¿Cómo evitar fugas de información con las características de seguridad de ownCloud?

¿Por qué ownCloud es más seguro que Google Drive, MS Office 365 y otras soluciones?

ownCloud es un servidor para compartir y sincronizar ficheros de nivel empresarial basado en software libre. Estas son las características que lo hacen más seguro que otras opciones de la competencia existente, para evitar sufrir fugas de información.

Código abierto y auditable

El código de ownCloud es open source, esto significa que cualquiera puede verlo y analizarlo. Una empresa que desee asegurarse de que el código hace lo que dice (y solamente lo que dice) es libre de estudiarlo por su cuenta, o someterlo al control de empresas especializadas como Veracode. Esto permite garantizar que no existen backdoors ni código malicioso o dañino en la solución escogida para almacenar y compartir nuestros datos sensibles.

Todas las transacciones y la lógica se realizan dentro del propio centro de datos del cliente

ownCloud no depende en absoluto de metadatos o transacciones exteriores. El servidor se instala dentro del centro de datos del cliente y tiene un único plano de control y administración. La gestión de cuentas de usuarios puede ser interna o integrada con sistemas de directorios LDAP o SAML, por lo que no es necesario el acceso o almacenamiento de ningún tipo de transacción en sistemas ajenos al del propio entorno ownCloud.

Bug Bounty Program

ownCloud mantiene un atractivo programa de recompensa a hackers, desarrolladores o clientes que detecten fallos de seguridad. Por medio de este programa, quien reporte un problema será recompensado con dinero, haciendo atractiva la búsqueda y eliminación de fallos de programación.

Cortafuegos a nivel de ficheros

El “Files Firewall” de ownCloud permite definir reglas para evitar la descarga (o la subida) de datos con condiciones inaceptables o arriesgadas. Podemos crear condiciones que verifiquen que no se produzca ningún acceso a los datos si las solicitudes no cumplen con ciertas garantías, por ejemplo: 

  • limitar que se pueda acceder solamente desde un cierto rango de direcciones IP, 
  • prohibir el acceso a los ficheros a determinados horarios, 
  • evitar el acceso con dispositivos móviles no corporativos, 
  • no permitir el acceso a ficheros que estén etiquetados con determinadas etiquetas (prohibirlo para todos los usuarios o ciertos grupos), 
  • prohibir el acceso a los datos a menos que los usuarios pertenezcan a grupos específicos, etc.

Compartir datos con contraseña y fecha de caducidad y opciones muy potentes

En ownCloud es muy sencillo fijar una fecha de caducidad para los enlaces de compartición públicos e internos (los primeros son usados para el acceso de usuarios anónimos o externos y los segundos para los usuarios miembros de nuestra instancia de ownCloud). El administrador puede determinar que estas opciones sean mandatorias endureciendo las condiciones de seguridad.

Además, el administrador de ownCloud puede fijar ciertas condiciones generales relativas a las opciones a la hora de compartir ficheros, estas son:

  • Permite a los usuarios compartir por medio de enlaces
  • Forzar la protección por contraseña.
  • Permitir subidas públicas
  • Permitir a los usuarios enviar mensajes de notificación para ficheros compartidosEstablecer fecha de caducidad predeterminada
  • Caduca luego de  días ___ (parámetro a escoger)
  • Imponer fecha de caducidad obligatoriamente (si / no)
  • Permitir recompartición
  • Permitir compartir con Grupos
  • Restringe a los usuarios a compartir solo con otros usuarios en sus grupos
  • Permitir a los usuarios enviar notificaciones por correo electrónico de los archivos compartidos a otros usuarios
  • Excluir grupos de compartir
  • Permitir autocompletación del nombre de usuario en diálogos de compartición. Si está deshabilitado, se requiere introducir el nombre de usuario.
  • Compartido en Cloud Federado 
  •  Permitir a usuarios de este servidor compartir con usuarios de otros servidores
  •  Permitir a usuarios de este servidor recibir archivos de usuarios de otros servidores 

Cifrado

ownCloud permite el cifrado de todo lo que tengamos almacenado en él y gestionar las claves de cifrado en el propio entorno. La arquitectura de cifrado es abierta y modular, posibilitando la integración con cualquier sistema de seguridad estándar.

El cifrado evita fugas de información

Acceso a sistemas de almacenamiento externos

Si queremos permitir que los usuarios accedan a datos alojados en otros sistemas (ya sea en nubes como Dropbox, Google Drive, FTP, Unidades de Red Windows, etc) podemos montar dichos datos como directorios del propio ownCloud y de esta manera gestionar los accesos bajo la capa de seguridad de nuestro entorno ownCloud. Incluso podemos cifrar el contenido, y de esta forma no prohibir el uso de nubes públicas, pero invalidar cualquier acceso por otros medios sin las claves de cifrado y evitar fugas de información.

Log auditing

Con el sistema de auditoría de ownCloud podemos acceder a toda la información sobre quiénes acceden al sistema, qué información suben a la nube, qué partes se descargan y comparten y desde dónde y en qué momentos se producen estos accesos. Esto hace prácticamente imposible que se produzcan fugas de información inadvertidas.

Federación de instancias de ownCloud

Si necesita compartir datos confidenciales de la manera más segura entre diferentes equipos de su empresa u organización con sus pares en otra, la federación de ownCloud le permitirá establecer relaciones de confianza seguras entre los repositorios de datos de ambas. Con esto, los usuarios puedan tener acceso mutuo a carpetas o ficheros comunes de forma temporal o permanente, siempre dentro de la órbita de máxima seguridad de ownCloud y sin tener que utilizar otros medios inseguros.

Hay muchos casos de usa adecuados para este modelo de Federación:

  • una empresa farmacéutica puede compartir resultados de pruebas biológicas con datos sensibles con equipos repartidos alrededor del mundo
  • una empresa automotriz puede compartir fotografías secretas de un próximo lanzamiento con proveedores de marketing externo
  • una empresa de publicidad puede compartir material gráfico de propuestas para campañas con sus clientes

Preguntas finales

¿Utilizan sus usuarios sistemas para compartir ficheros en los cuales su Departamento de Sistemas no tiene el control total de la existencia y gestión en todo el ciclo de vida de los datos?

¿El sistema actual que utiliza para compartir y sincronizar ficheros almacena algún tipo de dato o metadato en sistemas ajenos a los de su propia empresa?

¿Tiene acceso a logs de auditoría de actividad exhaustivos?

Author: Juan Pablo

Trabajé con proveedores de servicios Apple antes de fundar mi propia empresa distribuidora de productos Apple, que conduje por 8 años. Luego he trabajado en consultoría y ventas en varios proveedores de servicios para gobiernos de Europa antes de fundar Leantricity España en Barcelona en 2011. Desde entonces, he trabajado con importantes empresas de servicios TIC para desarrollar proyectos exitosos de ahorro energético en informática destinados a gobiernos autonómicos y locales, así como también en el ámbito sanitario y comercial privado. El Ayuntamiento de Barcelona, la Agencia Española de Administración Tributaria, Heineken España, el Hospital Universitario Germans Trias i Pujol y otros, son algunos de los clientes donde ayudamos a diario y que van desde 1000 a 30.000 ordenadores logrando ahorros de más del 30%. El 100% de nuestros proyectos tienen un ROI de menos de 18 meses. Aparte, trabajo a la distancia como asesor tecnológico del que quizás sea el mejor entrenador de fútbol profesional activo en la actualidad, @Arielholan_DT (si te interesa por qué, puedes leer este artículo: http://www.martiperarnau.com/tactica/cuando-ariel-holan-llego-al-futbol-el-futbol-le-pidio-un-autografo/)

Leave a Reply

Your email address will not be published. Required fields are marked *