Seguridad de la Información

Manejo de la Información de los Usuarios

Desde el comienzo, teniendo un fundador de Lit, que ha estado trabajando en esta área desde hace más de 15 años, hicimos gran énfasis en la seguridad de la información de nuestros usuarios, pudiendo ser los datos que almacenamos como nombre, o bien aquellos que únicamente son ingresados pero utilizados por un proveedor de servicios externo, como una tarjeta de crédito.

En lo que respecta a contraseñas, las mismas se almacenan en formato de hashes salteadas, sin forma de ser revertidas. A su vez, una vez que un usuario inicia sesión, su contraseña o identificador de facebook, nunca es revelado, y todas las operaciónes son realizadas utilizando un token seguro, el cuál es validado cada vez que se quiere ejecutar una operación.

Infraestructura en la Nube

Cuando se trata de la seguridad de la infraestructura, en la práctica se implementan varias estrategias y herramientas de software para garantizar que la información que poseemos sea segura.

Para empezar, cada tipo de unidad de negocio está separada en una subred dedicada, lo que garantiza que si alguna se ve comprometida, no sea posible acceder a todos nuestros servicios.

Además de lo anterior, existen varias reglas de firewall para garantizar que la comunicación entre cada sistema se permita solamente entre la red virtual interna y no desde Internet pública.

Cuando las personas necesitan trabajar de forma remota, en caso de que necesiten conectarse a recursos internos, deben conectarse antes con una de las diferentes VPN que hemos implementado. Esto le permite a la organización tener control sobre quién puede acceder a información y servicios restringidos, permitiendo que los mismos puedan ser accesibles únicamente por nuestros empleados.

A pesar de estas medidas, somos concientes que los intentos de ataques o a menudo, y por este motivo, tenemos diferentes soluciones en práctica:

Desde la primera solicitud que un usuario hace a nuestros puntos finales, ya estamos midiendo y evaluando la solicitud para definir si estamos en presencia de un ataque / carga útil. Aquí usamos un firewall de aplicaciones web, que evalúa estas solicitudes, utilizando conjuntos de reglas configuradas a medida.

También tenemos diferentes monitores configurados en servicios como DataDog, para detectar rastreadores web y dispositivos de ataque automatizados. Estos monitores nos alertarán para que tomemos las medidas correspondientes a la situación actual. Además, cada solicitud recibida se registra, incluido el URI, el User-Agent y la IP del usuario que la realizó, y se almacena durante meses. Estos nos permiten auditar para determinar la raíz principal de un ataque que podríamos encontrar más adelante, así como para rastrear los sistemas implicados en el ataque.

Sobre la forma en la que desarrollamos, no incluimos credenciales confidenciales en los repositorios de GIT, aunque sean privados. Utilizamos Hashicorp Vault como middleware para almacenar los secretos, y solo una vez que la aplicación se está construyendo e implementando, estos secretos se inyectan en el código. Esta decisión evita que, en caso de que un atacante pueda acceder a un repositorio, también puede acceder a información confidencial de la empresa con credenciales que podría haber recopilado si hubieran estado en los archivos de configuración.

Hablando de IAM en la Infraestructura de la Nube, tenemos una política estricta, y solo el equipo de Infra Cloud puede dar acceso y cambiar los permisos a los empleados de la empresa. Cada usuario de AWS pertenece a un grupo, y cada grupo tiene diferentes políticas asignadas que cumplen con los requisitos de esa área. En caso de que una persona no autorizada pueda modificar los privilegios de un usuario, cada modificación de IAM también se registra.

Finalmente, además de todas las medidas que tenemos actualmente en la práctica, realizamos pruebas de penetración específicas cada 1.5-2 meses, buscando nuevas vulnerabilidades que puedan haber surgido.