La seguretat a Tryton

La seguretat a Tryton

1/El projecte

● Millors pràctiques en el desenvolupament de software● Revisió de tot el que es fa● Tractament específic de

les incidències deseguretat

1.1/Els processos

● Per bo que sigui el pilot sempre és millor portar el cinturó de seguretat, i tenir airbags, i ABS, i ...

● Tryton protegeix contra SQL Injection:En 396 apps web analitzades per Netsparker*, es van detectar 269 vulnerabilitats. De les quals 55 eren SQL Injection.

1.2/Mesures de seguretat per als pilots

Altres vulnerabilitatsSQL Injection

*Font: https://www.netsparker.com/blog/news/infographic-open-source-web-applications-vulnerability-statistics-2016/

● L'aplicació de millors pràctiques de desenvolupament de software

● Utilitant peer-reviewing● Creant eines innovadores per eliminar riscos innecessaris

Definir bons processos és clau per l'èxit de la seguretat. Tant a Tryton com a les empreses.

1.3/Resumint: Tryton vetlla per la seguretat amb

2/Abans d'entrar

● Tryton t'ajuda mitjançant el recordatori a l'usuari de que ha de renovar la contrasenya si fa massa temps que no ho fa.

● Configurable per senyir-se a la política de seguretat* de l'empresa.

● També permet als reponsables enviar un correu a l'usuari amb una contrasenya temporal.

2.1/Cal renovar la contrasenya freqüentment

*El Genís us pot ajudar amb això ;-) http://centralip.net/

● Tryton t'adjuda garantint que no pots utilitzar una contrasenya massa senzilla

● Configurable per senyir-se a la política de seguretat* de l'empresa, incloent la integració amb LDAP/Active Directory

2.2/però no es pot utilitzar qualsevol contrasenya

*El Genís us pot ajudar amb això ;-) http://centralip.net/

2.3/Ah! I reintentar-ho no serà fàcil!

11 2 4 8 16

32 64 128 256

512 Massa temps!

2.4/i si a més, preguntem dues vegades?

Contrasenya SMSUsuari

Quelcom que saps

Quelcom que tens

● Informació xifrada amb la mateixa seguretat que la banca electrònica

2.5/I amb les comunicacions xifrades

● A partir de la versió 4.2 es poden crear Apps que tinguin accés a una part molt limitada de l'ERP

2.6/Hi ha alguna cosa més segura que no haver d'entrar?

● Chronos és una App per Chrome o Firefox que només té accés a informació de fulls de treball de l'usuari

2.7/Apps externes: Chronos

● Renovació freqüent de les contrasenyes● Contrasenyes complexes, ● Integració amb LDAP/Active Directory● Penalització en intents fallits d'autenticació● Autenticació multi-factor● Xifratge com el dels bancs● Apps específiques per no haver ni d'entrar

2.8/Resumint: abans d'entrar Tryton ens ajuda amb

3/Un cop dins

● Cada usuari pot pertànyer a més d'un grup d'usuaris● L'aplicació disposa de més de 30 grups d'usuari

predefinits

3.1/Grups d'usuari

3.2/A quina informació podem restringir l'accés?

Taula Camp Fila/registre

3.3/Què podem limitar sobre aquesta informació?

Lectura Crear EliminarModificar

3.4/I què més?

Els butons i accions

No és senzill:

● +250 taules x 4 = +1.000● +3.000 camps x 4 = +12.000● + butons...

Així que mirem de cenyir-nos als grups estàndard i...

3.5/però compte!

● Els mòduls Audit* creats per NaN-tic permeten l'anàlisi detallat a posteriori i sense penalització de rendiment.

Demo

3.6/...auditem!

● Grups d'usuari predefinits● Restricció d'accés a taules, camps i registres● Restricció d'accions● Auditories

3.7/Resumint: un cop dins Tryton ens ajuda amb

http://www.NaN-tic.com

Albert Cervera i [email protected]@albertnanlinkedin.com/in/albertca