La seguridad de los datos está en boca de todos estos días y la protección de datos sensibles merece una atención especial, sobre todo en el espacio digital. Para SeaTable, un alto nivel de protección y seguridad de los datos es algo más que una frase vacía, es un elemento esencial detrás de la idea fundacional de la empresa, incluso se podría decir que forma parte del ADN de la empresa. Los fundadores reconocieron pronto una necesidad, ya que cada vez más empresas e instituciones europeas buscan alternativas europeas a los grandes proveedores estadounidenses. Por este motivo, todos los datos de la solución en la nube se almacenan sistemáticamente en servidores alemanes pertenecientes a una empresa suiza certificada. Otras medidas de seguridad son el cifrado HTTPS, la gestión segura de cookies, la validación de entradas y el principio de autorizaciones mínimas, que garantiza que cada usuario sólo reciba los derechos de acceso necesarios.
Tan sencillo como una hoja de cálculo con la potencia de una base de datos
SeaTable es la innovadora solución sin código para la gestión eficiente de datos con un creador de aplicaciones fácil de usar. Esto permite a cualquier persona crear soluciones digitales para sus necesidades individuales, incluso sin conocimientos de programación. Con SeaTable, las empresas pueden impulsar la innovación y la transformación digitales al tiempo que garantizan un alto nivel de protección y seguridad de los datos.
Pentest confirma una buena protección contra los ciberataques
En el primer semestre de 2024, los ciberataques a empresas aumentaron un 40 % en comparación con el mismo periodo de 2023 en la región DACH. Para estar a la altura de las amenazas digitales en constante crecimiento, las empresas deben ir siempre un paso por delante de los posibles ataques de hackers. Por este motivo, SeaTable 2024 encargó a SRC Security Research & Consulting GmbH la realización de una prueba de penetración para identificar y evaluar posibles vulnerabilidades. Durante el pentest, que duró varias semanas, no se detectaron riesgos elevados. El nivel de seguridad de SeaTable se calificó de "bueno".
Como siguiente paso, SeaTable GmH aspira a obtenerla "Certificación de seguridad acelerada" (BSZ) de la Oficina Federal Alemana de Seguridad de la Información (BSI) en el segundo semestre de 2025. Ralf Dyllick-Brenzinger, CEO de SeaTable GmbH, habla en una entrevista sobre el resultado y los planes de futuro de la empresa.
Ralf Dyllick-Brenzinger, Director General de SeaTable GmbH
La protección de datos y la seguridad informática son temas importantes para SeaTable. Cómo garantizan un alto nivel de protección de datos con su solución en la nube?
RDB: Nuestros servidores se encuentran exclusivamente en Alemania. Trabajamos con el proveedor suizo Exoscale. Por lo tanto, los usuarios de nuestra solución en la nube pueden estar seguros de que sus datos se almacenan y procesan de acuerdo con la normativa de protección de datos. Si esto no es suficiente para usted, puede cambiar a la versión on-premises y alojar SeaTable usted mismo. Para verificar de forma independiente la seguridad de nuestra solución en la nube, este año hemos encargado un pentest.
SeaTable existe desde 2020, ¿por qué sólo se ha realizado el pentest ahora?
RDB: Nuestra empresa y nuestro software no han dejado de crecer en los últimos años, con más de 150.000 usuarios en más de 50 países, y, por supuesto, las exigencias a nuestro entorno de seguridad informática han crecido con él. Ahora también nos encontramos ante un hito importante. Cada vez más grandes empresas y organismos públicos se interesan por nuestra oferta y queremos expandirnos internacionalmente. El pentest nos ayuda a reconocer y eliminar activamente los posibles puntos débiles, un requisito importante para la certificación BSI a la que aspiramos, y también es una señal para nuestros clientes actuales y potenciales de que su confianza en nosotros está justificada.
También existen en el mercado algunos escáneres de seguridad que comprueban la seguridad del software y que a veces son gratuitos. ¿Por qué no era una opción?
RDB: La seguridad de los datos de nuestros clientes es nuestra máxima prioridad y, sin duda, queríamos un peritaje fiable. Las herramientas disponibles actualmente ofrecen una cierta ayuda y nosotros también las utilizamos. Sin embargo, la mayoría de los escáneres no son suficientes para una verdadera evaluación de la seguridad. Se basan en técnicas estandarizadas, pero no comprenden la lógica de los procesos complejos, por ejemplo, cuando la creación de una cuenta requiere una autenticación de dos factores. Los pentesters humanos todavía tienen que considerar cómo se pueden llevar a cabo otros pasos posteriores, realmente protegidos, utilizando medidas específicas. Y cuando una herramienta automatizada identifica vulnerabilidades, suele evaluar la peligrosidad de la vulnerabilidad para cada descubrimiento por separado. Los pentesters, por su parte, también pueden evaluar si varias vulnerabilidades de poca importancia combinadas conducen a un alto riesgo de seguridad.
¿Cómo se realizó exactamente el PenTest?
RDB: Se probó la versión 5.0 de SeaTable. El sistema fue instalado por nosotros siguiendo las instrucciones oficiales. La configuración de seguridad era equivalente a la de nuestro sistema en la nube. La atención se centró en la seguridad de la API y la aplicación web. Hablamos de antemano con SRC Security sobre los objetivos de la prueba y acordamos simular un ciberataque con información privilegiada, el denominado enfoque de caja gris. El atacante dispone de información limitada sobre el sistema.
¿Cuál fue el resultado?
RDB: El resultado fue incluso mejor de lo que esperábamos. Habíamos trabajado continuamente en el pasado para proteger nuestro sistema de ciberataques y habíamos logrado un alto nivel de protección, pero esperábamos que los pentesters siguieran reconociendo vulnerabilidades. El resultado fue que se detectaron dos vulnerabilidades, pero ninguna de alto riesgo. Ambas vulnerabilidades se eliminarán con una de las próximas actualizaciones.
Ha mencionado la certificación de BSI. ¿Qué ocurre ahora?
RDB: SRC Security basa sus pentests en el "Concepto de aplicación para pruebas de penetración" de la Oficina Federal Alemana de Seguridad de la Información (BSI). Al haber superado con éxito la prueba, estamos bien preparados para solicitar la certificación BSI el año que viene y que se confirme oficialmente la seguridad de nuestro software. Las instituciones gubernamentales y muchas grandes empresas conceden gran importancia a esta certificación o incluso la esperan. Por tanto, es una importante ventaja competitiva, también a escala internacional, ya que la certificación BSI está reconocida en Francia, Gran Bretaña, Canadá, España, Israel y Turquía, entre otros países.
SeaTable fue desarrollada por una empresa china cuyos propietarios también tienen una participación en su empresa. Hoy en día, las conexiones chinas son vistas con ojos críticos, especialmente cuando se trata de la protección de datos sensibles y propiedad intelectual. ¿Cómo afronta esta situación?
RDB: Nuestra asociación con Seafile Ltd, la empresa que desarrolla SeaTable, no es ningún secreto y puede consultarse en nuestro sitio web. También lo comunicamos de forma proactiva cuando hablamos con los clientes. Conocemos a nuestros socios desde hace varios años y hemos establecido una relación de confianza. Pero, como ya he dicho, nos tomamos muy en serio la protección de los datos de nuestros clientes. La administración de nuestro servicio en la nube corre a cargo exclusivamente de nuestros administradores europeos. Seafile Ltd. y sus empleados no tienen acceso al sistema. No transferimos ningún dato fuera de Europa y mucho menos a China. Este no es el caso de un servicio estadounidense. Y si todavía le preocupa, puede alojar fácilmente SeaTable en sus propios servidores.
Conclusión:
El ciberataque simulado confirmó que SeaTable es una aplicación con un alto nivel de seguridad. Los casos de uso específicos son casi ilimitados, ya sea como rastreador de errores, hoja de ruta de TI o sistema de tickets. Pruébelo sin compromiso y regístrese gratuitamente.
"*"indica que los campos son obligatorios
