La seguridad de la producción, el desarrollo y la continua integración del servidor y del puesto de trabajo de los desarrolladores será una gran prioridad porque centralizan el acceso a una gran cantidad de datos.
Evalúe su riesgo y adopte las medidas de seguridad adecuadas
- Evaluar los riesgos en los instrumentos y procesos que está utilizando para su desarrollo. Enumerar las medidas de seguridad existentes y definir un plan de acción para mejorar la cobertura del riesgo. Designar un responsable de esta implementación.
- Recuerde tener en cuenta los riesgos en todos los instrumentos que está utilizando, en particular aquellos conectados a SaaS (Software as a Service) y al instrumento de cooperación en la nube (como Slack, Trello, Github, etc.)
Protege tu servidor y tu estación de trabajo de una manera coherente y repetible
- Las listas de recomendaciones sobre la seguridad del servidor, lugares de trabajo y redes internas están disponibles en la guía de la seguridad de datos personales de la CNIL.
- Escribe un documento que mezcle esas medidas y explique su configuración para garantizar una implementación coherente de las medidas de seguridad en el servidor y la estación de trabajo. Con el fin de reducir la cantidad de trabajo, es posible utilizar instrumentos que gestionan la configuración, como Ansible, Puppet o Chef.
- Actualice el servidor y la estación de trabajo, si es posible en un wat automático. Puede ser una lista de control que identifique las vulnerabilidades, como avisos de seguridad y actualizaciones de noticias CERT-EN.
Prestar especial atención a la gestión del acceso y la trazabilidad de las operaciones
- Recuerde documentar la gestión de tus claves SSH (uso de cifrado de vanguardia y algoritmos de longitud de clave, protección de clave privada a través de contraseña, rotación de clave). Para ejemplos de buenas prácticas, consulte el documento sobre el uso seguro de SSH (abierto).
- Promueve la autenticación fuerte en los servicios utilizados por el equipo de desarrollo.
- Realice un seguimiento del acceso a sus máquinas y, si es posible, configure un análisis de registro automático. A fin de mantener registros fiables, debe evitarse el uso de una cuenta genérica.
Directriz sobre la seguridad de los datos personales de la CNIL:
cnil_guide_securite_personnelleFUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FRANCIA – CNIL