La ciberseguridad, una prioridad para el software ThermoHuman
El compromiso con nuestros clientes y con la mejora continua promovidos por nuestra política de calidad, nos ha impulsado a someternos a una auditoría de ciberseguridad voluntaria cuyos resultados han certificado que disponemos de un alto nivel de protección frente a ataques maliciosos a los datos de nuestros clientes. Esto nos permite seguir manteniéndonos a la vanguardia en ciberseguridad y transformación digital.
Los incidentes de seguridad en aplicaciones como la nuestra están creciendo muy rápidamente, tanto en número como en efectividad, por ello la ciberseguridad es una obligación.
En ThermoHuman damos mucha importancia a la ciberseguridad como parte fundamental de nuestra tecnología y de nuestros productos y servicios. El uso de la tecnología cloud-computing tiene beneficios, pero a nivel general existe una falta de conciencia sobre la importancia de las vulnerabilidades que provoca la rapidez en la transformación digital; vulnerabilidades que suelen ser difíciles de reconocer e interceptar, ya que abarcan un perímetro mas allá de lo tecnológico. Es necesario por tanto verificar, monitorear y asegurar el sistema, abarcando aspectos más allá de los tecnológicos.
Además, ThermoHuman tiene implantado un Sistema de Calidad sujeto al estándar EN-ISO 13485:2016, que considera el compromiso con la mejora continua un punto fundamental de su Política de Calidad, lo cual lo cual derivó en el año 2021 en la obtención de nuestro certificado CE como producto sanitario.
Como parte de este compromiso y junto con nuestra política de privacidad, nos esforzamos a diario por mejorar la calidad de nuestros servicios así como la seguridad e integridad de los datos proporcionados por nuestros clientes. Para ello, abordamos el tema de la ciberseguridad desde todas sus vertientes: infraestructura, personas y cultura corporativa.
Infraestructura
ThermoHuman es una aplicación viva y con un volumen de datos en constante crecimiento que se basa en la interconectividad y los servicios multiplataforma, por lo que estamos obligados a aplicar las soluciones más efectivas para la protección de los datos que contiene. Para ello, hemos adoptado arquitecturas de ciberseguridad similares a la “confianza cero”, que incluyen la gestión de accesos e identidades para reducir al mínimo el riesgo de accesos no autorizados a recursos o datos sensibles.
Garantizamos la disponibilidad de los datos mediante una política de copias de seguridad y recuperación rápida de los mismos frente a fallos o interrupciones inesperadas de los servicios, ofreciendo una red de seguridad óptima para la continuidad de nuestro software y para su protección frente a las nuevas amenazas que puedan ir surgiendo.
Toda nuestra infraestructura se encuentra alojada en Azure, proveedor que cumple con nuestras exigencias al tener un altísimo nivel de compromiso con la seguridad y el uso de componentes en permanente actualización.
Personas
Dentro de la Política de seguridad de la Información que estamos implantando se ha incluido un plan de formación para que nuestros empleados aprendan a preservar la seguridad de sus contraseñas y credenciales, ya que consideramos que esto juega un papel fundamental para su protección. A menudo, el factor humano es el eslabón más débil de la estrategia de ciberseguridad de una organización, y sumado al cada vez mayor número de intentos de ataques externos puede provocar que incluso una mínima interrupción del funcionamiento del perímetro de seguridad cause daños muy importantes.
Desde esta perspectiva, también contamos con el incesante trabajo de nuestro equipo de ingenieros que, en su labor de actualización, mantenimiento y desarrollo del software, trabajan siguiendo los estándares de calidad que exigen las normas EN-ISO 13485:2016, EN-ISO 14971:2020, EN-ISO 15223-1:2017, EN-ISO 62304: 2007, EN-ISO 62366-1:2015
Cultura corporativa
Nuestra Política de Calidad nos obliga a monitorizar y neutralizar constantemente las potenciales amenazas que impidan proveer el mejor servicio a nuestros clientes. En este sentido,ThermoHuman se ha sometido voluntariamente a un procedimiento de evaluación de vulnerabilidades y pruebas de penetración, cuyo propósito es identificar y priorizar posibles vulnerabilidades de seguridad e intentar explotarlas para obtener acceso no autorizado a la aplicación o a la información que contiene.
Nuestra idea se basa en el cambio de perspectiva, es decir, ponernos del lado del «hacker”. Para lograr sus objetivos, el «hacker” busca el método más eficiente, a veces explotando fallos en la infraestructura y otras veces explotando el error humano. Por ello, hemos basado nuestro análisis en las siguiente metodologías:
- BlackBox es una metodología en la que el «hacker» no dispone de detalles particulares o credenciales de acceso sobre el sistema que está siendo atacado. El objetivo de la prueba es simular un ataque desde el punto de vista de un atacante real.
- GreyBox es una metodología en la que el «hacker» sí conoce detalles básicos sobre el uso de la aplicación y de credenciales para acceder al sistema que se está probando.
Se obtuvieron los siguientes resultados:
- Desde el punto de vista BlackBox, la aplicación no mostró vulnerabilidades críticas.
- Desde el punto de vista GreyBox, se vio que la aplicación era vulnerable a varios tipos de ataques, que se han informado con un impacto reducido.
- Por último, también se ha informado de algunos errores de configuración menores.
Durante los últimos meses se ha trabajado para solucionar todas las vulnerabilidades y errores encontrados por lo que actualmente se puede afirmar que ThermoHuman se ha convertido en una aplicación mucho más segura.
Conclusión sobre ciberseguridad
La ciberseguridad es una de nuestras principales prioridades como creadores y desarrolladores de software.
Evaluamos nuestro sistema de manera constante para evitar el riesgo de ataques maliciosos que puedan comprometer la integridad y seguridad de los datos de nuestros clientes y para comprender todo aquello que podría estar funcionando mal. En base a los resultados, creamos actualizaciones e implementamos todas las mejoras necesarias.
De esta manera nos aseguramos de que nuestro sistema sea cada vez más seguro y de que proporcione a nuestros clientes un uso responsable, ético y funcional.
ThermoHuman ha contado con el apoyo de los Fondos de la Unión Europea y de la Comunidad de Madrid a través del Programa Operativo de Empleo Juvenil. De igual manera ha participado en el Programa de Iniciación a la Exportación ICEX Next, contando con el apoyo de ICEX y con la cofinanciación del fondo europeo FEDER. 
