Google+ Badge

miércoles, 9 de noviembre de 2011

INFORME DE SEGURIDAD Y DISPONIBILIDAD - GOOGLE APPS PREMIER

Características de seguridad.

A continuación se detallan cada una de las características relacionadas con la seguridad de la información que cumple la herramienta Google Apps Premier. (Para más información se puede ver http://www.google.com/support/a/bin/answer.py?hl=es&answer=60762).

  1. Cumplimiento de Normatividad: Google tiene dentro de su estrategia de seguridad cumplir con las normativas regulatorias y legales de las normas internacionales Sarbanes-Oxley y Payment Card Industry standards (PCI). Además Google Apps cumple con la ley federal estadounidense de protección de información de 2002 (FISMA) nivel moderado, la cual utilizan los sistemas de correo electrónico del gobierno estadounidense.

  2. Acuerdo de nivel de servicio (SLA): La especificación del acuerdo de servicio que establece Google con sus clientes para los productos base de Google Apps Premier es del 99.9% de disponsibilidad y se encuentra expresado en http://www.google.com/apps/intl/en/terms/sla.html.

  3. Política de Privacidad: A través de la política de privacidad de Google se garantiza que el usuario es el único dueño de la información que almacena en Google Apps y se encuentra expresada en http://www.google.com/apps/intl/es/terms/privacy.html.

  4. Almacenamiento confiable: En Google Apps el correo electrónico se almacena en centros de datos redundantes y seguros de Google, donde se realizan copias de seguridad fiables fuera de las instalaciones. Adicionalmente Google utiliza un sistema de archivos distribuido para guardar la información, donde se implementan esquemas de autenticación con certificados x509 y protocolo de acceso SSH.

  5. Protección contra Mal-ware: Google Apps Premier incluye filtrado anti-spam y de virus integrado al sistema de correo electrónico.

  6. Control de permisos: En Google Apps se establecen reglas de intercambio de información personalizadas para determinar hasta qué punto los empleados pueden compartir información mediante Google Docs, Google Calendar y Google Sites.

  7. Control de opciones de seguridad: Es posible configurar los siguientes parámetros de seguridad como administrador de la plataforma:

  1. Definir los requisitos de longitud de la contraseña e indicadores de seguridad visuales personalizados para ayudar a los empleados a elegir contraseñas seguras.

  2. Gestión centralizada de usuarios, revocación de contraseñas, suspención de usuarios.

  1. Confidencialidad: Conexiones SSL reforzadas con Google Apps para garantizar un acceso HTTPS seguro.

  2. Certificaciones: Google Apps cuenta con el certificado de seguridad SAS 70 tipo I y tipo II, el cual certifica la seguridad de la herramienta a través un proceso de auditoría realizado por un ente externo (Más información ver http://sas70.com/sas70_overview.html) Esta auditoría certifica que Google Apps cumple con lo siguiente controles y protocolos:

  1. Seguridad Lógica: Los controles garantizan que el acceso a los datos y a los sistemas de producción está restringido solo a los usuarios autorizados.

  2. Privacidad: Los controles garantizan la privacidad de los datos de los usuarios relacionados con cada cuenta de Google Apps.

  3. Seguridad física de los Datacenters: Los controles garantizan que los centros de cómputo que almacenan la información de Google Apps se encuentran protegidos.

  4. Disponibilidad y gestión de incidentes: Los controles garantizan que los sistemas de Google Apps son redundantes y los incidentes son debidamente reportados, gestionados y registrados.

  5. Gestión de cambios: Los controles garantizan que los desarrollos y cambios a Google Apps son debidamente probados y se realizan pruebas independientes de código antes de ser liberados a producción.

  6. Administración y Organización: Los controles garantizan que la administración pone a disposición los mecanismos para registrar y comunicar las iniciativas que impactan Google Apps dentro de la organización.


Características de seguridad extendidas.

A continuación se detallan los mecanismos de seguridad adicionales que se pueden integrar a Google Apps para reforzar la seguridad y el respaldo de


Autenticación Fuerte

Dentro de los esquemas de validación de identidad de un individuo o usuario, se considera una autenticación fuerte aquella que se realiza utilizando 2 o más factores de autenticación. Estos factores, en términos generales, se pueden clasificar como:

  • Cosas que se saben: como contraseñas, claves, frases, respuestas a preguntas conocidas, etc.

  • Cosas que se poseen: como una llave, token físico, tarjeta de identificación, etc.

  • Cosas que se es: como la huella digital, el iris, etc.


La autenticación de doble factor (TFA Tow-Factor Authentication) implica el uso de 2 factores de autenticación que pertenezcan a categorías diferentes (Por ejemplo algo que se sabe y algo que se tiene), más no la iteración de 2 factores de una misma categoría (Por ejemplo 2 contraseñas).


Dado lo anterior, Google Apps implementa un mecanismo de verificación de 2 pasos para el proceso de autenticación, que consiste en ingresar la contraseña y a continuación un código numérico de verificación el cual es enviado al celular vía SMS o generado a través de una aplicación (Token virtual) en un teléfono inteligente o smarthphone. Lo anterior corresponde a la implementación de un mecanismo de doble factor de autenticación pues se utiliza algo que se sabe (contraseña) mas algo que se posee (el celular). Esto agrega una capa adicional de seguridad a la cuenta de Google para garantizar la identificación y autenticidad del usuario que accede.


Servicios de Seguridad de Postini

Los servicios de seguridad de Postini son mecanismos orientados a reforzar y preservar la seguridad del sistema de correo electrónico de Google Apps, a continuación se detallan cada uno de los servicios:

  1. Seguridad del correo electrónico (Message Security): Ofrece una seguridad de correo electrónico mejorada a Google Apps Premier. Permite que los administradores la definición de filtros, protección anti-virus y anti-spam, la definición de políticas de recuperación de mensajes, y la generación de informes de trafico y filtrado. (Ver más información aquí).

  2. Almacenamiento de correos (Archiving): Ofrece herramientas de detección y archivado de correo electrónico con tecnología de Postini para guardar el correo en un repositorio centralizado en el que se puedan realizar búsquedas (Ver más información aquí). Donde con las políticas de retención disponibles durante diez años, se tienen la posibilidad de:

  1. Establecer períodos de retención para cumplir con las políticas de empresa.

  2. Facilitar funciones de búsqueda en distintos archivos para los administradores.

  3. Establecer retenciones de litigio para preservar los mensajes.

  4. Recuperar y exportar mensajes para examinarlos posteriormente.

  1. Seguridad Web: Ofrece herramientas para el filtrado de contenido web con protección anti-espias y anti-virus. (Ver más información aquí).

  2. Cifrado de mensajes: Ofrece herramientas para garantizar la confidencialidad de la información cifrando los mensajes de correo con base en políticas predefinidas. (Ver más información aquí).


Backup Externo

Existen soluciones que realizan respaldo a toda la información de Google Apps en centros de datos externos a Google, entre ellas se puede encontrar a Backupify, Spanning Backup, etc.