Desarrollo de arquitecturas de seguridad corporativas
ISO 27001
ISO 27001 y el desarrollo de arquitecturas de seguridad corporativas introduce la infraestructura sobre la seguridad de los sistemas, aplicaciones y comunicaciones. Este método está basado en la filtración y observación de la comunicación entre bases de datos e interfaz y aplicaciones web de usuario a través de dispositivos y alta disponibilidad.
Hay diferentes tipos de sistemas en dicha arquitectura de las aplicaciones, de modo que sólo los servidores de éstas son los que se comunican con la base de datos y los servidores web ofrecen la presentación. Para la reducción de los riesgos que componen la arquitectura, los cortafuegos hacen de filtro.
A su vez, se constituyó en cada aplicación la creación de producción, pruebas y entornos de desarrollo no conectados entre sí, y dispositivos de traspaso de datos y programas entre entornos, quedando abierto solamente a la subred en proceso de desarrollo y sin ningún tipo de limitación de acceso.
En el entorno de pruebas sólo acceden los responsables y usuarios del proyecto. El entorno de producción dispone de etapas diferenciadas y separadas por cortafuegos y habilitadas para no permitan la conexión directa de servidores web a base de datos u otro tipo de conexiones.
El traspaso de programas nunca se traspasa de forma directa a producción, sino entre entornos. El traspaso de datos está protocolizado permitiendo sólo el traspaso de datos de producción a pruebas anónimamente.
El Perímetro Corporativo de Seguridad es otro de los elementos importantes en la arquitectura de seguridad permitiendo la conexión con Internet a las subredes de la CARM:
- Red de usuarios o Intranet
- Redes de servidores y DMZ para publicación
PCS se basa en su arquitectura en un doble anillo de cortafuegos con distintas tecnologías creando una red de interconexión con Internet, realizando funciones de traducción, filtrando contenidos, supervisando conexiones, etc.
PCS está compuesto por varios elementos software y hardware como por ejemplo los routers de acceso ó un cluster activo-pasivo de cortafuegos realizando un filtro de reglas en la conexión con Internet para toda la red corporativa, prevención de ataques, gestor de ancho de banda entre otros muchos.
Para concluir, hay que decir que la seguridad es un procedimiento en sí mismo y hay que tener una continuidad, para ello ISOTools pone en funcionamiento para su organización su plataforma tecnológica para nuevos proyectos para la minimización de riesgos actuales y venideros.