Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

GUÍA

Implementación de Kiteworks de la publicación de CISA “Cambiando el Equilibrio del Riesgo de Ciberseguridad: Principios y Enfoques para la Seguridad desde el Diseño y por Defecto”

Operacionalizando la Visión de CISA: Seguridad desde el Diseño desde la Base

Introducción

El objetivo del documento publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), “Cambiando el Equilibrio del Riesgo de Ciberseguridad: Principios y Enfoques para la Seguridad desde el Diseño y por Defecto”, es proporcionar orientación a las organizaciones que buscan implementar principios de diseño seguro en su proceso de desarrollo de software. El documento busca trasladar la responsabilidad de la ciberseguridad del cliente a la industria, alentando a los fabricantes a adoptar una transparencia radical y centrarse en construir productos seguros. Los principios descritos en el documento incluyen:

  • La carga de la seguridad nunca debe recaer únicamente en el cliente y la industria necesita asumir la responsabilidad de los resultados de seguridad.
  • Los fabricantes deben adoptar una transparencia radical para divulgar y ayudar a los consumidores a comprender mejor el alcance de los desafíos de seguridad del consumidor.
  • Los líderes de la industria tecnológica deben centrarse en construir productos seguros y publicar hojas de ruta que expliquen cómo desarrollarán y actualizarán la tecnología segura desde el diseño.

El documento también enfatiza la importancia de incorporar principios de seguridad desde el diseño y por defecto en el proceso de desarrollo de software, en lugar de añadir la seguridad como una idea posterior. Al hacerlo, las organizaciones pueden reducir el riesgo de ciberataques y violaciones de datos, y mejorar la postura general de seguridad de sus productos. Los principios descritos en el documento también pueden ayudar a las organizaciones a cumplir con las regulaciones y estándares relevantes relacionados con la ciberseguridad. En resumen, el documento proporciona orientación a las organizaciones que buscan mejorar la seguridad de sus productos de software incorporando principios de seguridad desde el diseño y por defecto en su proceso de desarrollo. El documento busca trasladar la responsabilidad de la ciberseguridad del cliente a la industria, alentando a los fabricantes a adoptar una transparencia radical y centrarse en construir productos seguros.

La Plataforma de Seguimiento, Control y Protección de Contenidos Sensibles de Kiteworks que Habilita una Red de Contenido Privado

La plataforma de intercambio de archivos y gobernanza de Kiteworks, compatible con FedRAMP y FIPS 140-2, permite a las organizaciones compartir información sensible de manera rápida y segura mientras mantienen una visibilidad y control completos sobre sus actividades de intercambio de archivos. La plataforma Kiteworks proporciona:

Desarrollo Seguro de Software

Kiteworks fue construido utilizando las mejores prácticas de desarrollo seguro de software que se alinean con los “Principios y Enfoques para la Seguridad desde el Diseño y por Defecto” de CISA. Kiteworks aplica acceso de menor privilegio, defensa en profundidad, configuraciones seguras por defecto, validación de entrada/salida, versionado y estándares de la industria como OWASP y los puntos de referencia de CIS.

Intercambio Seguro de Archivos

Kiteworks está autorizado por FedRAMP Moderate y permite a las organizaciones acceder y compartir datos de manera segura, reduciendo el riesgo de violaciones de datos, ataques de malware y pérdida de datos.

Gobernanza y Cumplimiento

Kiteworks reduce el riesgo y el costo de cumplimiento al consolidar capacidades avanzadas de gobernanza de contenido en una sola plataforma. Ya sea que los empleados envíen y reciban contenido por correo electrónico, compartan archivos, transfieran archivos automáticamente, usen APIs o formularios web, está cubierto.

Simplicidad y Facilidad de Uso

Kiteworks permite el intercambio seguro de archivos y la colaboración entre organizaciones, individuos y organizaciones de terceros.

La Plataforma Kiteworks y las Recomendaciones de CISA “Cambiando el Equilibrio del Riesgo de Ciberseguridad: Principios y Enfoques para la Seguridad desde el Diseño y por Defecto” para los Fabricantes de Software

Sección: Principios de Seguridad de Productos de Software

Se alienta a los fabricantes de tecnología a adoptar un enfoque estratégico que priorice la seguridad del software. Las agencias autoras desarrollaron los siguientes tres principios fundamentales para guiar a los fabricantes de software en la construcción de seguridad en sus procesos de diseño antes de desarrollar, configurar y enviar sus productos.

Principios de Seguridad de Productos de Software Kiteworks Apoya el Cumplimiento Solución de Kiteworks
1. La carga de la seguridad no debe recaer únicamente en el cliente. Los fabricantes de software deben asumir la responsabilidad de los resultados de seguridad de la compra de sus clientes y evolucionar sus productos en consecuencia. Sí, apoya el cumplimiento Kiteworks fue construido utilizando las mejores prácticas de desarrollo seguro de software. Kiteworks aplica acceso de menor privilegio, defensa en profundidad, configuraciones seguras por defecto, validación de entrada/salida, versionado y estándares de la industria como OWASP y los puntos de referencia de CIS. Múltiples capas de seguridad como acceso basado en roles, cifrado, revisiones de seguridad, pruebas de penetración y QA automatizado defienden contra amenazas. La codificación segura y la validación de todas las entradas/salidas previenen la inyección de código y la pérdida de datos. El versionado mantiene la integridad de los archivos y el acceso a las últimas actualizaciones. Seguir estos principios de desarrollo de software y operativos hace que Kiteworks sea mediblemente más seguro y responsable que la competencia. Esto reduce el riesgo de la cadena de suministro y cumple con los requisitos de seguridad mejorados para la adquisición federal.
2. Adoptar una transparencia radical y responsabilidad. Los fabricantes de software deben enorgullecerse de entregar productos seguros y diferenciándose entre el resto de la comunidad de fabricantes basándose en su capacidad para hacerlo. Esto puede incluir compartir información que aprenden de sus implementaciones con clientes, como la adopción de mecanismos de autenticación fuertes por defecto. También incluye un fuerte compromiso para asegurar que los avisos de vulnerabilidad y los registros asociados de vulnerabilidades y exposiciones comunes (CVE) sean completos y precisos. Sin embargo, tenga cuidado con la tentación de contar los CVE como una métrica negativa, ya que tales números también son un signo de una comunidad saludable de análisis y pruebas de código. Sí, apoya el cumplimiento Kiteworks mantiene un ciclo continuo y extenso de autoevaluación en lo que respecta a la seguridad, realizado tanto por investigadores y analistas internos como externos. Internamente, todo el código se prueba tanto manual como automáticamente durante los diversos procesos del SDLC.
Cada nueva dependencia de terceros es aprobada por el equipo de seguridad antes de entrar en el producto final. La lista de componentes de terceros también se compara regularmente con la base de datos de vulnerabilidades conocidas, y se aplican correcciones según sea necesario y se publican en las notas de la versión.
Además, el código de Kiteworks se somete a una prueba de penetración completa de sombrero blanco realizada por expertos en seguridad externos al menos una vez al año. Todos los productos de Kiteworks también están disponibles para la comunidad de investigación global en forma de múltiples programas de recompensas por errores. Finalmente, Kiteworks recibe regularmente informes de penetración de los clientes. Cuando es apropiado, Kiteworks registra y publica CVE para vulnerabilidades dentro de los productos.
Kiteworks archiva CVE cuando es apropiado e informa a los clientes de los CVE corregidos en cada versión. En 2024, Kiteworks tiene como objetivo convertirse en una Autoridad de Numeración de CVE (CNA) completamente registrada, lo que permitirá mantener y publicar CVE oficiales por separado.
3. Construir una estructura organizativa y liderazgo para lograr estos objetivos. Si bien la experiencia técnica en el tema es crítica para la seguridad del producto, los ejecutivos senior son los principales responsables de la toma de decisiones para implementar cambios en una organización. El compromiso a nivel ejecutivo para que los fabricantes de software prioricen la seguridad como un elemento crítico del desarrollo de productos requiere el desarrollo de asociaciones con los clientes de una organización para comprender:
a. La orientación del escenario de implementación del producto junto con un modelo de amenazas adaptado
b. Implementación propuesta para controles de seguridad para alinearse con los principios de Seguridad por Defecto
c. Estrategias de asignación de recursos adaptadas al tamaño de la empresa y la capacidad de reemplazar prácticas de desarrollo heredadas con prácticas de Seguridad desde el Diseño
d. La necesidad de mantener una línea de comunicación abierta para retroalimentación interna y externa (por ejemplo, retroalimentación de empleados y clientes) con respecto a problemas de seguridad del producto. La seguridad del software debe enfatizarse en foros internos (por ejemplo, reuniones generales o almuerzos informales), así como en marketing de productos externos y participación del cliente.
e. Mediciones de efectividad dentro de las implementaciones de clientes. Los líderes ejecutivos senior querrán saber dónde las inversiones en seguridad desde el diseño y por defecto están ayudando a los clientes al ralentizar el ritmo de los parches de seguridad, reducir los errores de configuración y minimizar la superficie de ataque.		 Sí, apoya el cumplimiento a. Kiteworks trabaja estrechamente con los clientes para comprender sus escenarios de implementación y amenazas específicas, y utiliza esa información para informar sus decisiones de arquitectura de seguridad, planes de prueba, opciones de control y configuración, y prioridades.
b. La ingeniería y gestión de productos de Kiteworks—apoyada por el Director de Producto, CISO y CEO—han adoptado los principios de Seguridad por Defecto como un requisito en todo el producto. Kiteworks también emplea a un Gerente de Producto dedicado a la Ciberseguridad, bajo el título de Director de Ciberseguridad. Para proteger a los clientes de lapsos de seguridad involuntarios, el sistema también advierte y requiere aprobación para cualquier cambio de configuración que sea potencialmente un riesgo de seguridad o privacidad.
c. Dado que Kiteworks es un producto de seguridad y cumplimiento, las prácticas de Seguridad desde el Diseño son necesarias a lo largo del ciclo de vida del desarrollo.
d. Todos los ingenieros de software y gerentes de producto están capacitados en el proceso de ciclo de vida de desarrollo seguro, incluidas las prácticas de codificación segura. Las revisiones de diseño y código enfatizan la seguridad. El resto de la base de empleados está capacitada en los principios de seguridad que se aplican a sus roles. Los clientes pueden enviar preocupaciones de seguridad a través de su representante de Éxito del Cliente o a través del Soporte Técnico. Ciertos problemas, como un hallazgo de prueba de penetración, se entregan al equipo de ingeniería de seguridad para diferenciar vulnerabilidades reales de falsos positivos, asesorar al cliente e iniciar el proceso de creación de una solución de seguridad si es necesario. El marketing de productos proporciona material que describe características de seguridad importantes para su uso en el ciclo de ventas. Además, Kiteworks publica múltiples documentos técnicos y resúmenes técnicos disponibles en el sitio web y portales de clientes.
e. La ingeniería de seguridad de Kiteworks rastrea las tasas de vulnerabilidades descubiertas en revisiones de código, pruebas automatizadas, pruebas de penetración internas, pruebas de penetración de clientes, cazadores de recompensas y operaciones de clientes. Regularmente realizan mejoras en los procesos, incluyendo cambiar o agregar empresas de pruebas de penetración y cazadores de recompensas, mejorando drásticamente el número de vulnerabilidades descubiertas y corregidas temprano en el ciclo en lugar de ser descubiertas por los clientes más tarde. La tasa de parches de seguridad de Kiteworks se informa al CEO mensualmente. El producto reduce los errores de configuración de seguridad del cliente de dos maneras. Primero, todas las configuraciones de seguridad son Seguras por Defecto. Y segundo, cualquier cambio de configuración potencialmente riesgoso que realice un administrador mostrará una advertencia que describe el riesgo y requiere una aprobación para continuar. Minimiza la superficie de ataque desde el primer momento con su dispositivo virtual reforzado estándar.
Convocar reuniones rutinarias con el liderazgo ejecutivo de la empresa para impulsar la importancia de la Seguridad desde el Diseño y por Defecto dentro de la organización. Se deben establecer políticas y procedimientos para recompensar a los equipos de producción que desarrollen productos que se adhieran a estos principios, lo que podría incluir premios por implementar prácticas de seguridad de software sobresalientes o incentivos para escaleras de trabajo y criterios de promoción. Sí, apoya el cumplimiento Kiteworks organiza una reunión técnica semanal donde se discuten todas las preocupaciones de seguridad más recientes, tickets e iniciativas. Esta reunión incluye al equipo de seguridad, DevOps y desarrolladores e ingenieros principales. Además, se lleva a cabo una reunión mensual de gestión de seguridad que incluye al CEO, CISO, VP de Producto, VP de Ingeniería, Director de Ciberseguridad y representantes de Soporte al Cliente. El equipo de seguridad, que es responsable del diseño de seguridad del producto, incluidas la Seguridad desde el Diseño y por Defecto, informa regularmente al CEO y al liderazgo ejecutivo.
Dado que Kiteworks es un producto de seguridad, se espera e incentiva a los ingenieros y gerentes en todas las áreas a utilizar prácticas y diseños de seguridad sobresalientes. Como parte de cada lanzamiento de versión importante, Kiteworks organiza una competencia interna entre todos los ingenieros para encontrar errores y problemas de seguridad en el producto, incluyendo premios monetarios para los ganadores.
Operar en torno a la importancia de la seguridad del software para el éxito empresarial. Por ejemplo, considere asignar un “líder de seguridad de software” o un “equipo de seguridad de software” que mantenga prácticas comerciales y de TI para vincular directamente los estándares de seguridad de software y la responsabilidad del fabricante. Los fabricantes deben asegurarse de tener programas robustos e independientes de evaluación y evaluación de seguridad de productos para sus productos. Sí, apoya el cumplimiento El CISO de Kiteworks lidera todos los esfuerzos y responsabilidades en el mantenimiento de la seguridad del entorno de TI interno, así como en el mantenimiento general del cumplimiento con todas las mejores prácticas, estándares y regulaciones de seguridad relevantes. El CISO lidera un equipo de seguridad multifuncional, que monitorea de cerca los eventos de los clientes, evalúa decisiones críticas de seguridad corporativa y de productos, y define necesidades para ayudar a impulsar la hoja de ruta de futuras características de seguridad. El Director de Ciberseguridad está a cargo de asegurarse de que todos los productos estén diseñados y desarrollados de acuerdo con los más altos estándares de seguridad, así como de asegurarse de que todos los ingenieros de la empresa estén desarrollando código de acuerdo con las políticas y mejores prácticas de seguridad.
Las pruebas de seguridad automatizadas, las pruebas de penetración regulares, el análisis de caja blanca, las auditorías anuales de FedRAMP y un programa de recompensas mejoran la seguridad de la plataforma y proporcionan transparencia para encontrar vulnerabilidades. Kiteworks archiva CVE cuando es apropiado e informa a los clientes de los CVE corregidos en cada versión.
Utilizar un modelo de amenazas adaptado durante el desarrollo para priorizar los productos más críticos y de alto impacto. Los modelos de amenazas consideran el caso de uso específico de un producto y permiten a los equipos de desarrollo fortalecer los productos. Finalmente, el liderazgo senior debe responsabilizar a los equipos por entregar productos seguros como un elemento clave de la excelencia y calidad del producto. Sí, apoya el cumplimiento Kiteworks cuenta con un modelo de amenazas dedicado que se revisa y refina periódicamente como un esfuerzo conjunto entre el equipo de seguridad y el nivel ejecutivo de la empresa. Este modelo de amenazas se utiliza como guía y referencia al dirigir a los investigadores externos que realizan pruebas de penetración, así como la estructura de recompensas interna para los programas de recompensas por errores.
Además, Kiteworks fue construido utilizando las mejores prácticas de desarrollo seguro de software. Kiteworks prioriza la defensa en profundidad, configuraciones seguras por defecto, validación de entrada/salida y estándares de la industria como OWASP y los puntos de referencia de CIS. Múltiples capas de seguridad como acceso basado en roles, cifrado, revisiones de seguridad, pruebas de penetración y QA automatizado defienden contra amenazas. La codificación segura y la validación de todas las entradas/salidas previenen la inyección de código y la pérdida de datos.

Sección: Tácticas de Seguridad desde el Diseño

El Marco de Desarrollo de Software Seguro (SSDF), también conocido como SP 800-218 del Instituto Nacional de Estándares y Tecnología (NIST), es un conjunto central de prácticas de desarrollo de software seguro de alto nivel que se pueden integrar en cada etapa del ciclo de vida del desarrollo de software (SDLC). Seguir estas prácticas puede ayudar a los productores de software a ser más efectivos en encontrar y eliminar vulnerabilidades en el software liberado, minimizar el impacto potencial de la explotación de vulnerabilidades y abordar las causas raíz de las vulnerabilidades para prevenir recurrencias futuras. Las agencias autoras fomentan el uso de tácticas de Seguridad desde el Diseño, incluyendo principios que hacen referencia a las prácticas del SSDF. Los fabricantes de software deben desarrollar una hoja de ruta escrita para adoptar más prácticas de desarrollo de software de Seguridad desde el Diseño en todo su portafolio. La siguiente es una lista no exhaustiva de mejores prácticas ilustrativas de la hoja de ruta:

Tácticas de Seguridad desde el Diseño Kiteworks Apoya el Cumplimiento Solución de Kiteworks
Lenguajes de programación seguros para la memoria (SSDF PW.6.1): Priorizar el uso de lenguajes seguros para la memoria siempre que sea posible. Las agencias autoras reconocen que otras mitigaciones específicas de la memoria, como la aleatorización del diseño del espacio de direcciones (ASLR), la integridad del flujo de control (CFI) y el fuzzing son útiles para bases de código heredadas, pero insuficientes para ser vistas como Seguridad desde el Diseño ya que no previenen adecuadamente la explotación. Algunos ejemplos de lenguajes modernos seguros para la memoria incluyen C#, Rust, Ruby, Java, Go y Swift. Lea la hoja de información sobre seguridad de la memoria de la NSA para más información. Sí, apoya el cumplimiento La aplicación del lado del servidor de Kiteworks está codificada principalmente en lenguajes de programación seguros para la memoria descritos en la hoja de información sobre seguridad de la memoria de la NSA.
Fundación de hardware seguro: Incorporar características arquitectónicas que permitan una protección de memoria de grano fino, como las descritas por las Instrucciones RISC Mejoradas por Hardware de Capacidad (CHERI) que pueden extender las arquitecturas de conjunto de instrucciones de hardware convencionales (ISAs). Para más información, visite la página web de CHERI de la Universidad de Cambridge. Fuera de Alcance El dispositivo virtual reforzado de Kiteworks se implementa en los sistemas de virtualización VMware y Hyper-V de los clientes en servidores de hardware estándar que el cliente proporciona en sus instalaciones. En la nube, los clientes pueden implementar dispositivos virtuales reforzados de Kiteworks en sus recursos arrendados de AWS o Azure. Kiteworks también ofrece un servicio de alojamiento, con opciones FedRAMP Moderate e IRAP, todo en centros de datos seguros de AWS. Además, Kiteworks ofrece soporte FIPS 140-2 y está en proceso de validación de NIST para 140-3.
Componentes de software seguros (SSDF PW 4.1): Adquirir y mantener componentes de software bien asegurados (por ejemplo, bibliotecas de software, módulos, middleware, marcos) de desarrolladores comerciales verificados, de código abierto y otros desarrolladores de terceros para asegurar una seguridad robusta en productos de software para el consumidor. Sí, apoya el cumplimiento Las bibliotecas incorporadas en el producto se someten a una extensa evaluación, prueba, revisión y otras técnicas. Cuando los ingenieros de seguridad de Kiteworks encuentran vulnerabilidades y corrigen el código, la empresa contribuye con las mejoras a la comunidad de código abierto.
Marcos de plantillas web (SSDF PW.5.1): Usar marcos de plantillas web que implementen el escape automático de la entrada del usuario para evitar ataques web como el cross-site scripting. Sí, apoya el cumplimiento El diseño de Kiteworks va más allá de los marcos de plantillas web: También incorpora un firewall de aplicaciones web (WAF) para identificar, alertar y minimizar una variedad de vectores de ataque web, así como firmas de actividad de amenazas persistentes avanzadas.
Consultas parametrizadas (SSDF PW 5.1): Usar consultas parametrizadas en lugar de incluir la entrada del usuario en las consultas, para evitar ataques de inyección SQL. Sí, apoya el cumplimiento El producto Kiteworks utiliza consultas parametrizadas y otros métodos de mejores prácticas para minimizar las oportunidades de inyectar SQL o ejecutar SQL malicioso. También incorpora un firewall de aplicaciones web (WAF) que puede ayudar a identificar, alertar y mitigar ataques de inyección SQL.
Pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST/DAST) (SSDF PW.7.2, PW.8.2): Usar estas herramientas para analizar el código fuente del producto y el comportamiento de la aplicación para detectar prácticas propensas a errores. Estas herramientas cubren problemas que van desde la gestión inadecuada de la memoria hasta la construcción de consultas de bases de datos propensas a errores (por ejemplo, entrada de usuario no escapada que lleva a inyección SQL). Las herramientas SAST y DAST pueden incorporarse en los procesos de desarrollo y ejecutarse automáticamente como parte del desarrollo de software. Las herramientas SAST y DAST deben complementar otros tipos de pruebas, como pruebas unitarias y pruebas de integración, para asegurar que los productos cumplan con los requisitos de seguridad esperados. Cuando se identifican problemas, los fabricantes deben realizar un análisis de causa raíz para abordar sistemáticamente las vulnerabilidades. Sí, apoya el cumplimiento Kiteworks utiliza una variedad de pruebas de seguridad, incluyendo SAST/DAST, pruebas de seguridad automatizadas, pruebas de penetración regulares y un programa de recompensas, para mejorar la seguridad de la plataforma. Todos los programas se miden y mejoran regularmente.
Revisión de código (SSDF PW.7.1, PW.7.2): Esforzarse por asegurar que el código enviado a los productos pase por una revisión por pares por parte de otros desarrolladores para asegurar una mayor calidad. Sí, apoya el cumplimiento Los cambios de código de Kiteworks deben pasar por una revisión de codificación y seguridad con desarrolladores más experimentados. La Gestión de Producto también debe ser notificada para que puedan definir el impacto en el cliente y dirigir las comunicaciones apropiadas con el cliente.
Lista de materiales de software (SBOM) (SSDF PS.3.2, PW.4.1): Incorporar la creación de SBOM3 para proporcionar visibilidad en el conjunto de software que entra en los productos. Sí, apoya el cumplimiento. La lista de materiales de software es visible en la consola del administrador para los administradores con privilegios de Administrador del Sistema.
Programas de divulgación de vulnerabilidades (SSDF RV.1.3): Establecer programas de divulgación de vulnerabilidades que permitan a los investigadores de seguridad informar vulnerabilidades y recibir un puerto seguro legal al hacerlo. Como parte de esto, los proveedores deben establecer procesos para determinar las causas raíz de las vulnerabilidades descubiertas. Tales procesos deben incluir determinar si la adopción de alguna de las prácticas de Seguridad desde el Diseño en este documento (u otras prácticas similares) habría prevenido la introducción de la vulnerabilidad. Sí, apoya el cumplimiento Kiteworks tiene una comunidad próspera y en expansión de cazadores de recompensas que han ganado muchas buenas recompensas por encontrar vulnerabilidades antes de que lleguen a los clientes. El equipo de ingeniería de seguridad de Kiteworks evalúa cada hallazgo, lo reproduce, lo clasifica y asigna una puntuación utilizando el CVSS (Sistema de Puntuación de Vulnerabilidades Comunes), que determina la urgencia de la corrección.
Integridad de CVE: Asegurarse de que los CVE publicados incluyan la causa raíz o enumeración de debilidades comunes (CWE) para permitir un análisis a nivel de la industria de las causas raíz de la seguridad del software. Si bien asegurar que cada CVE sea correcto y completo puede llevar tiempo adicional, permite a entidades dispares detectar tendencias de la industria que benefician a todos los fabricantes y clientes. Para más información sobre la gestión de vulnerabilidades, consulte la guía SVCC específica para partes interesadas de CISA. Sí, apoya el cumplimiento Kiteworks encuentra más del 94% de las vulnerabilidades antes de que lleguen a los clientes. En el caso de que un cazador de recompensas o un investigador independiente encuentre una vulnerabilidad en una versión de Kiteworks en funcionamiento, Kiteworks se esfuerza por incluir la información útil para el análisis en el CVE.
Defensa en profundidad: Diseñar la infraestructura de manera que el compromiso de un solo control de seguridad no resulte en el compromiso de todo el sistema. Por ejemplo, asegurarse de que los privilegios de usuario estén provisionados de manera estrecha y se empleen listas de control de acceso puede reducir el impacto de una cuenta comprometida. Además, las técnicas de sandboxing de software pueden aislar una vulnerabilidad para limitar el compromiso de toda una aplicación. Sí, apoya el cumplimiento Autenticación Multifactor (MFA): Kiteworks admite MFA, que es un sistema de seguridad que requiere más de un método de autenticación de categorías independientes de credenciales para verificar la identidad del usuario para un inicio de sesión u otra transacción. Esto agrega una capa adicional de seguridad para frustrar a los usuarios no autorizados de obtener acceso a datos sensibles incluso si han obtenido credenciales de usuario válidas a través de phishing u otros medios. El servidor de Kiteworks puede integrarse con un servicio MFA de terceros utilizando el protocolo RADIUS. Cuando un servidor RADIUS no está disponible, el MFA nativo de Kiteworks puede proporcionar el segundo factor a través de correo electrónico o integrándose con un servidor SMS. Algunos clientes configuran las configuraciones de Kiteworks para usar RADIUS MFA dentro de su intranet corporativa, y el MFA nativo de Kiteworks en la internet externa. Los administradores pueden habilitar perfiles de usuario para requerir Contraseñas de Un Solo Uso Basadas en Tiempo (TOTP) utilizadas por aplicaciones de autenticación como Google Authenticator, Microsoft Authenticator y Authy.
Inicio de Sesión Único (SSO): Kiteworks admite SSO, una propiedad de control de acceso de múltiples sistemas de software relacionados, pero independientes. Con esta propiedad, un usuario inicia sesión una vez y obtiene acceso a todos los sistemas sin que se le solicite iniciar sesión nuevamente en cada uno de ellos. Los clientes pueden iniciar sesión en los clientes de Kiteworks utilizando autenticación nativa basada en una dirección de correo electrónico, SSO (SAML o Kerberos), junto con LDAP/AD. Esto mejora la seguridad al limitar el potencial de error humano.
Almacenamiento Seguro de Datos: Kiteworks utiliza cifrado doble, asegurando los datos en tránsito a través de TLS 1.3 y en reposo a través de AES de 256 bits, para prevenir el acceso no autorizado durante la transmisión y el almacenamiento.
Transmisión Segura de Datos: Kiteworks utiliza TLS 1.3 como el protocolo criptográfico seguro por defecto. Este protocolo se utiliza para establecer canales de cifrado sobre redes informáticas para asegurar la integridad y privacidad de los datos.
Control de Acceso Basado en Roles: Kiteworks utiliza políticas de gobernanza basadas en roles de grano fino para controlar el acceso a los datos. Esto significa que los usuarios solo pueden acceder a los datos que están autorizados a ver, según su rol dentro de la organización.
Integración con la Infraestructura de Seguridad Existente: Kiteworks puede integrarse con la infraestructura de seguridad existente de una organización, incluyendo DLP, ATP, SIEM, MDM, SSO, 2FA, MFA, etc. Esto permite a las organizaciones aprovechar su inversión existente en seguridad y proporciona una capa adicional de protección.
Escaneo de Antivirus: Kiteworks proporciona una opción de escaneo de antivirus incorporada a través de WithSecure y puede incorporar WithSecure Atlant, permitiendo el escaneo de antivirus de archivos de tamaño ilimitado. Todos los archivos dentro del sistema Kiteworks se escanean en busca de malware al descargar y cargar, proporcionando una capa adicional de protección contra amenazas.
Cumplir con los Objetivos de Rendimiento de Ciberseguridad (CPGs): Diseñar productos que cumplan con prácticas básicas de seguridad. Los Objetivos de Rendimiento de Ciberseguridad de CISA describen medidas fundamentales y básicas de ciberseguridad que las organizaciones deben implementar. Además, para más formas de fortalecer la postura de su organización, consulte el Marco de Evaluación de Ciberseguridad del Reino Unido que comparte similitudes con los CPGs de CISA. Si un fabricante no cumple con los CPGs, como no requerir autenticación multifactor resistente al phishing para todos los empleados, entonces no se puede considerar que entregan productos de Seguridad desde el Diseño. Sí, apoya el cumplimiento Kiteworks está diseñado expresamente para facilitar a las organizaciones la conformidad con el NIST CSF, los CPGs de CISA, ISO 27001 y otros marcos de ciberseguridad. Muchas capacidades, como el cifrado en tránsito y en reposo, están integradas. Otras, como la autenticación multifactor a través de RADIUS, solo necesitan conectarse a su componente de seguridad empresarial. Los controles sofisticados basados en roles por defecto están configurados en las configuraciones más seguras, facilitando a una organización cumplir con los requisitos del marco.

Sección: Tácticas de Seguridad por Defecto

Además de adoptar prácticas de desarrollo de Seguridad desde el Diseño, las agencias autoras recomiendan que los fabricantes de software prioricen las configuraciones de Seguridad por Defecto en sus productos. Estos deben esforzarse por actualizar los productos para conformarse a estas prácticas a medida que se actualizan. Por ejemplo:

Tácticas de Seguridad por Defecto Kiteworks Apoya el Cumplimiento Solución de Kiteworks
Eliminar contraseñas por defecto: Los productos no deben venir con contraseñas por defecto que sean compartidas universalmente. Para eliminar las contraseñas por defecto, las agencias autoras recomiendan que los productos requieran que los administradores establezcan una contraseña fuerte durante la instalación y configuración.
• Mandatar la autenticación multifactor (MFA) para usuarios privilegiados. Observamos que muchas implementaciones empresariales son gestionadas por administradores que no han protegido sus cuentas con MFA. Dado que los administradores son objetivos de alto valor, los productos deben hacer que MFA sea una opción de exclusión en lugar de una opción de inclusión. Además, el sistema debe solicitar regularmente al administrador que se inscriba en MFA hasta que lo haya habilitado con éxito en su cuenta. El NCSC de los Países Bajos tiene una guía que se asemeja a la de CISA. Visite su Hoja de Datos de Autenticación Madura para más información.		 Sí, apoya el cumplimiento Autenticación Multifactor (MFA): Kiteworks admite MFA, una medida de seguridad que requiere que los usuarios proporcionen al menos dos formas de identificación antes de poder acceder a su cuenta. Esto generalmente implica algo que el usuario sabe (como una contraseña), algo que el usuario tiene (como un dispositivo móvil para recibir un código de verificación) y/o algo que el usuario es (como una huella digital u otro dato biométrico). El servidor de Kiteworks puede integrarse con un servicio MFA de terceros utilizando el protocolo RADIUS. Cuando un servidor RADIUS no está disponible, el MFA nativo de Kiteworks puede proporcionar el segundo factor a través de correo electrónico o integrándose con un servidor SMS. Algunos clientes configuran las configuraciones de Kiteworks para usar RADIUS MFA dentro de su intranet corporativa, y el MFA nativo de Kiteworks en la internet externa. Los administradores pueden habilitar perfiles de usuario para requerir Contraseñas de Un Solo Uso Basadas en Tiempo (TOTP) utilizadas por aplicaciones de autenticación como Google Authenticator, Microsoft Authenticator y Authy. Esto agrega una capa adicional de seguridad para frustrar a los usuarios no autorizados de obtener acceso a datos sensibles incluso si han obtenido credenciales de usuario válidas a través de phishing u otros medios. Además, Kiteworks no tiene contraseñas por defecto, y una configuración de administrador puede deshabilitar la capacidad de que la misma contraseña inicie sesión varias veces. Los administradores pueden establecer políticas de contraseñas fuertes. Si es necesario, los administradores de Kiteworks tienen la capacidad de abolir completamente el uso de contraseñas, permitiendo solo a los usuarios autenticarse a través de SSO o Certificados de Cliente.
Inicio de sesión único (SSO): Las aplicaciones de TI deben implementar tecnología de inicio de sesión único a través de estándares abiertos modernos. Ejemplos incluyen Security Assertion Markup Language (SAML) o OpenID Connect (OIDC). Esta capacidad debe estar disponible por defecto sin costo adicional. Sí, apoya el cumplimiento Inicio de Sesión Único (SSO): Kiteworks admite SSO, una propiedad de control de acceso de múltiples sistemas de software relacionados, pero independientes. Con esta propiedad, un usuario inicia sesión una vez y obtiene acceso a todos los sistemas sin que se le solicite iniciar sesión nuevamente en cada uno de ellos. Los clientes pueden iniciar sesión en los clientes de Kiteworks utilizando autenticación nativa basada en una dirección de correo electrónico, SSO (SAML o Kerberos), junto con LDAP/AD. Esto no solo mejora la experiencia del usuario al reducir el número de veces que los usuarios tienen que ingresar sus credenciales, sino que también mejora la seguridad al limitar el potencial de error humano. Además de SSO, Kiteworks también admite la Autenticación Basada en Certificados (CBA).
Registro seguro: Proporcionar registros de auditoría de alta calidad a los clientes sin costo adicional. Los registros de auditoría son cruciales para detectar y escalar posibles incidentes de seguridad. También son cruciales durante una investigación de un incidente de seguridad sospechoso o confirmado. Considere las mejores prácticas como proporcionar una fácil integración con sistemas de gestión de información y eventos de seguridad (SIEM) con acceso a la interfaz de programación de aplicaciones (API) que utiliza el tiempo universal coordinado (UTC), formato de zona horaria estándar y técnicas de documentación robustas. Sí, apoya el cumplimiento Integración SIEM: Kiteworks se integra con sistemas de gestión de información y eventos de seguridad (SIEM). Los sistemas SIEM proporcionan análisis en tiempo real de alertas de seguridad generadas por aplicaciones y hardware de red. Kiteworks alimenta continuamente entradas de registro a syslogs configurados y sistemas SIEM como Splunk, LogRhythm y ArcSight. Esta integración permite un registro y análisis centralizados, facilitando la identificación y respuesta a incidentes de seguridad.
Integración ATP: Los servidores de Kiteworks se integran con soluciones de prevención de amenazas avanzadas (ATP) disponibles comercialmente a través del protocolo ICAP. El módulo ATP de Kiteworks envía contenido entrante a servidores ATP que escanean en busca de amenazas desconocidas. Si se detecta malware, pone en cuarentena el archivo, registra el evento, envía notificaciones al personal de operaciones de seguridad apropiado y proporciona informes y análisis del panel de control del CISO. Esta integración con soluciones ATP mejora la seguridad del sistema al proporcionar una capa adicional de protección contra amenazas avanzadas.
Registros de Auditoría: Kiteworks proporciona registros de auditoría detallados, que rastrean la actividad del usuario dentro del sistema. Estos registros pueden usarse para identificar posibles amenazas de seguridad, proporcionar evidencia de cumplimiento con requisitos regulatorios y ayudar en la investigación de incidentes de seguridad. Los registros de auditoría capturan información como la actividad de inicio de sesión del usuario, el acceso y las modificaciones de archivos, y los cambios de configuración del sistema.
Perfil de autorización de software: Los proveedores de software deben proporcionar recomendaciones sobre roles de perfil autorizados y su caso de uso designado. Los fabricantes deben incluir una advertencia visible que notifique a los clientes sobre un mayor riesgo si se desvían del perfil de autorización recomendado. Por ejemplo: Los médicos pueden ver todos los registros de pacientes, pero un programador médico tiene acceso limitado a la información de dirección necesaria para programar citas. Sí, apoya el cumplimiento Acceso basado en roles, permisos, valores predeterminados de menor privilegio. A todos los usuarios se les asigna un conjunto de permisos que controlan el acceso a funciones y recursos. Kiteworks está diseñado para que los usuarios reciban automáticamente los permisos mínimos necesarios; los administradores deben habilitar explícitamente los permisos elevados.
Seguridad prospectiva sobre compatibilidad retroactiva: Con demasiada frecuencia, se incluyen características heredadas compatibles hacia atrás, y a menudo habilitadas, en productos a pesar de causar riesgos para la seguridad del producto. Priorizar la seguridad sobre la compatibilidad retroactiva, empoderando a los equipos de seguridad para eliminar características inseguras incluso si significa causar cambios disruptivos. Sí, apoya el cumplimiento Kiteworks desaprueba protocolos y subsistemas obsoletos de manera regular. Por ejemplo, admite TLS 1.3, pero ya no admite los protocolos obsoletos TLS 1.0 y 1.1.
Rastrear y reducir el tamaño de la “guía de endurecimiento”: Reducir el tamaño de las “guías de endurecimiento” producidas para productos y esforzarse por asegurar que el tamaño se reduzca con el tiempo a medida que se lanzan nuevas versiones del software. Integrar componentes de la “guía de endurecimiento” como la configuración predeterminada del producto. Las agencias autoras reconocen que las guías de endurecimiento acortadas resultan de la asociación continua con los clientes existentes e incluyen esfuerzos de muchos equipos de productos, incluida la experiencia del usuario (UX). Sí, apoya el cumplimiento Kiteworks se entrega e implementa como un dispositivo virtual reforzado listo para usar; el equipo de ingeniería de Kiteworks ejecuta la “guía de endurecimiento” para que sus clientes no tengan que hacerlo. Elimina software, funciones, cuentas innecesarias, etc., cifra los datos y por defecto a las configuraciones y configuraciones más seguras. Todo el servidor—SO, base de datos, servidor web, código de aplicación, y así sucesivamente—utiliza actualizaciones de un solo clic como un teléfono inteligente para que los clientes puedan aplicar sin esfuerzo las últimas actualizaciones para gestionar vulnerabilidades. El servidor de Kiteworks incorpora un firewall de red que solo permite el acceso de administrador y usuario final basado en roles a través de la web, sin acceso al sistema operativo o base de datos. Para mitigar amenazas avanzadas, el servidor incorpora un firewall de aplicaciones web (WAF) para detectar, alertar y cerrar ataques basados en la web, y muchas formas de detección de intrusiones y trampas para detectar, alertar y cerrar actividades más intrusivas. A diferencia del endurecimiento personalizado realizado después de la instalación, el dispositivo virtual reforzado de Kiteworks se somete a múltiples pruebas de penetración internas y externas por año, así como a hackers de sombrero blanco que reciben una recompensa si encuentran una nueva vulnerabilidad y penetran el endurecimiento.
Considerar las consecuencias de la experiencia del usuario de las configuraciones de seguridad: Cada nueva configuración aumenta la carga cognitiva en los usuarios finales y debe evaluarse junto con el beneficio comercial que deriva. Idealmente, una configuración no debería existir; en su lugar, la configuración más segura debería integrarse en el producto por defecto. Cuando sea necesaria la configuración, la opción predeterminada debería ser ampliamente segura contra amenazas comunes. Sí, apoya el cumplimiento Kiteworks se esfuerza por lograr la experiencia más simple y menos propensa a errores posible tanto para los usuarios finales como para los administradores. Las configuraciones de administrador son seguras por defecto, y los administradores son advertidos y necesitan firmar si eligen una configuración potencialmente riesgosa. Las funciones como el servicio de asistencia y los administradores del sistema están segregadas, y el acceso a los controles se basa en roles. Los controles de acceso de los usuarios finales son nulos por defecto; el acceso al contenido es solo por invitación de una parte debidamente autorizada.
Muchas configuraciones no existen porque los controles siempre están activados: El contenido en almacenamiento y en tránsito está cifrado por defecto, sin controles para que los administradores puedan potencialmente activar o desactivar. Algunos subsistemas, como la Puerta de Enlace de Protección de Correo Electrónico (EPG) aplican políticas automáticas que son transparentes para los usuarios finales: simplemente envían y reciben correos electrónicos como de costumbre mientras el sistema determina cuáles cifrar y cuáles enviar en claro, por ejemplo.
GUÍAS DE ENDURECIMIENTO VS. GUÍAS DE FLEXIBILIZACIÓN
Las guías de endurecimiento pueden resultar de la falta de controles de seguridad del producto integrados en la arquitectura de un producto desde el inicio del desarrollo. En consecuencia, las guías de endurecimiento también pueden ser una hoja de ruta para que los adversarios identifiquen y exploten características inseguras. Es común que muchas organizaciones no sean conscientes de las guías de endurecimiento, por lo que dejan la configuración de sus dispositivos en una postura insegura. Un modelo invertido conocido como guía de flexibilización debería reemplazar tales guías de endurecimiento y explicar qué cambios deben hacer los usuarios mientras también enumeran los riesgos de seguridad resultantes.
En lugar de desarrollar guías de endurecimiento que enumeren métodos para asegurar productos, las agencias autoras recomiendan que los fabricantes de software cambien a un enfoque de Seguridad por Defecto proporcionando guías de flexibilización. Estas guías explican el riesgo comercial de las decisiones en un lenguaje claro y comprensible, y pueden aumentar la conciencia organizacional de los riesgos de intrusiones cibernéticas maliciosas. Los compromisos de seguridad deben ser determinados por los ejecutivos senior de los clientes, equilibrando la seguridad con otros requisitos comerciales.		 Sí, apoya el cumplimiento Debido a que el producto se envía con la postura más segura por defecto, los cambios que los administradores hacen a las configuraciones de seguridad constituyen “flexibilización”. La “guía de flexibilización” está integrada en el producto, porque cada vez que un administrador elige una configuración que es potencialmente riesgosa, aparece un mensaje de advertencia para explicar el riesgo. El administrador tiene que firmar para continuar, por lo que no puede elegir inadvertidamente una configuración riesgosa.
La estrategia de Seguridad por Defecto y dispositivo virtual reforzado está mandatada por el CEO, a través del CISO y el Director de Producto a todos los ingenieros de desarrollo. Todos los ejecutivos de Kiteworks revisan la hoja de ruta de seguridad mensualmente.

La información proporcionada en esta página no constituye, ni pretende constituir, asesoramiento legal; en su lugar, toda la información, contenido y materiales disponibles en esta página son solo para fines informativos generales. La información en este sitio web puede no constituir la información legal u otra más actualizada.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
DOWNLOAD PDF
Explore Kiteworks