Gestión de usuarios de Instituciones Educativas con ADSelfService Plus

 

Gestión de seguridad y vulnerabilidades en ManageEngine ADSelfService Plus

La seguridad siempre ha sido una de las principales prioridades de ManageEngine. Hemos tomado múltiples medidas, desde emplear controles de seguridad de varios niveles durante el desarrollo hasta realizar pruebas de penetración de terceros, para garantizar que ADSelfService Plus sea seguro y satisfaga los requisitos de seguridad de nuestros clientes.

Cada paso del desarrollo de la solución se somete a un riguroso proceso de pruebas por parte de múltiples equipos de seguridad para encontrar fallas de seguridad. Nos aseguramos de solucionar cualquier problema reportado tan pronto como sea posible, ya sea identificado por nuestros equipos internos, comunidades externas, expertos u organizaciones con las que nos hemos asociado para realizar pruebas de penetración manuales en ADSelfService Plus, como Veracode.

       

Evaluación de seguridad por parte del equipo de seguridad de ADSelfService Plus

 

Programas de reporte de vulnerabilidades internos y externos

 
Product Testing Procedures for ADSelfService Plus

Pruebas de seguridad y cumplimiento por parte del equipo de seguridad de ManageEngine

 

Pruebas de penetración de otros fabricantes

 
  

1 Evaluación de seguridad por parte del equipo de seguridad de ADSelfService Plus

El equipo de ADSelfService Plus sigue los procedimientos de seguridad en cada etapa del desarrollo de funciones para garantizar que el producto esté protegido contra ciberataques.

  • Antes de comenzar a desarrollar una nueva función, el equipo de seguridad evalúa su arquitectura y diseño. El objetivo principal de esta revisión es garantizar que los distintos módulos diseñados para esta nueva función cumplan con las normas de seguridad requeridas.
  • Una vez desarrollada la función, nuestro equipo de seguridad revisa el código para detectar cualquier violación de los estándares de codificación y seguridad.
  • Antes de publicar la función, realizamos una ronda de pruebas de caja negra y caja blanca. Esto se hace para asegurarse de que la característica funciona como se espera, y se examinan otros posibles defectos en el código.

2 Pruebas de seguridad y cumplimiento por parte del equipo de seguridad de ManageEngine

Además del equipo de seguridad de ADSelfService Plus, también hay un equipo de seguridad dedicado en ManageEngine cuyo objetivo es garantizar que todos los productos de ManageEngine cumplan con las estrictas normas de seguridad de TI.

El equipo de seguridad de ManageEngine realiza las siguientes pruebas en ADSelfService Plus antes de cada publicación:
  • Análisis de código estático: Mediante herramientas internas, se comprueba todo el repositorio de código del producto en busca de vulnerabilidades a nivel de código y dependencias de terceros.
  • Prueba de autenticación: Estas pruebas identifican cualquier defecto en los diferentes procedimientos de autenticación de ADSelfService Plus.
  • Prueba de autorización: En esta fase, se comprueban los diferentes roles y permisos de usuario para asegurarse de que se han asignado correctamente.
  • Prueba de configuración de seguridad: Los diversos componentes de terceros y todas las configuraciones utilizadas por estos componentes se comprueban para asegurarse de que están en el orden correcto.
  
  

3 Programas de reporte de vulnerabilidades internos y externos

ManageEngine también lleva a cabo programas de recompensas por errores en los que individuos o grupos de ManageEngine junto con personas externas, comunidades y expertos en seguridad pueden notificarnos si se ha identificado alguna vulnerabilidad en nuestras soluciones. En tales casos, comenzamos a trabajar inmediatamente en el desarrollo y la publicación de una solución para la vulnerabilidad.

Esto es lo que hacemos si se reporta una vulnerabilidad:
Internal and external vulnerability reporting programs
El tiempo de respuesta para desarrollar y publicar la corrección se basa en los siguientes criterios:
  • Las vulnerabilidades de gravedad crítica se abordarán inmediatamente (dentro de un día posterior al descubrimiento).
  • Las vulnerabilidades de gravedad alta se abordarán por completo en un plazo de siete días naturales posterior al descubrimiento.
  • Las vulnerabilidades de gravedad media se abordarán en un plazo de 30 días naturales posterior al descubrimiento.

4 Pruebas de penetración de terceros

El equipo de ADSelfService Plus también se ha asociado con Veracode, una empresa independiente de seguridad de aplicaciones, para llevar a cabo pruebas de penetración manuales en ADSelfService Plus, con el fin de obtener una perspectiva de tercera persona sobre la base de seguridad de la solución. Las pruebas de penetración se realizan una vez cada trimestre. Veracode también realiza estas pruebas anualmente en las aplicaciones móviles de ADSelfService Plus para iOS y Android.

   
  

5 Nos aseguramos de que la solución llegue a nuestros clientes

Notificamos a los clientes acerca de las correcciones de vulnerabilidades de varias maneras:

  • Anunciamos el lanzamiento de la corrección en esta página.
  • Las actualizaciones regulares que contienen nuevas funciones, mejoras y correcciones de errores se publican a intervalos frecuentes y se registran aquí.
  • Hacemos anuncios públicos.
  • Mantenemos a nuestros clientes actualizados haciendo anuncios dentro de la consola del producto.
  • Cubrimos las actualizaciones de seguridad en nuestros boletines de productos.
  • Anunciamos el lanzamiento de la corrección en nuestro foro de productos.
  • En función de la gravedad de la vulnerabilidad, también enviamos correos electrónicos a los clientes.

Documentos de seguridad

SProteja el acceso de los usuarios a los endpoints con una autenticación de segundo factor.

 

ADSelfService Plus también admite

  •  

    MFA adaptativa

    Habilite la MFA basada en contexto con 19 factores de autenticación diferentes para los inicios de sesión de endpoints y aplicaciones.

    Más información  
  •  

    Inicio de sesión único empresarial

    Permita a los usuarios acceder a todas las aplicaciones empresariales con un único flujo de autenticación seguro.

    Más información  
  •  

    Habilitación del trabajo remoto

    Mejore el trabajo remoto con actualizaciones de credenciales almacenadas en caché, inicios de sesión seguros y gestión de contraseñas móviles.

    Más información  
  •  

    Integraciones potentes

    Establezca un entorno de TI eficiente y seguro a través de la integración con herramientas SIEM, ITSM e IAM.

    Más información  
  •  

    Autoservicio empresarial

    Delegue las actualizaciones de perfiles y suscripciones de grupo a los usuarios finales y monitoree estas acciones de autoservicio con flujos de trabajo de aprobación.

    Más información  
  •  

    Zero Trust

    Cree un entorno Zero Trust con técnicas avanzadas de verificación de identidad y haga que sus redes sean impenetrables ante las amenazas.

    Más información  

Grandes compañías de latinoamérica confían en ADSelfService Plus

Emprenda un viaje hacia la seguridad de identidad y Zero Trust
Gestión de contraseñas MFA adaptable SSO para empresas Autoservicio y seguridad Productos relacionados