Protección del despliegue
- Limitar el acceso a los datos autorizados a los usuarios previstos
- Evitar la modificación de los datos o la presentación de los datos por parte de usuarios no autorizados
- Evitar el robo o la destrucción de información
- Garantizar que la aplicación esté disponible
Debe asegurarse de que los usuarios no puedan, ya sea a través de acciones involuntarias o maliciosas, ver datos que no tengan autorización para ver, omitir los mecanismos de autenticación y autorización, robar o infringir los estados de las sesiones para asumir la identidad de otro usuario o escalar los privilegios existentes. También debe evitar que los usuarios causen interrupciones en el servicio de la aplicación.
Esta información le ayudará a configurar una instalación de IBM Cognos BI para obtener la máxima seguridad. Los problemas descritos incluyen la seguridad del entorno, que implica el sistema operativo, la seguridad de red y la seguridad de las aplicaciones. Todas estas áreas fueron consideradas durante la auditoría de seguridad realizada en IBM Cognos BI como parte del ciclo de desarrollo.
La instalación y configuración de cada cliente de IBM Cognos BI es exclusiva. Por lo tanto, los requisitos de seguridad para cada instalación y configuración también son exclusivos. Esta sección no contiene información completa sobre los problemas relacionados con la protección de un entorno IBM Cognos BI. Sin embargo, proporciona directrices y recomendaciones que complementan la información más detallada de la publicación IBM Cognos Business Intelligence Guía de instalación y configuración.
La infraestructura de seguridad IBM Cognos BI se basa en el enfoque estándar del sector para proteger las aplicaciones web. Esto implica resolver los problemas de seguridad durante el diseño y desarrollo de las áreas funcionales que son vulnerables a las amenazas de seguridad.
Las siguientes áreas funcionales de IBM Cognos BI se han desarrollado con especial atención a la seguridad.
Autenticación y autorización
La autenticación y autorización de usuario impiden a los usuarios no autorizados acceder a los componentes y datos del sistema.
La efectividad de la estrategia de seguridad depende del tipo de autenticación y autorización.
Solicitud web y validación de contenido
La solicitud web y la validación de contenido comprueban los datos antes de que se procesen.
La efectividad de la estrategia de seguridad depende de las técnicas de validación, como la comprobación de límites que impide el desbordamiento del búfer y las infracciones de asignaciones de variables y la comprobación de formato que impide las infracciones de codificación de datos y de cadena de formato.
Gestión de sesiones
La gestión de sesiones soporta un control de acceso apropiado. Depende de potentes identificadores de sesión que son difíciles de adivinar.
La efectividad de la estrategia de seguridad depende del tipo de sistemas de gestión de sesiones utilizados, de la información que incluyan y del lugar del ciclo de programas en que se validen las sesiones.
Seguridad de transporte
La seguridad de transporte se utiliza durante la transmisión para proteger las transacciones que contienen información confidencial cuando se utilizan redes que no son de confianza.
La eficacia de la estrategia de seguridad depende de cómo se cifren los datos.
Cifrado
El cifrado protege los datos confidenciales, como las credenciales de cuenta y la información personal.
La eficacia de la estrategia de seguridad depende de cómo se cifren y almacenen los datos.
Registro y supervisión
Los registros de aplicaciones identifican cuándo se producen errores o cuando se completan las transacciones confidenciales. Además, los registros de aplicaciones registran mensajes de error que proporcionan información del sistema. Los mensajes de error deben exponer la cantidad mínima de información para cumplir los requisitos empresariales.
La eficacia de la estrategia de seguridad depende de dónde se almacenen los archivos de seguridad y de si las funciones de auditoría están incorporadas en la aplicación.
Administración
El acceso administrativo incluye el derecho a añadir y eliminar usuarios, proporcionar acceso a grupos y basado en roles, y en configurar componentes de aplicaciones. El acceso administrativo se debe restringir a las personas adecuadas.
La eficacia de la estrategia de seguridad depende de cómo se administre la aplicación, de la configuración de las opciones administrativas de seguridad y de cómo se protejan estas opciones.