Home > Chamilo, security, Spanish > La seguridad de los LMS

La seguridad de los LMS

La seguridad de los sistemas de gestión del aprendizaje (LMS) o de cursos virtuales, especialmente en el ámbito corporativo, es un tema crítico. De la misma manera que los documentos relativos a proyectos internos que representan una ventaja competitiva frente a sus competidores, el contenido de los cursos de capacitación de las empresas no pueden caer “en manos del enemigo”, y esto requiere de una protección adecuada de su plataforma e-learning.

Aspectos de la seguridad informática

Para entender los riesgos, es importante estructurarlos. La seguridad informática se puede dividir en 6 aspectos, que ilustramos y explicamos a continuación, en el contexto de una plataforma corporativa de aprendizaje.

Integridad / Validez

Imagínese que un curso esencial para todos los nuevos empleados esté sutilmente modificado. Por ejemplo que, en un curso de inducción que enseña los teléfonos de contacto de la mesa de ayuda técnica, estos números estén cambiados por números externos a la empresa. Imaginen el resultado al primer problema de credenciales para ingresar al sistema. Los nuevos empleados, en toda confianza, llamarán a los números indicados, posiblemente divulgando sus códigos de acceso a personas ajenas a la empresa.

La información contenida en sus cursos debe ser cuidada de tal manera que solo las personas autorizadas puedan modificar el contenido principal, de tal manera que la información no pueda ser alterada a fines destructivos.

Integridad / Persistencia

Que pasará si el servidor se quema, o si un pirata llega a borrar información de los cursos o de los alumnos?

La información tiene que resistir un posible ataque con objetivos de destrucción. Por eso, es imprescindible contar con una buena estrategia de backup, que permita recuperar información completa o parcial de días anteriores.

Visibilidad / Autorización

Que pasará si una persona inscrita en un curso de marketing se ve inscrita por error en un curso de seguridad informática, en el cual tendrá acceso a información de caracter confidencial, o a un curso de gestión en el cual tendrá acceso a información reservada a la gerencia? Que pasará si la difunde a los empleados de otros rubros de la empresa?

La información de los cursos tiene que ser visible solo para las personas que tengan una razón profesional por acceder a ella. El control de dichos permisos es esencial para evitar la difusión de secretos comerciales u otros problemas relacionados con estrategias confidenciales.

Accesos / Autenticación

Que pasará si una persona ajena a la empresa tiene acceso a la plataforma a través de la cuenta de un empleado, y navega entre los proyectos de investigación, y se hace pasar por un miembro del grupo?

Es imprescindible que uno pueda asegurar que las personas que acceden a la plataforma son quienes pretenden ser.

Disponibilidad / Resistencia

Que pasará si todo el sistema se cae como consecuencia de un ataque de piratas? Y si por alguna razón las protecciones simples se ven deshabilitadas por un momento?

Uno de los aspectos de seguridad poco considerados es la disponibilidad, o la resistencia a ataques del sistema LMS. Si bien es cierto que la indisponibilidad del sistema LMS raramente provoca problemas de seguridad en sí, es importante entender que, durante un ataque de fuerza bruta (cientos de computadoras generando consultas indebidas al sistema LMS), un sistema indisponible es más vulnerable a ataques de otros tipos (robo o destrucción de información). Es por ello que es importante asegurar que su sistema esté preparado, con las adecuadas medidas de prevención a nivel de red, de configuración del servidor y del aplicativo mismo, para que los posibles ataques sean prevenidos o mitigados.

Mantenimiento

Que pasará si una nueva falla se descubre en el sistema usado, y no existe el equipo especializado dentro de la organización para cubrir la brecha?

Cualquier sistema informático requiere de actualizaciones ocasionales para cubrir nuevas técnicas de hackeo. Si el personal interno de la empresa no tiene las competencias requeridas, será imprescindible contar con un servicio externo confiable para mantener el sistema en su mejor estado en términos de seguridad.

Chamilo

Chamilo LMS cuenta con mecanismos avanzados para mejorar la seguridad de su plataforma.

Información a los usuarios (autenticación)

Para una seguridad de alto nivel, es importante que todos los involucrados estén al tanto de los aspectos de la seguridad en los cuales tienen un rol activo. Las distintas herramientas de comunicación hacia los usuarios (anuncios globales y a nivel de curso, términos y condiciones a nivel global y de curso así como otros mecanismos) permiten una comunicación fluida que aumenta la participación de los usuarios en el asunto de la seguridad y transforma agentes peligrosos en agentes de seguridad que aumentarán el nivel general de confianza de la solución.

Isolación de permisos (validez)

En Chamilo, los usuarios tienen acceso a contenidos dentro de cursos, según su rol en el curso. Tutores de cursos pueden visualizar y modificar la visibilidad de los contenidos, pero no pueden editarlos. Finalmente, los alumnos pueden visualizar pero no editar el material. Una división clara por roles (sin posibilidad de definición granular) reduce los errores de configuración y de privilegios.

Nivel de complejidad de contraseñas (accesos)

En Chamilo LMS 1.9.8, encontrará un mecanismo para dar una evaluación al usuario del nivel de complejidad de su contraseña, de tal manera que piensa 2 veces antes de usar una de las 20 contraseñas más frecuentes en internet (empezando por 1234567).

CAPTCHA (accesos)

En Chamilo LMS 1.9.8, puede activar la opción de CAPTCHA, que evitará que piratas lleguen a usurpar la identidad de otros usuarios por ataques de tipo diccionario.

Actualizaciones de seguridad (mantenimiento)

Chamilo cuenta con un record de correcciones rápidas y eficientes. En varios años de historia del proyecto, no ha pasado más de 72h entre el descubrimiento de un error de seguridad y su corrección.

Mecanismos de autenticación (accesos)

Chamilo cuenta con mecanismos de autenticación seguros como OpenID, Facebook login y mecanismos extensibles (y otros no tan seguros) como LDAP, Shibboleth y CAS. Además, contando con un certificado SSL, se puede vincular de manera segura con Drupal y PrestaShop.

Cifrado de contraseñas (autenticación)

Chamilo LMS ofrece 3 tipos de cifrado de contraseñas, de los cuales SHA1 es el valor por defecto. De esta manera, un pirata robando la base de datos de usuarios no podrá (de una manera fácil) decifrar las contraseñas para usurpar la identidad de los usuarios.

Borrado de datos (persistencia)

Chamilo LMS no borra de inmediato los archivos eliminados. En su vez, los guarda (opción activada por defecto) con un nombre distinto en el disco, hasta que un proceso automatizado los borre unos días más tarde.

Acceso por curso (autorización)

El sistema ofrece funcionalidades de asignación de alumnos por cursos y de definición de clases (grupos de alumnos), de tal manera que los errores a nivel de administración se reduzcan notablemente. La limitación del acceso por periodos gracias a la noción de “sesiones” (ciclos) permite limitar los accesos en el tiempo, evitando que ex-empleados sigan teniendo acceso a contenidos confidenciales.

Alta disponibilidad (disponibilidad)

Aunque el sistema Chamilo mismo no cubra este requerimiento, los proveedores oficiales de Chamilo (como BeezNest) brindan servicios profesionales de configuración en clusters de alta disponibilidad y redimensionables, protegidos por firewalls y mecanismos de protección anti-DOS y DDOS.

Comunicación protegida (autenticación)

BeezNest ofrece, como parte de su servicio, la compra y configuración de certificados SSL para una comunicación segura (cifrada) entre los usuarios y el servidor. Así, no será posible para un posible espía capturar comunicaciones (y por ende nombres de usuarios, contraseñas, y otras informaciones confidenciales).

Además, mecanismos avanzados permiten el envío de mensajes como los credenciales de acceso por SMS o por correo cifrado por GPG o PGP.

Actualizaciones de seguridad (mantenimiento)

BeezNest se encarga de clientes en todo el mundo, y mantiene sus portales actualizados de tal manera que no tengan que lidiar con problemas de seguridad después de que ocurran (lo cual resultaría mucho más costoso). Además, BeezNest se asegura que los parches de seguridad sean publicados en las 72h luego de su registro oficial para así mantener la web siempre segura.

Conclusión

Esperamos este artículo le haya ayudado en entender los aspectos que merecen un cuidado especial en términos de seguridad para su plataforma e-learning.

BeezNest también cubre requerimientos especiales (conexión a nuevos sistemas, auditorías de seguridad de sistemas existentes, reconfiguración de servidores, etc).

En resumen, BeezNest se hace cargo de todas estas preguntas de seguridad para sus clientes, para que puedan tener tranquilidad y preocuparse exclusivamente de los aspectos de gestión del aprendizaje.

Si desea mayor información sobre los servicios de BeezNest, vea nuestra información de contacto en https://www.beeznest.com/

Si desea probar Chamilo, inicie una prueba de 15 días gratis de su propio portal Chamilo.

Nota

Este artículo se inspiró inicialmente de un artículo en inglés sobre la seguridad de LMSes, pero lo extiende mucho y aplica estos conceptos a Chamilo LMS (desarrollado mayormente por BeezNest), la solución de e-learning de software libre más segura en existencia en este momento.

  1. September 29, 2014 at 1:05 am

    Good artilce here is the Google translate version:

    The safety of LMS
    The security of learning management systems (LMS) or virtual courses, especially at the corporate level, is a critical issue. In the same way that the documents relating to internal projects that represent a competitive advantage over its competitors, the content of the training companies can not fall “into enemy hands” and this requires adequate protection of their e-learning platform.

    Aspects of computer security
    To understand the risks, it is important to structure. Computer security can be divided into six aspects that illustrate and explain below, in the context of a corporate learning platform.

    Integrity / Validity
    Imagine that a prerequisite for all new employees is subtly changed course. For example, in an introductory course that teaches the contact numbers of technical help desk, these numbers are changed by the company’s outside numbers. Imagine the result to the first issue credentials to login. New employees, in confidence, call the numbers listed, possibly disclosing your access codes to persons outside the company.

    The information in their courses must be maintained so that only authorized people can modify the main content, so that the information can not be altered to destructive ends.

    Integrity / Persistence
    What will happen if the server is burned, or if a pirate gets to erase information on the courses or students?

    The information has to resist a possible attack targets of destruction. Therefore, it is essential to have a good backup strategy for recovering complete or partial information from previous days.
    Visibility / Authorization

    What happens if a person enrolled in a marketing course is registered by mistake in a computer security course, which will have access to information of a confidential nature, or a management course in which you will have access to proprietary information to management ? What will happen if employees spread other areas of the company?

    The course information has to be visible only to persons with a professional reason to access it. The control of the permits is essential to prevent the spread of trade secrets or other confidential strategies related problems.
    Access / Authentication

    What will happen if a person outside the company has access to the platform through an employee’s account and browse among research projects, and passed by a group member?

    It is imperative that one can ensure that people accessing the platform is that maketh himself.

    Availability / Resistance
    What will happen if the whole system goes down as a result of an attack by pirates? And if for some reason the simple protections are disabled for a moment?

    One aspect of security is considered little availability, or resistance to attacks LMS system. While the unavailability of LMS rarely causes security problems itself, it is important to understand that for a brute force attack (hundreds of computers generating undue LMS queries), an unavailable system is more vulnerable to attacks other types (theft or destruction of information). That is why it is important to ensure that your system is prepared, with appropriate prevention measures at the network, server configuration and same application, so that potential attacks are prevented or mitigated.
    maintenance

    What will happen if a new fault is discovered in the system used, and no specialized equipment within the organization to fill the gap?

    Any computer system requires occasional updates to cover new hacking techniques. If the internal staff of the company does not have the appropriate skills will be essential to have a reliable external service to keep the system at its best in terms of safety.

    Chamilo
    Chamilo LMS has advanced mechanisms to enhance the security of its platform.
    Information for users (authentication)

    For a high-level security, it is important that all parties are aware of the safety issues in which they have an active role. The different tools for communicating with users (global announcements and course level, terms and conditions globally and course as well as other mechanisms) allow fluid communication increases user involvement in the issue of security agents and transforms dangerous security agents that will increase the overall level of confidence in the solution.

    S enclosure permits (valid)
    In Chamilo, users have access to content within courses by course role. Course tutors can view and modify the visibility of the content, but can not edit. Finally, students can view but not edit the material. A clear division of roles (no possibility of granular definition) reduces configuration errors and privileges.

    Password complexity level (access)
    In Chamilo LMS 1.9.8, you will find a mechanism for a user evaluation of the level of complexity of your password, so you think 2 times before using one of the 20 most common passwords on the internet (starting 1234567).

    CAPTCHA (access)
    In Chamilo LMS 1.9.8, you can activate the CAPTCHA, which will prevent hackers reach impersonate other users by dictionary attacks.
    Security Updates (maintenance)

    Chamilo has a record of fast and efficient corrections. In several years of project history, has not been more than 72 hours between the discovery of a security error and its correction.

    Authentication mechanisms (access)
    Chamilo has secure authentication mechanisms like OpenID, Facebook login and extensible mechanisms (and not so safe) as LDAP, Shibboleth and CAS. Furthermore, with an SSL certificate, you can connect securely with PrestaShop and Drupal.

    Encrypting passwords (authentication)
    Chamilo LMS offers 3 types of password encryption, which SHA1 is the default. Thus, a pirate stealing the database user can not (the easy way) decipher passwords to impersonate users.

    Deleting Data (continued)
    Chamilo LMS does not remove deleted files immediately. In turn, saves (enabled by default) with a different name on the disk until the automated process cleared a few days later.

    Access course (authorization)
    The system provides functionality for assigning students by class and definition of classes (groups of students), so that the management-level errors are reduced significantly. Limiting access for periods thanks to the notion of “session” (cycles) can limit access time, preventing former employees continue to have access to sensitive content.

    High availability (availability)
    Although the same system Chamilo not cover this requirement, the official suppliers of Chamilo (as BeezNest) provide professional services configuration and high-availability clusters resizable, protected by firewalls and protections anti-DOS and DDOS.

    Protected communication (authentication)
    BeezNest offers, as part of their service, purchasing and configuring SSL certificates for secure communication (encrypted) between users and the server. That will not be possible to capture a possible spy communications (and therefore user names, passwords, and other confidential information).

    In addition, advanced mechanisms allow sending messages as access credentials by SMS or email GPG or PGP encryption.

    Security Updates (maintenance)
    BeezNest handles customers worldwide, and maintains its updated so they do not have to deal with safety problems after they occur (which would be much more expensive) portals. Furthermore, BeezNest ensures that security patches are published in 72h after its official registration in order to keep the web safe always.
    conclusion

    We hope this article has helped you understand the aspects that deserve special care in terms of security for e-learning platform.

    BeezNest also covers special requirements (connection to new systems, security audits of existing systems, reconfiguration of servers, etc).

    In summary, BeezNest takes care of all these questions to your customers, so they can have peace of mind and worry only aspect of learning management.

    For more information on services BeezNest, see our contact information https://www.beeznest.com/

    To test Chamilo, start a free 15-day trial of their own portal Chamilo.

    Note

    This article was initially inspired by an article in English about the safety of LMSes, but extends far and applies these concepts to Chamilo LMS (developed mainly by BeezNest), the solution of e-learning software free safe available at this time .

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: