Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen ejecutivo
Cada día, corporaciones, entidades gubernamentales y otras organizaciones intercambian millones de archivos en todo el mundo. Estas transferencias
electrónicas incluyen datos críticos necesarios para lleva a cabo sus negocios, como: datos de clientes, información de pedidos, documentos EDI, datos
financieros y de pago, información de empleados y más.
La mayoría de las transferencias de archivos utiliza un protocolo popular conocido como FTP. Este antiguo protocolo se diseñó e implementó en las primeras
etapas de las redes informáticas, incluso antes de que surgiera Internet. A pesar de su popularidad, pocos administradores conocen los riesgos de gestión y
Seguridad a los que su organización se expone por el uso de servidores FTP. Menos son todavía, quienes han comenzado a tomar medidas para que el uso
del FTP cumpla con las exigencias de las regulaciones, como PCI DSS, GDPR, SOX, HIPAA, las leyes de protección de datos u otras normativas.
Este documento analiza cómo los servidores FTP se convirtieron en el estándar para las transferencias de archivos de empresa a empresa, e identifica las
desventajas de gestión que se enfrentan al utilizar este protocolo abierto. Por último, demuestra cómo IT puede implementar un marco más moderno y
seguro, que permite aumentar la productividad del usuario y mejorar la capacidad de gestión de IT, a la vez que disminuye las vulnerabilidades de Seguridad
y permite cumplir con los crecientes requisitos de las normativas.
www.helpsystems.com 2
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
www.helpsystems.com 3
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
Riesgos en las implementaciones de FTP para iniciar sesión en el servidor; obtener, mover y eliminar archivos; y
Analicemos tres desventajas básicas habituales en las cerrar sesión. Pero los scripts de FTP tienen sus propias limitaciones:
implementaciones de FTP: • Los scripts no tienen capacidad de ramificación lógica,
• Interacción del usuario y no se pueden programar para que tomen decisiones
• Complejidad en tiempo real basadas en la respuesta de un servidor.
• Interacción del usuario de Seguridad • Los scripts no pueden aceptar el aporte del usuario
para orientar el proceso de envío de archivos.
Muchas organizaciones permiten que sus empleados realicen • Los scripts no tienen un medio inherente para notificar
transferencias de archivos directamente desde sus escritorios, al usuario o a la aplicación si la transferencia se canceló
con herramientas incorporadas en su PC. Sin embargo, estas debido a un error.
herramientas necesitan intervención manual y son propensas a
errores (por ejemplo: el usuario puede, por accidente, elegir enviar Entonces, si bien los scripts de FTP evitan las desventajas de las
los archivos equivocados). herramientas de FTP manuales, su utilidad puede ser limitada.
En general, se necesita de un programador para ayudar a crear Si los lugares desde donde se ejecutan las transacciones de FTP
cualquier script de FTP. Y estos scripts a menudo contienen comandos se descentralizan, el personal de IT puede necesitar efectuar esos
cambios en múltiples lugares.
www.helpsystems.com 4
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
Problemas de migración a PC Entonces ¿cuáles son los problemas de Seguridad que enfrentan las
Toda decisión de distribuir funciones de FTP corporativas lejos del organizaciones hoy en día?
servidor central y fuera de las PCs se deberá analizar con cuidado.
www.helpsystems.com 5
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
Cumplimiento
Estándares, regulaciones, leyes, normas y reglas imponen Auditoría
considerables requisitos a las empresas en relación con el El FTP convencional no mantiene a nivel nativo un registro de las
intercambio de datos. Por ejemplo: transferencias de archivos. Los procesos de Negocio que utilizan
FTP para el intercambio de información no son auditables mediante
• La norma GDPR exige a las organizaciones dar aviso este servicio básico. Por ejemplo, ¿cómo sabe usted qué archivos se
de cualquier vulneración de datos que pueda poner transfieren? ¿O a quién se transfieren los archivos?
en riesgo los derechos o libertades de los individuos,
dentro de las 72 horas de haber descubierto tal Aplicaciones de FTP para PC
vulneración. También da a los ciudadanos de la Unión Demasiadas organizaciones han derivado la tarea del intercambio de
Europea el derecho a solicitar información sobre archivos de empresa-a-empresa a las computadoras personales. Sin
el modo en que se procesan sus datos, solicitar la embargo, llevar los datos a las PC para realizar estas funciones de FTP
eliminación de sus datos y retirar un consentimiento puede dejar vulnerables los archivos sensibles en esas computadoras.
otorgado previamente para contactarlos y usar sus
datos. Garantizar que no queden datos vulnerables en una PC es un proceso
• PCI DSS exige que todos los números de tarjetas de costoso y propenso a errores. No obstante, a menos que IT implemente
crédito estén encriptados, tanto si están “en reposo” medidas de Seguridad específicas, es difícil asegurarse de que los
como “en movimiento”. Si su empresa no cumple con datos enviados a través de una computadora personal son eliminados
esta norma, podrían aplicarle multas severas y perder correctamente del disco duro después de la transferencia.
su licencia para operar.
• La ley HIPAA exige que las empresas demuestren Además, IT debe saber cómo y cuándo la información crítica de la
que solo se comparte o intercambia la información empresa abandona el sistema central de la compañía y cómo se usa o se
específica. transfiere a otros sistemas.
• La FDA exige que haya controles administrativos
cuando se usen sistemas o registros electrónicos en Exposición de archivo de script
lugar de sistemas manuales o impresos. El uso de scripts de FTP o archivos por lote expone los ID de usuario y
• Sarbanes-Oxley (SOX) exige que los procesos de las contraseñas a un fácil hackeo.
negocios (incluidas las transferencias de archivos
automatizadas) sean auditables. Los archivos de script pueden exponer no solo sus datos para un uso
• Las normativas de protección de datos exigen que los indebido, sino que además exponen el sistema de su socio de Negocio a
clientes reciban una notificación en caso de extravío o posibles ataques.
robo de su información personal. En algunos casos, se
aplican multas elevadas a las organizaciones si estos IT debe evitar el uso de scripts integrados, excepto para aquellas
datos no están debidamente protegidos. transferencias de archivos más genéricas, donde no se necesite ID de
usuario y contraseña.
Las implementaciones típicas de FTP no satisfacen los requisitos de
cumplimiento de muchos estándares, regulaciones y leyes actuales.
www.helpsystems.com 6
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
Procesos de encriptación de archivos El siguiente paso es identificar cómo su empresa debe gestionar y
El FTP nativo no encripta datos. Entonces, a menudo se transfieren proteger las transferencias de archivos.
los archivos como “texto en claro”, y quedan expuestos al hackeo. • ¿Cuáles son los requisitos de intercambio de datos de
su organización y de sus socios de Negocio (clientes,
Con demasiada frecuencia, la encriptación a nivel de archivos proveedores, bancos, etc.)?
requiere un proceso de dos pasos para encriptar primero los datos • ¿Cuáles son los requisitos de cumplimiento que debe
y luego enviarlos. Además, las claves o contraseñas usadas para satisfacer?
encriptar y desencriptar estos archivos en general no están bien • ¿Cuáles son los requisitos para la encriptación y la
protegidas o administradas. autenticación?
• ¿Cuáles son las expectativas de los usuarios a cargo de
Mejores prácticas para la Transferencia Segura de las transferencias cotidianas de datos?
Archivos
Claramente, hay que reevaluar y fortalecer la manera en la que las ¿Cómo puede IT implementar una solución que realice transferencias
empresas usan el FTP. ¿Pero cómo debería su equipo de IT comenzar de archivos de forma segura y fácil de gestionar? Hay una serie de
a hacerlo? elementos comunes que no pueden faltar para que la solución
elegida sea exitosa.
Investigación
El primer paso es analizar cómo se usa el FTP en su organización. Implementar una solución configurable, integral y
• ¿Qué tipos de datos se envían o reciben a través del FTP? para todos los sistemas
• ¿Dónde residen actualmente las aplicaciones cliente de En el pasado, IT no tenía un enfoque integral de todos los sistemas,
FTP? en lo referente al intercambio de archivos. Las herramientas de FTP
• ¿Cuáles son los motivos para distribuir funciones independientes y los scripts se consideraban suficientes para hacer el
de FTP (si alguna se distribuye) a computadoras trabajo.
personales o servidores departamentales?
• ¿Dónde se usan scripts de FTP? Pero hoy en día, a medida que proliferan las transferencias de
empresa-a-empresa, es momento de que IT implemente una
Las respuestas a estas y otras preguntas lo ayudarán a entender la estrategia que cumpla con los requisitos generales de Seguridad,
amplitud de los problemas de Seguridad y gestión que enfrenta su flexibilidad y facilidad de uso.
organización.
A continuación, le compartimos algunas pautas básicas que pueden
ayudar a IT a diseñar esta estrategia.
www.helpsystems.com 7
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
¿Por qué la centralización del FTP reduce los problemas de gestión? Porque:
• Mantiene el rigor de los mecanismos de Seguridad del Sistema Operativo nativo.
• Sostiene los requisitos de cumplimiento que ya se implementaron en el sistema host,
incluyendo controles de autoridad y pre-requisitos de reporting.
• Provee un mantenimiento centralizado para todos los perfiles de usuario y contraseña
del FTP.
• Contiene técnicas estandarizadas de encriptación de datos, y gestión centralizada de
claves. En lugar de crear subsistemas de encriptación para plataformas individuales de
usuario, IT puede diseñar una solución integral que dé mejor control y Seguridad.
• Otorga un sistema centralizado de registro de toda la actividad de transferencia de
archivos para fines de auditoría, junto con alertas de mensaje y registros detallados de
errores en caso de que una transferencia falle.
Si IT tiene aplicaciones como estas, debe centralizar el acceso a las funciones de FTP y encriptación,
a través de un marco controlado. Así, permitirá controlar las credenciales de usuario y servidor,
organizar configuraciones e implementar otras capacidades de gestión, como el registro de
cumplimiento para auditoría.
www.helpsystems.com 8
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
Implementar la encriptación
Una de las mejores soluciones para proteger sus transmisiones de FTP es realizar un upgrade a la tecnología de encriptación de “FTP seguro”. Los dos
protocolos de FTP seguro que más se utilizan son: SFTP (que significa FTP sobre SSH) y FTPS (que significa FTP sobre SSL). Tanto SFTP como FTPS crearán
túneles de encriptación entre su sistema y sus socios de Negocio. Fundamentalmente, todo lo que fluya por esos túneles estará protegido, incluidos los ID
de usuario, las contraseñas, los comandos y los datos que se transmiten.
Una de las principales diferencias entre SFTP y FTPS es la forma en que se realiza la autenticación. Con SFTP, se autentica a los clientes con una simple
contraseña o clave privada. Con FTPS, los clientes y servidores se autentican con certificados, que son con firma propia (los firma su organización) o con la
firma de una Autoridad de Certificación (como Verisign).
Elegir el tipo correcto de protocolo de FTP seguro a utilizar dependerá de las capacidades de su socio de Negocio y de los requisitos de autenticación. No
deje en manos de los usuarios la decisión sobre qué protocolo seguro o metodología funciona mejor. Esto puede crear una mezcla de enfoques, y es posible
que ninguno de ellos cumpla con sus políticas generales de autenticación y Seguridad.
Esta es un área donde es necesaria la experiencia de IT para garantizar que se use el método correcto de encriptación, que el mecanismo de autenticación
se implemente en forma adecuada y que se cumplan los requisitos regulatorios.
www.helpsystems.com 9
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
Pero si la interfaz de usuario de las funciones de FTP no cumple con las expectativas de facilidad
de uso, su proyecto de centralización de FTP puede correr peligro. Los usuarios podrían terminar
solicitando volver a sus soluciones distribuidas y basadas en PC.
Pero las antiguas implementaciones ad hoc de herramientas de FTP en toda la empresa, los intentos
en el pasado de automatizar sus funciones y la Seguridad inherentemente frágil de su diseño básico,
dejó a IT con una infraestructura que no cumple con los requisitos de Seguridad y de capacidad
de gestión. En la mayoría de los casos, el uso estándar del FTP es un peligro para la Seguridad de la
empresa, con posibilidades de convertirse en una catástrofe.
IT debe lograr que el FTP esté en cumplimiento de las políticas de Seguridad, proteger los procesos
de transferencias de archivos, y rediseñar el modo en que se usa y controla el servicio dentro de la
organización.
La mejor solución de FTP seguro será aquella que genere un entorno de gestión que controle y
centralice el acceso, provea tecnología de encriptación en forma nativa y agilice todo el proceso.
Con la solución adecuada, IT puede seguir automatizando el intercambio de datos críticos entre
empresas, satisfacer los requisitos de cumplimiento y responder a las necesidades de flexibilidad y
facilidad de uso que demandan los usuarios.
www.helpsystems.com 10
Más allá del FTP: Seguridad y Gestión de la Transferencia de Archivos
GoAnywhere Gateway™ es un proxy reverso y de reenvío mejorado, que le provee una capa adicional
de Seguridad en el intercambio de datos con sus socios comerciales, al cerrar los puertos de entrada
a su red privada y mantener la información sensible fuera de su DMZ.
Descargar mi prueba
www.helpsystems.com 11
Acerca de HelpSystems
Organizaciones de todo el mundo recurren a HelpSystems
para facilitar el trabajo de sus departamentos de IT y lograr
que su Negocio opere con fluidez. Nuestro software y servicios
monitorean y automatizan procesos, encriptan y protegen datos y
dan un fácil acceso a la información que la gente necesita.
© HelpSystems, LLC. Todas las marcas registradas y marcas comerciales son propiedad de sus respectivos dueños. R15GABFTP8