Seguridad en las redes empresariales: consejos para una correcta protección
Proteger adecuadamente las redes empresariales requiere de una estrategia de seguridad que tenga en cuenta las necesidades del negocio y el manejo del riesgo, y herramientas que ayuden a cumplir esa estrategia de forma óptima.
Existe consenso de que la ciberdelincuencia ha ido creciendo de manera veloz en los últimos años. Ninguna empresa, independientemente de su rubro o tamaño, puede sentirse inmune al actuar de los criminales cibernéticos, que cada día perfeccionan sus métodos para lograr mayores beneficios económicos.
En este complejo escenario, resulta de vital importancia que cada empresa posea políticas y procedimientos claros y actualizados respecto de cómo prevenir y mitigar el robo de información, que es hoy el principal activo de las compañías.
“Cuando nos reunimos con los CIO de las compañías, nos cuentan acerca de su preocupación por dar cumplimiento a los lineamientos que día a día piden los entes regulatorios locales con respecto a la seguridad de datos y activos digitales, así como de lo difícil que les resulta lograr visibilidad sobre sus activos de información, contratar personal dedicado para la gestión de seguridad y, sobre todo, el temor ante la amenaza constante de sufrir un ataque y no poder reaccionar a tiempo”, cuenta Marcos Gutiérrez Acevedo, asesor en ciberseguridad de Sonda.
Gutiérrez indica que han observado cómo los requerimientos de servicios de administración de seguridad han aumentado en los últimos años, con alcances que van desde la gestión de dispositivos, monitoreo/correlación de eventos, respuesta a incidentes, hasta la gestión completa de la ciberseguridad bajo el marco de trabajo del “Cybersecurity Framework” del National Institute of Standards & Technology (NIST), del Departamento de Comercio de los Estados Unidos.
“A nivel operativo, la gestión de seguridad y respuesta a incidentes debe funcionar en régimen 7x24x365, mientras que, a nivel tecnológico, las redes definidas por software, microsegmentación, orquestación y consolidación de consolas se han posicionado tanto por la capacidad de escalabilidad, como por sus controles de acceso y visibilidad de lo que ocurre en la red”, explica el ejecutivo.
Para Carlos Castañeda, M. PhD y experto en seguridad digital de Unisys, con la velocidad de la transformación digital, la seguridad digital se ha convertido en la principal preocupación de los gobiernos y empresas. “Actualmente, la visión de la gestión de la ciberseguridad es diferente y está orientada principalmente a la valoración del riesgo, su mitigación y la resiliencia. Herramientas que estén alineadas con esta visión son las indicadas. Herramientas como la microsegmentación, analítica avanzada e inteligencia artificial son los principales mecanismos para la mitigación de los nuevos tipos de ataques de los ciberdelincuentes”, sostiene.
La automatización requiere un mejor control de acceso
Los expertos señalan que hoy en día existe una tendencia hacia la automatización de las redes, tanto a nivel de centro de datos (SDN), acceso (SDA) y WAN (SDWAN). Esta automatización permite gestionar de manera centralizada el provisionamiento y gestión de cambios que hasta ahora se había realizado de manera manual y con mucha demora por parte de los equipos de trabajo de las áreas de redes. La gran ventaja es que, a partir de esta automatización, se puede lograr un anhelo que durante mucho tiempo buscaron las áreas de seguridad: la microsegmentación, que consiste en eliminar los modelos de redes planas donde existía acceso ilimitado a la red, sin controles que limitaran el acceso en función de privilegios previamente establecidos basados en roles de negocio.
En este sentido, Carlos Tondreau, gerente de seguridad de cliente en Dimension Data, afirma que Forrester acuñó un modelo de seguridad que bautizó como “zero trust” o confianza cero, donde el acceso a los recursos solo se concibe bajo la autorización granular de ellos. Detrás de este modelo, podemos imaginar una matriz extensa de usuarios versus privilegios de acceso, en el cual cada recurso se autoriza únicamente a aquellos usuarios que por razones de negocio necesiten utilizarlo.
Para que este modelo sea factible y tenga una fácil adaptabilidad a las necesidades del negocio, se requiere una orquestación centralizada de la red a nivel del control de acceso. Tondreau manifiesta que la industria está implementando exitosamente soluciones de NAC que incluyen esta capacidad de gestión central en ambientes dinámicos.
Para proteger las redes empresariales se requiere estrategia
Al dar consejos o recomendaciones para la protección correcta de las redes en las compañías, es fundamental tener claro que la tecnología por sí sola no es la solución. La clave pasa por combinar las nuevas herramientas informáticas con la definición de políticas, procesos y modelos de mitigación que aborden el tema de la seguridad de manera integral.
En esa línea, Jonathan Namuncura, analista de IDC, dice que, cuando se habla de administración y gestión, una de las variables más importantes es la centralización: “Es importante tener en cuenta la transversalidad de la seguridad en las compañías actuales. Por lo tanto, es clave tener una definición estratégica al respecto, así como un encargado y un presupuesto asignado”.
Complementando esta idea, Castañeda de Unisys afirma que hoy existen cientos de herramientas de seguridad, y los CIO tienen un gran desafío para alinear éstas alrededor de un marco de mitigación del riesgo. “La mejor manera es poder utilizar metodologías que permitan evaluar rápida y fácilmente el posible impacto financiero de la ocurrencia de una brecha de seguridad. Estos modelos facilitan a las organizaciones alinear las iniciativas de seguridad a la estrategia del negocio”, dice.
Una de estas herramientas es el sistema de control de acceso a la red o NAC basado en la identidad de los usuarios, que Tondreau de Dimension Data recomienda implementar como parte de una estrategia de confianza cero, así como segmentar la red mediante un mecanismo de SDAccess. “En una segunda fase de despliegue, se recomienda la verificación de postura de seguridad directamente en los dispositivos, para validar que cumplen previamente con los requisitos de seguridad definidos por la organización, tales como antivirus actualizado, parches de seguridad, configuración de expiración de contraseñas, etc. Del mismo modo, es urgente considerar controles contra amenazas avanzadas en base a comportamiento y sandboxing, puesto que los ataques han evolucionado exitosamente en su polimorfismo y las herramientas basadas solo en firmas no son suficientes para responder de manera proactiva frente a las mutaciones, como es el caso del ransomware”, explica.
El ejecutivo agrega que, a nivel de sucursales u oficinas remotas, se debe considerar la alternativa de conectividad mediante Secure SD-WAN, con el fin de llevar la política de seguridad desde el centro de datos hasta las sucursales, al mismo tiempo que se automatiza la gestión de conectividad de toda la WAN mediante un controlador central.
A juicio de César Pallavicini, gerente general de Pallavicini Consultores, en el contexto actual de la seguridad de la información, “idealmente las empresas deben hacer la gestión desde la gobernanza, con directrices desde el directorio. De esta forma, se puede aplicar políticas y normas basadas en estándares internacionales (ISO 27001). En estos tiempos en que estamos expuestos a ciberataques, es clave considerar la norma ISO 27032, que entrega las mejores prácticas de ciberseguridad”.
El ejecutivo también recomienda a las empresas iniciar un sistema de gestión de seguridad de la información sesionando con un comité de seguridad, formado por los gerentes de área y gerente general, el cual debe incorporar la función o rol del CISO u OSI (Oficial de Seguridad de la Información).
Continuidad y capacitación, puntos importantes
Las estrategias de seguridad de red no deben descuidar el enfoque hacia la continuidad del negocio y la rápida respuesta a incidentes. Gutiérrez de Sonda explica que muchos incidentes ocurren debido a la explotación de vulnerabilidades comunes, como la ausencia de parches de seguridad o el uso de tecnologías obsoletas.
“Por eso, las organizaciones deberían pensar en cerrar ese tipo de brechas, no solo de manera puntual, sino a través de un programa de ciberseguridad que cubra todo el negocio para identificar, proteger, detectar, responder y recuperar el negocio ante incidentes. Estos programas de ciberseguridad se pueden realizar bajo modelos insourcing, outsourcing o híbridos. Dadas las limitaciones en los recursos calificados para gestionar la ciberseguridad, los modelos de outsourcing e híbridos son los más recomendables para lograr operaciones 7x24x365 con el cumplimiento de los acuerdos de nivel de servicio”, destaca.
El experto concluye que la capacitación del recurso humano es muy importante para lograr una cultura de riesgo y seguridad, y conseguir que la ciberseguridad esté integrada en la cultura corporativa y sea vista como responsabilidad de todos los miembros de la organización, convirtiendo así a los empleados en la primera línea de defensa del negocio.
“Un buen plan de educación en los temas de gestión de riesgos y ciberseguridad en todos los niveles de la organización” es fundamental, concuerda Pallavicini.