Mejores prácticas de Seguridad

Protección De Redes

D2L adopta un enfoque escalonado en la protección de la infraestructura y los recursos de su red.

  • Firewalls perimetrales de inspección de paquetes con estado y enrutadores de extremo bloquean los protocolos no utilizados y ayudan a proteger la red contra el tráfico malintencionado, los virus y el malware.
  • Sistemas de detección de intrusos (IDS) Sistemas de prevención de intrusos (IPS) detectan y corrigen el tráfico potencialmente malintencionado en la red. Los kits de firmas se revisan y se actualizan periódicamente con los lanzamientos tradicionales y en momentos determinados cuando hay lanzamientos de alta prioridad.
  • Se implementa la tecnología de inspección profunda de paquete para permitir la investigación forense en caso de ser necesario.
  • La segmentación de VLAN ayuda a mantener el tráfico segmentado y a que los firewalls internos distribuyan el tráfico entre los límites de la red.
  • La tecnología de administración de eventos e información de seguridad (SIEM) se implementa en toda la infraestructura de D2L. Esta tecnología recopila y engloba eventos desde puntos de conexión y los almacena de forma centralizada para la correlación de eventos, las alertas de seguridad y el análisis.

Transmissión Segura

  • La conexión al entorno de Brightspace se realiza a través del protocolo criptográfico TLS con encriptación RSA®, lo que garantiza que los clientes puedan conectarse a nuestro servicio de forma segura desde sus exploradores.
  • Las sesiones de usuarios individuales se identifican y se vuelven a verificar en cada transacción, con un token único que se crea al iniciar sesión.

Monitoreo de Denegación de Servicio

  • D2L utiliza tecnología de red interna, como firewalls, WAF e IDS/IPS, para brindar protección contra ataques por denegación de servicio (DoS).
  • D2L utiliza un proveedor de servicio externo para protegerse contra ataques por denegación de servicio distribuido (DDoS). Este servicio ofrece detección y mitigación de ataques por DDoS volumétricos.

Administración De Vulnerabilidades Y Aplicación De Parches

  • Refuerzo del sistema
  • Vulnerabilidades y aplicación de parches
    • D2L pone a prueba todo el código para identificar vulnerabilidades de seguridad antes del lanzamiento, y examina periódicamente su red y sus sistemas para detectar vulnerabilidades.
    • Cada mes, después de “Patch Tuesday”, un grupo de representantes de Brightspace Cloud, Control de Calidad, Desarrollo de Productos e Implementación se reúne para revisar todos los parches de Microsoft® a fin de evaluar el carácter crítico, el riesgo y el impacto potencial en los servicios de D2L. Los parches pueden pasar por un proceso de control de calidad antes de entrar en el cronograma de implementación durante el próximo período de mantenimiento disponible.
  • Evaluaciones anuales de terceros
    • D2L contrata a terceros para llevar a cabo exámenes de penetración y vulnerabilidad en la plataforma Brightspace una vez al año.

Amenazas Y Protección De Los Puntos De Conexión

  • Se ejecuta software antivirus en las computadoras portátiles y de escritorio de todo el personal, y este software se administra de forma centralizada para asegurarse de que todos los archivos DAT estén al día. Los informes centralizados garantizan que las infecciones por malware se pongan en cuarentena correctamente y se escalen para tomar medidas adicionales cuando es necesario.

Seguridad De La Aplicación

  • La aplicación se desarrolla de acuerdo con el documento OWASP Top Ten y se integran diversos componentes de seguridad a la arquitectura de la aplicación. Los analistas de seguridad buscan vulnerabilidades periódicamente a través de revisiones del código, exámenes de la aplicación y pruebas de penetración ejecutadas internamente. Los controles técnicos son validados por terceros a través de pruebas de vulnerabilidad de la aplicación y penetración de la red siguiendo un cronograma regular.

Administración De Incidentes

D2L cuenta con un proceso de Administración de Incidentes de Privacidad y Seguridad definido para manejar incidentes de privacidad y seguridad. Este proceso puede ser iniciado por un cliente de D2L, por un empleado interno de D2L o por el público. En caso de identificar un incidente de seguridad, se sigue el proceso de alto nivel que se detalla a continuación.

  • Monitoreo y reconocimiento: se identifica un incidente de seguridad o privacidad, se lo informa al Equipo de Respuesta ante Incidentes de Seguridad (SIRT)
  • Detección y análisis (triaje): se evalúa el incidente para determinar la severidad, la prioridad, el alcance y el impacto. Este paso puede incluir actividades de contención y preservación de evidencia.
  • Mitigación: se elaboran recomendaciones y se ponen en práctica para contener el incidente en cuestión, erradicarlo o recuperarse de él.
  • Recuperación: se completa la contención.  Cuando corresponde, se examinan los entornos para garantizar que la mitigación se haya completado.
  • Comunicaciones: esto puede incluir comunicaciones con equipos de recursos internos, partes interesadas o clientes de D2L.  A partir de los hallazgos del triaje y el análisis, se elaboran las comunicaciones apropiadas, que luego se aprueban y se comparten.
  • Actividad posterior al incidente: en esta etapa, se completan las lecciones aprendidas para reunir comentarios y mejorar los procesos y procedimientos de respuesta ante incidentes.  Cuando corresponde, se identifica y se registra la causa principal.

Proveedores Y Subcontratistas

  • D2L examina a todos los proveedores y subcontratistas aplicables para garantizar que también ofrezcan el nivel de seguridad adecuado.

Concientización Sobre Seguridad

  • D2L implementa un programa de concientización sobre seguridad que sirve para garantizar que los empleados comprendan la importancia de la seguridad y su implicancia para el trabajo diario.
  • Los empleados nuevos deben realizar una capacitación sobre seguridad y el cumplimiento de la capacitación se evalúa a lo largo del año.
  • El Equipo de Seguridad de la Información utiliza varias fuentes de inteligencia de amenazas de seguridad para mantenerse informado sobre las amenazas de seguridad más recientes y emergentes. Esta información se difunde a través de campañas de concientización sobre seguridad periódicas que ayudan a garantizar que el personal de D2L esté informado de estas amenazas y sepa qué hacer en caso de detectarlas.

Regresar a la descripción general de la seguridad de D2L