo de ejecución de las aplicaciones, los errores de las aplicaciones, los datos de utilización del hardware por aplicación (CPU y memoria).
Aplicaciones web en navegadores, como el número de visitas a la página, el tiempo de carga de la página y el error de carga de la página solo de las direcciones URL preconfiguradas en la página Configuración de WXP. De forma predeterminada, la recopilación de datos para aplicaciones web está deshabilitada, pero se puede habilitar en la página Configuración de > WXP. WXP no escanea ni recopila contenido de las aplicaciones web en los navegadores. Información generada por el sistema operativo para el dispositivo, como eventos del sistema operativo, actualizaciones faltantes de Windows, monitoreo de procesos y servicios, tiempo de inicio/suspensión/hibernación/apagado, tiempo de uso del dispositivo, tiempo de inicio de sesión del dispositivo, tiempo de inicio de sesión completo y tiempo de inicio rápido, fecha del último reinicio y bloqueo del sistema: bloqueo de pantalla azul en el sistema operativo Windows. Nota: De forma predeterminada, la recopilación de volcado de memoria para bloqueos del sistema está deshabilitada, pero se puede habilitar en la página de configuración de WXP. Información de red, como la interfaz de red, la dirección MAC, la dirección IP, el SSID, la intensidad de la señal, la velocidad de conexión, la configuración de autenticación de red, los errores de red, el consumo de red, la utilización de la red, la pérdida de paquetes, la fluctuación y la latencia por proceso, y las conexiones y desconexiones de red.
Información de seguridad, como el módulo de plataforma segura (TPM), el estado del antivirus, el estado del firewall, el estado del cifrado de BitLocker y el estado del arranque seguro. Información de usuario de los usuarios del cliente que inscriben sus dispositivos en WXP, como la información del último usuario que inició sesión y la información del usuario unido a Active Directory.
Información de ubicación del dispositivo, como la geolocalización en tiempo real del dispositivo y la ubicación del activo (establecida por los usuarios para indicar a dónde pertenece el dispositivo). Nota: De forma predeterminada, la recopilación de datos para la ubicación del dispositivo está deshabilitada, pero se puede habilitar en la página de configuración de WXP. |
Autenticación y autorización del acceso de los usuarios a las cuentas y servicios que utilizan HP | Credenciales de seguridad | Contraseñas de usuario, sugerencias de contraseñas e información de seguridad similar necesaria para que la autenticación autorice a los usuarios a acceder a las cuentas y servicios del portal basado en la nube de WXP. (solo si se utiliza HP ID) |
Agrupaciones de datos
Los datos del dispositivo recopilados por WXP 1 pueden incluir las siguientes agrupaciones:
Grupo de datos | Descripción |
Hardware | Incluyendo batería, BIOS, disco, pantalla/monitor, gráficos, inventario, memoria, interfaz de red, Plug and Play (PnP), procesador, reloj del sistema, ranuras del sistema, datos térmicos y de rendimiento del sistema. |
Aplicaciones de software | Incluidos los datos de cumplimiento, errores, inventario, rendimiento, utilización y utilización de aplicaciones web. |
Seguridad | Incluidos los dispositivos que no son de informes, la detección/administración de parches del sistema operativo, la ubicación del dispositivo, la alarma del dispositivo, el bloqueo y borrado, la configuración de la política de seguridad, la aplicación de la política de seguridad, las amenazas de seguridad, el cifrado de almacenamiento, la configuración de seguridad del usuario, el aprovisionamiento de Wi-Fi y los datos de infracciones de Windows Information Protection |
Registros de eventos de Windows | Los registros de eventos de Windows proporcionan un registro detallado de las notificaciones del sistema, la seguridad y las aplicaciones almacenadas por el sistema operativo Windows que utilizan los administradores para diagnosticar problemas del sistema y predecir problemas futuros. |
Garantía y paquetes de asistencia de HP | Los HP Care Packs son garantías ampliadas para su ordenador o impresora HP que cubren los productos una vez finalizada la garantía estándar. |
Los datos de usuario recopilados por WXP incluyen:
Dirección de correo electrónico del usuario
Última cuenta de usuario conectada
WXP no recopila los siguientes tipos de datos:
Información demográfica (con la excepción de las preferencias de país o idioma)
Información de cuentas financieras, números de tarjetas de crédito o débito, registros de crédito o datos de pago
Redes sociales
Identificador emitido por el gobierno, como seguro social, número de seguro social o identificación gubernamental
Información de salud
Datos sensibles como el origen étnico, las creencias políticas, la afiliación sindical, los datos de salud, la orientación sexual y los datos genéticos
Privacidad de datos
HP tiene una larga historia de liderazgo en la industria en privacidad y protección de datos. Junto con nuestra sólida cartera de productos y servicios, apoyamos los esfuerzos de nuestros clientes y socios para proteger los datos personales. Con respecto a los análisis de WXP, HP actúa como procesador de datos. Consulte la sección Procesador de datos en HP Privacy Central. Como empresa global, es posible que cualquier información que proporcione pueda ser transferida o accedida por entidades de HP en todo el mundo de acuerdo con la Declaración de privacidad de HP y en función de los Programas de privacidad internacionales enumerados en la sección Transferencias internacionales de datos.
La privacidad de los datos se rige por la Política de privacidad de HP para países de todo el mundo. Esta política se actualiza periódicamente y cubre los siguientes temas:
Nuestros Principios de Privacidad
Transferencias internacionales de datos (incluida la información del Escudo de privacidad UE-EE. UU.)
Cómo utilizamos los datos
¿Qué datos recopilamos?
Privacidad de los niños
Cómo conservamos y mantenemos seguros sus datos
Cómo compartimos los datos
Comunicaciones HP
Ejercer sus derechos y ponerse en contacto con nosotros
Cambios en nuestra declaración de privacidad
Retención de datos
La retención de datos es una parte importante de cualquier programa de cumplimiento y es necesaria para cumplir con la administración adecuada de los datos. La política de retención de datos de HP incorpora las siguientes prácticas recomendadas de retención de datos:
El mantenimiento de los datos durante períodos más cortos de lo necesario puede violar los requisitos contractuales o legales o afectar a la seguridad.
Mantener los datos durante períodos más largos de lo necesario puede violar las regulaciones de privacidad y es una de las principales preocupaciones de los clientes y las consultas de ventas.
Una vez que se eliminan los datos, no hay obligación de proporcionarlos al cliente o a las fuerzas del orden.
Todos los datos de los centros de datos regionales de EE. UU. y Alemania se eliminan de forma permanente dentro de los treinta días posteriores a la inactivación del cliente de WXP.
Los datos del centro de datos de U.S. Analytics se eliminan de forma permanente después de dos años a partir de la fecha de creación de los datos o dentro de los treinta días posteriores a la inactivación del cliente de WXP para el almacenamiento estructurado y no estructurado. Dado que el paquete de análisis de la aplicación WXP es un paquete compartido singular entre muchas aplicaciones de HP, los datos del centro de datos de U.S. Analytics no se eliminan de forma permanente si el cliente está desactivado de WXP porque el mismo cliente puede estar inscrito en otras aplicaciones de HP; y solo se elimina después de tres años de los datos de creación de datos.
Nota: Los datos de telemetría transmitidos al centro de datos de U.S. Analytics están vinculados a los números de serie del dispositivo y a los ID generados por el sistema. Estos datos se cifran en reposo y se gestionan de acuerdo con los estándares de seguridad y protección de datos de HP. .
Almacenamiento de datos
El almacenamiento de datos para WXP se limita a la información del usuario y del dispositivo de los suscriptores de pago.
Todas las bases de datos de los centros de datos regionales de EE. UU. y Alemania que almacenan datos personales están cifradas.
Todas las bases de datos de los centros de datos de administración de identidades de EE. UU. que almacenan datos personales están cifradas.
Todas las bases de datos y el almacenamiento no estructurado del centro de datos de U.S. Analytics están cifrados.
Los siguientes tipos de datos se transmiten y almacenan en los diferentes centros de datos:
Categoría de datos | Regional de EE. UU. Centro de datos1 | Regional Alemán Centro de datos2 | Análisis de EE. UU. Centro de datos3 | Datos de administración de identidad de EE. UU. Centro3 |
Datos de la cuenta | Sí | Sí | No | No |
Datos de la aplicación | Sí | Sí | Sí | No |
Datos de contacto | Sí | Sí | No | Sí (si se utiliza HP ID) |
Datos del dispositivo | Sí | Sí | Sí | No |
Datos de ubicación | Sí | Sí | Sí | No |
Datos de credenciales de seguridad | No | No | No | Sí (si se utiliza HP ID) |
Para clientes no europeos
Para clientes con sede en Europa
Para todos los clientes
Supervisión de servicios e informes
WXP proporciona actualizaciones de servicio con regularidad para ofrecer las últimas funciones y actualizaciones a los clientes. WXP también notifica a los clientes a través de varios métodos de actualizaciones y cambios programados o no programados en el servicio. En el caso de eventos planificados que interrumpan el servicio, como el mantenimiento del servicio, se notifica a los clientes con ocho horas de antelación.
Para ofrecer un servicio óptimo, HP lleva a cabo una supervisión e informes continuos del servicio.
Monitoreo de servicios
WXP y el agente se monitorean las 24 horas del día, los 7 días de la semana, los 365 días del año para garantizar la confiabilidad y el rendimiento. Además, la supervisión del rendimiento y la disponibilidad de la red se produce de forma continua. Todas las herramientas de supervisión dirigen cualquier problema, advertencia y problema directamente a los ingenieros de servicio. Las excepciones se elevan automáticamente a un sistema de tickets interno como elementos de trabajo de alta prioridad que requieren reconocimiento.
Si se supera un umbral, se produce el siguiente proceso de escalado automático:
Se envía una alerta por correo electrónico a un ingeniero de soporte de guardia correspondiente
Se envía una notificación push al dispositivo móvil del ingeniero de guardia
Se envía un correo electrónico a la lista de distribución del equipo de operaciones
WXP utiliza diferentes herramientas de monitoreo, que incluyen:
Nueva reliquia: supervisa varios componentes del sistema y, lo que es más importante, ayuda a identificar y depurar los cuellos de botella cuando aparecen. La mayoría de las aplicaciones/servicios se han instrumentado para Splunk, lo que proporciona una recopilación continua de datos y métricas de rendimiento casi en tiempo real.
Amazon CloudWatch: monitorea los eventos relacionados con el aprovisionamiento, los errores del servicio y la consecución de umbrales (como el consumo de memoria). Los incidentes se revisan y categorizan para identificar las áreas problemáticas más significativas. En función de la prioridad, las acciones se toman de inmediato o se programan para su posterior desarrollo. Se lleva a cabo una reunión de calidad de servicio (QoS) post mortem para revisar los hallazgos, identificar las causas raíz e implementar cambios para mejorar.
Conclusión
HP reconoce que el panorama de amenazas cambia rápidamente. La evolución de los ciberataques comenzó con la eliminación de archivos y la desfiguración de sitios web a finales de la década de 1990, y luego pasó a la etapa de monetización con el robo de credenciales y el ransomware. Más recientemente, los ataques están siendo llevados a cabo por estados-nación que están extremadamente bien financiados y tienen la intención de derribar las redes eléctricas y dejar inoperables a decenas de miles de computadoras y dispositivos móviles.
Abordar estos riesgos es una misión en la que HP se embarcó hace más de cuarenta años. El legado de innovación de HP en la detección y protección de amenazas de seguridad, junto con las inversiones continuas centradas en la seguridad, informa el diseño de aplicaciones como WXP. El resultado es una solución de gestión de TI segura y basada en la nube basada en una plataforma de seguridad integrada que abarca la aplicación, el centro de datos físico y el acceso del usuario final.
Con funciones de seguridad integradas, WXP, disponible a través de HP Proactive Insights, HP Active Care y otros servicios impulsados por WXP, ofrece a las organizaciones una herramienta confiable para simplificar la administración diaria de dispositivos, datos y usuarios a través de múltiples capas sólidas de seguridad.