Políticas de seguridad
Seguridad de las funciones y a nivel de aplicación
Debe considerar la seguridad de la aplicación al principio, como durante la fase de Preparación del proyecto, antes de comenzar a construir y configurar la aplicación. Para proteger la aplicación contra hackers y evitar el uso y acceso no autorizado, debe gestionar dos tipos de seguridad: la seguridad de las funciones y a nivel de aplicación.
Seguridad a nivel de aplicación
La seguridad a nivel de aplicación se centra en proteger la aplicación contra terceros y usuarios no autorizados. Por ejemplo, con la seguridad a nivel de aplicación, puede:
- Reducir el riesgo de que usuarios no autorizados obtengan o roben datos de su aplicación.
- Identificar a usuarios autorizados que necesitan acceso a la aplicación.
- Crear políticas de autenticación y contraseñas.
La seguridad a nivel de aplicación considera todas las maneras en las que puede proteger la aplicación, como usando herramientas de seguridad de terceros o configurando una autenticación de múltiples factores. El objetivo de la seguridad a nivel de aplicación es hacer que sea imposible que usuarios no autorizados ingresen, lean o accedan a su aplicación.
Seguridad de las funciones
La seguridad de las funciones se centra en la aplicación, determinando los tipos de caso, las funciones y los datos a los que los usuarios autorizados pueden o no acceder. Por ejemplo, con la seguridad de las funciones, puede realizar lo siguiente:
- Configurar roles de seguridad para las Personas identificadas en cada tipo de caso, de manera que los usuarios autorizados puedan acceder a las funciones de aplicación que necesitan.
- Evitar que los usuarios visualicen funciones o accedan a datos a los que no deberían acceder.
- Diseñar un control de acceso basado en roles (RBAC), control de acceso basado en atributos (ABAC) y un control de acceso basado en los clientes (CBAC).
Por ejemplo, en una aplicación de nómina, el propietario del negocio quiere que cada gerente pueda ver el historial de pago de sus empleados directos, pero que no puedan ver el historial de pago de sus pares u otros miembros del personal. Además, ningún gerente puede cambiar manualmente la remuneración del empleado. Sin embargo, el gerente de la nómina y el director de finanzas pueden ver el historial de pago de todos los empleados, así como actualizar la remuneración. Mientras documenta el historial del usuario del gerente, considere las funciones de la nómina a las que el gerente puede y no puede acceder.
Compruebe sus conocimientos con la siguiente actividad:
Configuración de seguridad de la aplicación en Pega Platform
Una manera de limitar el acceso no autorizado a sus aplicaciones es definir la configuración en la pestaña Security Policies (Políticas de seguridad) de la landing page Authentication en App Studio. En Dev Studio, abra el menú (Configurar) y seleccione Org & Security > Authentication > Security Policies (Organización y seguridad > Autenticación > Políticas de seguridad) para ver y actualizar las políticas de seguridad para todo el servidor de Pega Platform™.
Después de actualizar una configuración, haga clic en
(Enviar) en la parte inferior de la página para registrar una actualización. Los cambios en las políticas de seguridad se activan inmediatamente al enviar el formulario.La pestaña Security Policies (Políticas de seguridad) está dividida en una sección de Frequently required policies (Políticas requeridas con frecuencia) y una sección de Other policies (Otras políticas). Contraseña, CAPTCHA, Bloqueo y Auditoría son Políticas requeridas con frecuencia; y Autenticación de múltiples factores e Invalidez del operador son Otras políticas.
Nombre de política | Descripción | Opciones de configuración de políticas |
---|---|---|
Contraseña | Rige la fuerza de las contraseñas del usuario. | Utilice la sección Password policies para personalizar los requerimientos de previsibilidad, complejidad y longitud de contraseña. |
CAPTCHA | Prueba si una persona ingresó la contraseña.
|
Utilice la sección CAPTCHA policies para configurar un CAPTCHA para verificar los intentos de inicio de sesión. Cuando se habilita, puede realizar lo siguiente:
|
Bloqueo | Define el comportamiento del sistema cuando los usuarios ingresan una contraseña incorrecta.
|
Utilice la sección Lockout policies para personalizar cuándo y cuánto deben esperar los usuarios después de un intento de inicio de sesión erróneo. Las opciones enumeradas dependen de si la política de bloqueo está habilitada o deshabilitada. Cuando se habilita una penalidad de bloqueo, puede realizar lo siguiente:
Cuando se deshabilita una política de bloqueo, puede realizar lo siguiente:
|
Auditoría | Determina la cantidad de detalles ingresados en el registro del sistema para problemas de seguridad. | Utilice la sección Audit policies para personalizar el nivel de detalle capturado para los intentos de inicio de sesión. |
Autenticación de múltiples factores | Define los múltiples factores, o la evidencia, que los usuarios deben proporcionar para verificar su identidad. | Utilice la sección Multi-factor authentication policies (Políticas de autenticación de múltiples factores) (usando una contraseña de un solo uso) para definir la configuración de una contraseña de un solo uso que se proporciona a los usuarios por correo electrónico o mensaje de texto SMS. Para completar el proceso de inicio de sesión, los usuarios deben ingresar la contraseña de un solo uso dentro del tiempo permitido. |
Invalidez del operador | Define la duración de inactividad antes de deshabilitar el acceso a un usuario. | Utilice la sección Operator disablement policy (Política de invalidez del operador) para deshabilitar automáticamente el acceso a usuarios que estén inactivos durante un número específico de días. Para evitar que el sistema deshabilite el acceso a usuarios que lo requieren, agregue el registro de Id. de operador para el usuario en la Lista de exclusión de Id. de operador. |
Políticas de autenticación de múltiples factores
Las contraseñas son una manera de autenticar usuarios. Para aumentar la seguridad, habilite la autenticación de múltiples factores para autenticar usuarios. Con la autenticación de múltiples factores, los usuarios obtienen acceso solo después de proporcionar múltiples factores, o evidencia, para verificar su identidad.
En la siguiente imagen, haga clic en los íconos + para obtener más información sobre los diferentes factores en la autenticación de múltiples factores.
Compruebe sus conocimientos con la siguiente actividad:
¿Quiere ayudarnos a mejorar este contenido?