En plena neurosis del Efecto 2000, a escasos meses de la anunciada catástrofe que nunca se produjo, pero ayudó a renovar mucho software empresarial, organicé un evento para clientes de un reputado ERP holandés, líder del momento. Para evitar un enfoque puramente comercial, incluí en las sesiones a algunos gurús del sector, entre ellos a mi amigo Miguel, quien debía dar una charla sobre ciberseguridad.
Fiel a su espíritu rupturista, lo que vino a decir en sus 30 minutos de ponencia fue que la seguridad en los sistemas de gestión era una entelequia, para pavor de los asistentes e irritación de mis superiores. Y no se equivocaba en su afirmación.
Han pasado más de 20 años y seguimos en lo mismo. La seguridad sigue siendo un tema candente, en busca de la quimera de la seguridad absoluta. La conversación sobre si es más segura una instalación online u “On premise” ha ocupado páginas y páginas. Concluyendo que probablemente sea más segura una red convencional frente al modo Cloud, siempre que tengas un equipo de expertos en seguridad dedicado, que supervise tu red 24/7/365 ante cualquier ataque, un equipo que actúe al instante para asegurar la red en caso de problemas, etc. Un equipo que, en definitiva, esté constantemente actualizando el software y arreglando agujeros de seguridad. Las grandes corporaciones a veces tienen esos recursos, pero la mayoría de pequeñas y medianas empresas no.
Quienes sí que tienen estos expertos y recursos son los proveedores de soluciones Cloud de primer nivel. No sirve un pequeño proveedor que ha alquilado un servidor en un Data Center, es importante confiar la seguridad de nuestros sistemas de información al mejor proveedor que podamos.
Microsoft y la seguridad
Y hablando de proveedores Cloud de primer nivel, Gartner posicionó a Microsoft como líder mundial en seguridad en 2020, incluyendo gestión de accesos, herramientas y archivado de información de empresa, entre otros muchos aspectos. No es casualidad, Microsoft invierte cerca de 1 Billón de dólares anuales en I+D en ciberseguridad.
Todos los productos en la nube de Microsoft, incluido Dynamics 365, se crean y alojan en la plataforma en la nube Microsoft Azure, proveedor de nube pública con más certificaciones de cumplimiento que cualquier otro proveedor de nube. Azure se opera desde más de 100 centros de datos seguros de Microsoft en el planeta, y cada centro de datos físico dispone de protección de varias capas. Esto va desde el control de acceso, múltiples capas físicas y formas de identificación, hasta la seguridad física, como racks de servidores cerrados, vallas perimetrales, video vigilancia 24/7 y otras medidas.
Luego está el centro de operaciones de ciberdefensa de Microsoft: una instalación de ciberseguridad y defensa que protege la infraestructura de Azure, con más de 3500 expertos en ciberseguridad que trabajan las 24 horas del día, los 7 días de la semana, los 365 días del año, protegen, detectan y responden a las amenazas en tiempo real. Esto incluye dos equipos de cerca de 200 profesionales haciendo ejercicios. Uno trata de atacar la infraestructura y el otro de defenderla. Después de cada ejercicio, se aplican las enseñanzas.
Seguridad en Microsoft Dynamics 365
Dado que Dynamics 365 está construido sobre Azure, al comprar cualquiera de sus soluciones en la nube, está recibiendo la máxima seguridad, privacidad y cumplimiento de normativas.
Hay una pequeña diferencia entre la seguridad en Dynamics 365 y versiones anteriores como Dynamics AX 2012, donde los cambios en seguridad se registraban como objetos de seguridad en el Application Object Tree (AOT). Los cambios se aplicaban en el entorno de producción usando varios códigos. Ahora, los cambios en desarrollo en Dynamics 365 se tratan de forma similar. Utilizando un paquete de despliegue, se pueden mover los objetos al sistema en vivo.
En Dynamics 365 es novedad la configuración en el runtime. Los cambios se guardan en la base de datos y cuando se publican los cambios de seguridad, los objetos cambiados se reflejan solo en ejecución. No existe ningún vínculo con el entorno de desarrollo. Esto no significa que se deba cambiar la configuración de seguridad directamente en producción. Los cambios deben probarse primero. Como puede haber muchos cambios que necesiten varios ciclos de prueba y reconfiguraciones, se recomienda comenzar en un entorno de desarrollo / prueba. El entorno de producción únicamente tendrá una configuración de seguridad acumulativa aprobada que se registra solamente una vez.
Hay que destacar que como cliente de Microsoft Dynamics 365, tu empresa es propietaria de sus propios datos, aunque estén en un centro de datos. Microsoft actúa tan solo como custodio y protege los datos encriptándolos. Microsoft fue el primer proveedor en la nube en adherirse a la norma ISO 27018, lo que garantiza una serie de prácticas éticas. Por ejemplo, tus datos y datos de clientes se usan únicamente en los servicios en que se han acordado, nunca por terceros para -por ejemplo- publicidad o marketing.
Todas las aplicaciones Microsoft Dynamics 365 ofrecen formas de definir y asegurar acceso y privilegios, que incluyen:
Seguridad basada en roles: la seguridad es gestionada por administradores, quienes distribuyen el acceso a los datos y funciones según el rol de cada usuario. Los derechos de acceso se dividen en cinco niveles, que van del básico al global.
Seguridad basada en registros: esta medida de seguridad se centra en los derechos de acceso a registros específicos y dicta lo que un usuario puede o no puede hacer con sus datos. Es posible que desee que un usuario cree y elimine un registro, mientras que a otro solo se le da acceso para verlo.
Seguridad basada en campos: si tiene algún campo que contenga información confidencial, puede asignar parámetros de seguridad específicos a nivel de campo a estos campos individuales.
Microsoft Dynamics 365 proporciona numerosas funciones de protección para mantener seguros los datos de una empresa. Sin embargo, las empresas también deben abordar proactivamente cualquier problema, implementando procesos y políticas para garantizar que se acceda a sus datos y se manejen correctamente.
Al considerar Microsoft Dynamics 365 o cualquier otra solución en la nube, es esencial comprender que la seguridad en la nube sigue un modelo de responsabilidad compartida. El proveedor de la nube se encarga de algunas tareas de seguridad y hay algunas que deberá realizar el cliente, que será responsable de la gestión de identidad y acceso, por ejemplo.