Seguridad en el Portal

Ya nadie duda de la computación en la nube, esta arquitectura que desde hace años está transformando el sector de TI, tiene muchas ventajas, pero también obligaciones. En GIRH estamos en continuo crecimiento acompañando los cambios del sector, hace ya más de un año ofrecemos a nuestros clientes nuestra solución en la nube como servicio.

Además, algunos clientes optaron por su propia instalación en la nube, montando GIRH en sus servidores y permitiendo el acceso público a ellos. De esta manera logran brindar a sus funcionarios acceso a GIRH desde fuera de la organización.

Para lograr dejar cada vez más pública la solución GIRH y hacer esta transición de forma responsable, hemos ido evolucionando en muchos aspectos de seguridad, varios de ellos invisibles para el usuario final, pero no por eso de menor importancia.

Hoy vamos a detallarles los últimos cambios que incorporamos en nuestro módulo DL-Portal a partir de la versión 6.0.0, que no solo mejoran la solución GIRH, sino que mejoran todos los productos Datalogic vinculados.

Dentro de las mejoras incorporadas    podemos diferenciar tres grandes puntos:

Políticas de Seguridad

El módulo DL-Portal simplifica e incorpora el concepto de Políticas de seguridad, esto permite ordenar y centralizar las exigencias de seguridad que requiere implementar cada organización.

En esta nueva definición de políticas, es posible especificar las siguientes características:

  • Fortaleza de contraseña
    • Largo mínimo
    • Largo máximo
    • Cantidad de mayúsculas
    • Cantidad de minúsculas.
    • Cantidad de números.
    • Cantidad de caracteres especiales.
    • Cantidad de caracteres iguales seguidos.
    • Caracteres especiales permitidos.
    • Mensaje de validación a mostrar en caso de no cumplir.
  • Contraseña
    • Vigencia en días.
    • Tiempo mínimo que debe transcurrir, en minutos, entre un cambio de contraseña y otro.
    • Histórico de contraseña, permitiendo controlar que al cambiar la contraseña, no se repita una de las anteriores.
  • Permite el bloqueo de usuarios
    • Es posible indicar luego de cuantos login fallidos se debe realizar un bloqueo del usuario
  • Manejo de Sesiones, posibles controles.
    • Máximo de sesiones simultáneas.
    • Máximo de sesiones simultáneas por usuario.
    • Tiempo máximo de la sesión
  • Login al Sistema.
    • Permite configurar luego de cuántos intentos es necesario solicitar un captcha para el login.
    • Configurar, luego de que se vence la password, si es posible el acceso y cuantas veces.

Registro de actividad

Esta nueva funcionalidad es muy importante para los administradores del sistema, ya que permite consultar quién, cuándo y desde dónde se realizaron las las siguientes acciones:

  • Login
  • Autenticación en dos Pasos
  • Cambio de Contraseña
  • Restablecer Contraseña
  • Activar Usuario
  • Configuración de Usuario (cambio de contraseña, autenticación en 2 pasos)
  • Mantenimiento de Usuarios.
  • Mantenimiento de Grupos

Este registro de actividad se realiza tanto para los casos de acciones realizadas con éxito, como para los casos donde existieron errores.

La información que estamos conservando es la siguiente:

  • Tipo de Acción
  • Usuario que realiza la acción
  • Fecha y Hora
  • Datos del dispositivo desde donde se ejecuta la acción (IP, Navegador, etc)
  • Detalle: Depende de cada acción lo que se graba, en caso de un login se graba el usuario con el que se quiere ingresar
  • Otros datos relevantes dependiendo de cada acción.
  • Datos anteriores al cambio y datos actuales.

Autenticación por dos factores

La autenticación de dos factores es una medida de protección adicional para los Usuario GIRH. Esta medida garantiza que únicamente la persona dueña del usuario pueda acceder a su cuenta, aunque alguien más conozca la contraseña.

Cómo funciona

La autenticación de dos factores permite que únicamente la persona dueña del usuario pueda acceder a su cuenta en sus dispositivos de confianza, como su PC o Notebook. Cuando alguien inicia sesión en un dispositivo nuevo por primera vez, tendrá que proporcionar dos datos: la contraseña y el código de verificación de seis dígitos que se envía  automáticamente a su casilla de correo. Al ingresar el código, se está verificando que se confía en el dispositivo nuevo. Por ejemplo, si se inicia sesión en GIRH  por primera vez en un PC, se solicitará al usuario que ingrese su contraseña y el código de verificación de seis dígitos que se envía por correo electrónico a su mail.

Códigos de verificación

Un código de verificación es un código temporal que se envía vía correo electrónico, cuando se  inicia sesión en un dispositivo o navegador nuevo con un Usuario GIRH.

Dado que la contraseña únicamente ya no es suficiente para acceder a una cuenta, la autenticación de dos factores mejora significativamente la seguridad.

Una vez que se inicia sesión, no se volverá a pedir un código de verificación en ese dispositivo, si se marca que ese ingreso es de confianza. Solo se vuelve a solicitar, si se intenta hacer desde otro dispositivo o desde una nueva IP.

Desde desarrollo trabajamos con el objetivo y la expectativa de que cada mejora incorporada pueda ser utilizada en su organización.

Muchas gracias ¡!

Tip 01

Exportación e importación de datos en GIA-WEB

Muchas veces en ambiente de testeo se realizan parametrizaciones que a la postre, una vez probadas, deben ser realizadas en ambiente de producción. Esto implica en la mayoría de los casos, re-digitar las definiciones realizadas en un ambiente, para aplicarlas en el ambiente a actualizar.

En GIA-WEB 6.09.00 hemos incorporado la funcionalidad de exportación e importación de datos en formato JSON en todas las pantallas de definición de datos.

Esta nueva funcionalidad permite exportar a un archivo la información que se encuentra en pantalla en un formato de intercambio, para posteriormente importarla en otra instalación o ambiente, sin necesidad de digitar individualmente cada registro.

Para hacer uso de esta funcionalidad, basta con ingresar al mantenimiento donde se encuentran los datos a exportar, filtrar en la grilla los datos que se desean considerar en la exportación, y finalmente presionar el botón “Exportar en formato JSON”. Esto descargará el archivo con la información, y luego en el ambiente a importar podrá ser importado desde esta misma pantalla, a través del botón “Importar archivo en formato JSON”.

TIP: El formato de archivo JSON es un formato estructurado, pero editable. Puede utilizar un editor de texto para modificar datos manualmente dentro del archivo antes de realizar la importación.

foto Eduardo Maceira

Tip 02

Prepárate para el fin del soporte de SQL Server 2008

El 9 de julio de 2019 finalizará el soporte de Bases de Datos SQL Server 2008 y 2008 R2. Esto significa que ya no habrá actualizaciones de seguridad periódicas.

Dado que muchas de nuestras aplicaciones en algunos clientes aún se ejecutan sobre versiones de SQL 2008, recomendamos puedan realizar el chequeo interno para analizar si caen en esta situación y en conjunto evaluar migrar a versiones superiores.

Cualquier duda comunicarse con soporteit@datalogic.com.uy que con gusto lo asesoraremos.