Perspectivas

Jaspersoft: Un enfoque de seguridad de los datos por niveles

Jaspersoft provides data security with a multi-layered approach

Atrás quedaron los tiempos en que los informes y los análisis se limitaban a las operaciones de back-end. Hoy en día, muchas organizaciones integran el análisis en las aplicaciones orientadas al cliente. Aunque esto puede ofrecer comodidad y eficacia, supone un enorme riesgo para la seguridad del que las organizaciones deben ser conscientes. En ocasiones, los informes y los análisis embebidos pueden contener información confidencial, como datos personales de los clientes, secretos comerciales e información financiera. Si estos datos cayeran en las manos equivocadas, las organizaciones podrían enfrentarse a graves consecuencias legales y de seguridad. Por lo tanto, es imperativo que las organizaciones controlen los datos que los distintos tipos de individuos pueden ver o a los que pueden acceder. En resumen, las organizaciones deben dar prioridad a la seguridad a la hora de aprovechar las herramientas de elaboración de informes.

Por qué es importante la seguridad de los informes y los análisis embebidos

La sensibilidad de los datos que suelen contener los informes es una de las principales razones por las que la seguridad debe ser un elemento esencial en las herramientas de elaboración de informes. Sin una seguridad sólida, estos datos corren el riesgo de:

  • Filtraciones de datos: Una de las mayores amenazas para las que deben prepararse las organizaciones (grandes y pequeñas) son los actores maliciosos que buscan robar datos. Los atacantes pueden utilizar los datos robados de varias maneras, como venderlos en la Dark Web o utilizarlos para extorsionar a la organización afectada.   

  • Incumplimiento de la normativa: Las normas del sector, como HIPAA, PCI DSS y GDPR, establecen requisitos para las empresas de sus respectivos sectores sobre cómo deben gestionar los datos. Si atacantes o personas no autorizadas acceden a los datos de la organización, se arriesga a incumplir la normativa, lo que suele acarrear multas o sanciones.

  • Pérdida de confianza de los clientes: Sus clientes esperan que proteja sus datos confidenciales. Si no puede hacerlo, tendrán problemas para confiar en sus servicios o productos. Esto puede ahuyentar a los clientes actuales y potenciales.

  • Problemas legales: Las filtraciones de datos y el incumplimiento de la normativa pueden dar lugar a demandas por parte de los clientes afectados. Los procedimientos judiciales suelen ser caros y suponen una carga financiera para su organización. 

Arquitectura de seguridad de Jaspersoft

Jaspersoft es una herramienta de elaboración de informes creada pensando en la seguridad. Su arquitectura sigue un modelo de seguridad multicapa que incluye varias prácticas de seguridad que se comentan a continuación:

Usuarios, funciones y permisos de recursos 

Jaspersoft aprovecha los roles y las cuentas de usuario para imponer el control de acceso mediante autenticación y autorización. Además, para proteger sus informes, datos y cuadros de mando de las amenazas internas, Jaspersoft le permite establecer protocolos para diferenciar entre usuarios y administradores. 

Los administradores tienen más derechos de acceso y acción que los usuarios normales. Supervisan la actividad del servidor y pueden acceder a recursos sensibles como las conexiones a bases de datos. También pueden gestionar a otros usuarios y definir sus funciones. Los roles de usuario determinan los permisos que tienen los usuarios. Por lo tanto, un usuario sólo puede acceder a los recursos que los administradores le permiten.

Menús y páginas

Los roles de usuario dictan los menús y las páginas que los diferentes usuarios pueden ver. Por ejemplo, sólo los administradores pueden acceder al menú Gestionar, que permite a las personas con funciones de administrador añadir o eliminar usuarios y definir sus funciones. Con Jaspersoft, puede modificar el acceso a estas páginas y menús. 

Organizaciones

Las organizaciones también tienen usuarios y administradores. Sin embargo, estos dos grupos sólo pueden acceder a los recursos de la organización. Por ejemplo, aunque los administradores pueden tener más privilegios que los usuarios, no pueden ver ni acceder a recursos, incluidos usuarios y funciones, de otras organizaciones. JasperReports Server lo consigue eficazmente separando las organizaciones, incluso si se configuran juntas. 

Autenticación

Esta práctica de seguridad restringe el acceso a los informes mediante la identificación del usuario. Su funcionamiento se basa en definir primero las cuentas de usuario para darles una identidad única. Estas cuentas de usuario se protegen con contraseñas. En Jaspersoft, los datos sobre los usuarios y sus permisos residen en una base de datos privada a la que sólo los administradores pueden acceder a través de las páginas de administrador. 

Autenticación externa

JasperReports Server utiliza el marco Spring Security, que admite la integración con mecanismos de autenticación empresarial, como:

  • Inicio de sesión único (SSO) mediante CAS (JA-SIG Central Authentication Service)

  • Servicio de autenticación y autorización de Java (JAAS)

  • Acceso anónimo

  • LDAP (utilizado para Novell eDirectory y Microsoft Active Directory)

Políticas de contraseñas

Las políticas de contraseñas ayudan a mantener la integridad de las contraseñas. Con Jaspersoft, puede aprovechar varias políticas, entre ellas:

  • Caducidad de la contraseña: Esta política obliga a los usuarios a cambiar regularmente sus contraseñas. Le permite establecer una duración durante la cual los usuarios pueden utilizar sus contraseñas para acceder a sus cuentas e informes. Una vez transcurrido el tiempo establecido, el usuario no podrá iniciar sesión hasta que cambie su contraseña. Es necesario señalar que Jaspersoft no impone la caducidad de la contraseña por defecto - usted debe habilitarla. 

  • Patrones fuertes: Jaspersoft también le permite imponer contraseñas seguras para las cuentas de usuario. Esto requiere esencialmente que los usuarios creen contraseñas difíciles de adivinar estableciendo parámetros específicos, como un número mínimo de caracteres o el uso de caracteres especiales, números y letras (tanto mayúsculas como minúsculas). De manera similar a la opción de caducidad de la contraseña, debe habilitar patrones fuertes porque el patrón por defecto en Jaspersoft acepta cualquier contraseña, incluyendo una vacía.

Seguridad de las aplicaciones

Como administrador de sistemas, lo sabe muy bien: los hackers siempre están buscando oportunidades para piratear servidores y crear una brecha de datos o hacerse con el control total del sistema. Jaspersoft le permite proteger los datos de sus informes de estos atacantes a través de varios mecanismos y herramientas, incluyendo:

  • Validación de entrada: Esta práctica de seguridad protege los datos de sus informes frente a inyecciones SQL y secuencias de comandos en sitios cruzados (XSS).

  • Cifrado: Jaspersoft permite ofuscar las contraseñas almacenadas en los archivos de configuración. Estas contraseñas incluyen las que dan acceso a las bases de datos de muestra y a la base de datos interna de JasperReports Server. De este modo, aunque personas no autorizadas accedan a los archivos de configuración, no podrán verlos ni utilizarlos para obtener acceso elevado.

  • Prevención de la falsificación de petición en sitios cruzados (CSRF): Para evitar Ataques CSRF Jaspersoft aprovecha la última actualización de CSRFGuard de OWASP. Esto ayuda a verificar que cada solicitud, como PUT, POST y DELETE, envíe un token válido. Cuando un usuario no autorizado utiliza un token no válido, el servidor no responde y en su lugar registra un error.

¿Por qué confiar en Jaspersoft para la seguridad de los informes?

La arquitectura de seguridad de Jaspersoft habla por sí sola. Nuestras cifras demuestran que las empresas reconocen nuestro compromiso con la seguridad. Jaspersoft registra una media de más de 80.000 descargas al mes. Además, nuestra solución de elaboración de informes lleva dos décadas en el mercado y es una de las más implantadas en el mundo.

¿Quiere probar Jaspersoft gratis durante 30 días para ver si cumple con sus requisitos de seguridad? Inscríbase hoy mismo.

Pruebe Jaspersoft gratis durante 30 días

Diseñe, integre y distribuya informes y paneles de control de forma eficiente y a gran escala con Jaspersoft.

Comenzar ahora

Recursos Relacionados

¡NUEVO!

Demostraciones mensuales en vivo con preguntas y respuestas

Organizadas por nuestros ingenieros de soluciones cada tercer miércoles en 3 regiones

Regístrate ahora

Acceso seguro simplificado: Implementación de la integración OAuth en JasperReports Server

Este seminario web muestra cómo JasperReports Server aprovecha la integración de OAuth 2.0 para reforzar tanto la seguridad como la experiencia del usuario, guiándole a través del proceso de configuración para permitir una autenticación y autorización seguras y sin problemas para sus usuarios.

 Seminario web a la carta (41:23)

Fortalezca sus datos: Dominio de los archivos de seguridad de dominio en JasperReports Server

Este seminario web ofrece una inmersión profunda en la gestión de archivos de seguridad de dominio en JasperReports Server, mostrando cómo definir reglas de acceso precisas a nivel de fila y columna que protejan la información sensible por usuario y función.

 Seminario web a la carta (49:26)

¿Le interesa probarlo?

Inicie ahora su prueba de 30 días.

Pruébelo ahora