viernes, 29 marzo 2024
Visitas totales a la web: 89521528

El portal de los profesionales de seguridad y emergencias

Nº 1 del mundo en español en seguridad global

Soluciones de seguridad global

Por si fallan tus medidas de seguridad

Juan Miguel Pulpillo

Vemos que el nuevo entorno tecnológico en el que se desenvuelve la actividad de las empresas se caracteriza por la dispersión de la información y el aumento de la superficie de exposición junto a la vulnerabilidad de las conexiones que son objeto de riesgos y ataques cada vez más sofisticados. Lo que hace imprescindible enfocar la seguridad desde el diseño en la descripción, configuración, mantenimiento y gestión de la infraestructura, de la información y los servicios para cumplir los requerimientos legales en materia de seguridad de la información.

En esta realidad, no hay una unanimidad en los objetivos de protección. Así, podemos diferenciar los sistemas de Tecnologías de la Información y los sistemas de Automatización y Control de los procesos de Producción, y dentro de cada uno de ellos, puede haber diferentes categorías de sistemas. Así, es fundamental considerar que los objetivos de protección en los sistemas de TI son evitar el acceso no autorizado o la pérdida o modificación de datos, es decir, las prioridades son confidencialidad, integridad y disponibilidad y por este orden, mientras que en el caso de los sistemas de producción, los objetivos de protección, en términos de prioridad, son disponibilidad, quedando como segunda y tercera prioridad la integridad y la confidencialidad, siempre por este orden, ya que la alteración del funcionamiento de uno o varios controladores podría afectar a los objetivos definidos, siendo en algunas ocasiones muy difícil su detección. Adicionalmente, y no como en el caso de los sistemas de TI, muchos de los procesos de producción funcionan en régimen continuo, por lo que fallos repentinos de sistemas que controlan los procesos de producción o en las redes de comunicación no son aceptables.

Para lograr el objetivo de seguridad de una red de un sistema es necesario realizar segmentaciones de la misma, con el objetivo de conseguir unidades de red más pequeñas y que será denominada como célula de seguridad, de acuerdo a sus funcionalidades, necesidades de acceso e interconexión y requerimientos de seguridad, teniendo en cuenta criterios como:

–              Criticidad de la información accesible en las distintas redes, aislando los servidores que alberguen información más crítica.

–              Red de origen, segregando en función de si la conexión se realiza desde una red interna, desde redes externas de uso privado o redes públicas.

–              Necesidades de comunicación e interrelación entre los distintos servicios.

–              Separación de los entornos de desarrollo, pruebas y producción.

–              Necesidades de administración de equipos y servicios, estableciendo siempre que sea posible una red separada para tal fin.

Los puntos de acceso, canales o interconexiones a la red deberán bloquear el tráfico no autorizado a otras células de seguridad, a las redes y a la visualización de procesos. Además, en el caso de sistemas de control, deberá permitirse el tráfico de información de la operación normal de los sistemas de control y visualización de procesos. Para ello es necesario designar células de seguridad y diseñar la red de forma que sea posible delimitar el área de responsabilidad. Esto significa que hay que asignar derechos administrativos y privilegios explícitos en cada célula de seguridad. La decisión de qué células de seguridad deben existir y qué diseños de red se deben implantar vendrá determinado por la importancia y el tamaño de la red, su división espacial, el riesgo asociado y en última instancia por el presupuesto disponible.

De este modo, la red empresarial se segmentaría en diferentes redes lógicas, como pueden ser la red de usuarios, la red de servidores, la red de administración, la red de control y la red de invitados.

Los derechos de acceso a cada red se deberían establecer bajo el criterio de mínimo privilegio, con reglas de acceso entre diferentes redes lógicas lo más restrictiva posible.

La red de invitados y la red de usuarios deberían considerarse redes no confiables respecto a otras redes internas de la empresa, por lo que se deberían establecer medidas técnicas de protección para limitar y controlar los accesos a otras redes consideradas como confiables (implantación de reglas de acceso a IP’s y puertos específicos, uso de comunicaciones seguras, etc.). Dichas medidas deberían estar formalmente aprobadas por la Empresa.

Pero, las células de seguridad no pueden estar aisladas sin perder su funcionalidad, por eso va a existir la necesidad de establecer algún tipo de comunicación entre las redes corporativas, y una solución aceptable es interponer entre ambas redes una red desmilitarizada, DMZ, para separar, mediante dos niveles de cortafuegos, las redes. El objetivo es aislar redes no confiables de redes confiables, como por ejemplo entre Internet y los servicios web corporativos, o entre la red corporativa y las redes de producción. Las reglas de acceso a través de las redes DMZ deberían ser, en la media de lo posible, lo más restrictivas posible (IP origen a IP destino, puerto origen a puerto destino y protocolo específico).

En las redes DMZ, únicamente deberían encontrarse los componentes de presentación de los servicios de información u otros servicios no críticos. Por lo tanto, nunca deberán exponerse directamente:

•             Componentes en los que resida información o datos de carácter confidencial, o que permitan acceder a esos datos sin controles adecuados de autenticación.

•             Componentes en los que resida la lógica de las aplicaciones que conforman los servicios de información.

Se debería, además, evitar la conexión directa desde las DMZ a servicios internos de directorio, gestión de usuarios y roles de acceso, siendo recomendable en estos casos el uso de repositorios intermedios para consulta con acceso de sólo lectura.

Por ello, se deberían proteger mediante cortafuegos todos los puntos de interconexión entre las redes que conforman los sistemas de cualquier empresa e Internet o cualquier otra red accesible al público. La configuración, por defecto, de estos cortafuegos debería denegar todas las conexiones y sólo permitir aquellas específicamente habilitadas. La modificación, implementación o eliminación de cualquier regla de cortafuegos debería requerir la aprobación de la empresa antes de su implantación, y debería quedar documentada.

Por otra parte, los servicios accesibles desde Internet y en particular los servicios web, se deberían proteger mediante cortafuegos de aplicaciones específicos contra ataques de red. El acceso desde Internet a dichos servicios se debería realizar mediante protocolos seguros (HTTPS, SFTP, etc.) mediante el empleo de certificados digitales emitidos por una entidad autorizada, que aumentan la seguridad respecto de las comunicaciones y la autenticidad del servicio.

Así que, por si te fallan tus medidas de seguridad, mejor segrega tus redes como medida de Gobierno de las TI y Compliance TI.

Fecha de publicaciónseptiembre 29, 2020

BELT.ES no se hace responsable de las opiniones de los artículos reproducidos en nuestra Revista de Prensa, ni hace necesariamente suyas las opiniones y criterios expresados. La difusión de la información reproducida se realiza sin fines comerciales. 

Listado de Expertos

Recomendado

Profesión militar: Obediencia debida frente a la obligación de disentir

Con ocasión de la realización de estudios en el Instituto Universitario Gutiérrez Mellado tuve la ocasión de leer y analizar una serie de documentos de opinión que trataban en profundidad las diferentes facetas presentes en el campo de las relaciones cívico-militares; temas que , habitualmente, no han estado presentes en los diferentes cursos y actividades formativas en la enseñanza militar, ni, por supuesto, en la civil.

El amor de Macarena Olona por la Guardia Civil empieza por su pareja, un joven oficial condecorado

El padre de su hijo llegó a la Benemérita como militar de carrera y, los que le...

La artillería ‘made in USA’ comprada por Marruecos que deja fuera de juego a España

El país magrebí sigue reforzando sus fuerzas armadas a golpe de talonario, y no lo hace de...

Últimas noticias

La empresa privada que investiga el incendio de Valencia avisa sobre los peligros de las fachadas ventiladas

Se trata de Synthesis, la misma que indagó sobre el colapso de la Torre Windsor de Madrid,...

Lecciones del incendio de Valencia

El reciente incendio del edificio de Valencia ha hecho que se ponga el foco de atención en este tipo de riesgos, y en las medidas preventivas y reactivas para la protección frente a ellos.

El país más bello y triste jamás inventado

David Jiménez retrata el mundo de los reporteros en la novela 'El Corresponsal', inspirada en hechos reales y ambientada en el totalitarismo...

¿Sabes cuáles son las diferencias entre la Guardia Civil de la Policía Nacional?

Ambos cuerpos se dedican -en esencia- a velar por la protección de los ciudadanos. Sin embargo, cada uno de ellos tiene unas...

No volverás a hinchar las ruedas en la gasolinera: el milagro de Amazon para tener tu coche a punto

Salir de viaje en coche, implica que nos aseguremos que nuestro vehículo está en perfectas condiciones, incluso si...