viernes, 23 octubre 2020
Visitas totales a la web: 86116916

El portal de los profesionales de seguridad y emergencias

Nº 1 del mundo en español en seguridad global

Soluciones de seguridad global

Por si fallan tus medidas de seguridad

Juan Miguel Pulpillo

Vemos que el nuevo entorno tecnológico en el que se desenvuelve la actividad de las empresas se caracteriza por la dispersión de la información y el aumento de la superficie de exposición junto a la vulnerabilidad de las conexiones que son objeto de riesgos y ataques cada vez más sofisticados. Lo que hace imprescindible enfocar la seguridad desde el diseño en la descripción, configuración, mantenimiento y gestión de la infraestructura, de la información y los servicios para cumplir los requerimientos legales en materia de seguridad de la información.

En esta realidad, no hay una unanimidad en los objetivos de protección. Así, podemos diferenciar los sistemas de Tecnologías de la Información y los sistemas de Automatización y Control de los procesos de Producción, y dentro de cada uno de ellos, puede haber diferentes categorías de sistemas. Así, es fundamental considerar que los objetivos de protección en los sistemas de TI son evitar el acceso no autorizado o la pérdida o modificación de datos, es decir, las prioridades son confidencialidad, integridad y disponibilidad y por este orden, mientras que en el caso de los sistemas de producción, los objetivos de protección, en términos de prioridad, son disponibilidad, quedando como segunda y tercera prioridad la integridad y la confidencialidad, siempre por este orden, ya que la alteración del funcionamiento de uno o varios controladores podría afectar a los objetivos definidos, siendo en algunas ocasiones muy difícil su detección. Adicionalmente, y no como en el caso de los sistemas de TI, muchos de los procesos de producción funcionan en régimen continuo, por lo que fallos repentinos de sistemas que controlan los procesos de producción o en las redes de comunicación no son aceptables.

Para lograr el objetivo de seguridad de una red de un sistema es necesario realizar segmentaciones de la misma, con el objetivo de conseguir unidades de red más pequeñas y que será denominada como célula de seguridad, de acuerdo a sus funcionalidades, necesidades de acceso e interconexión y requerimientos de seguridad, teniendo en cuenta criterios como:

–              Criticidad de la información accesible en las distintas redes, aislando los servidores que alberguen información más crítica.

–              Red de origen, segregando en función de si la conexión se realiza desde una red interna, desde redes externas de uso privado o redes públicas.

–              Necesidades de comunicación e interrelación entre los distintos servicios.

–              Separación de los entornos de desarrollo, pruebas y producción.

–              Necesidades de administración de equipos y servicios, estableciendo siempre que sea posible una red separada para tal fin.

Los puntos de acceso, canales o interconexiones a la red deberán bloquear el tráfico no autorizado a otras células de seguridad, a las redes y a la visualización de procesos. Además, en el caso de sistemas de control, deberá permitirse el tráfico de información de la operación normal de los sistemas de control y visualización de procesos. Para ello es necesario designar células de seguridad y diseñar la red de forma que sea posible delimitar el área de responsabilidad. Esto significa que hay que asignar derechos administrativos y privilegios explícitos en cada célula de seguridad. La decisión de qué células de seguridad deben existir y qué diseños de red se deben implantar vendrá determinado por la importancia y el tamaño de la red, su división espacial, el riesgo asociado y en última instancia por el presupuesto disponible.

De este modo, la red empresarial se segmentaría en diferentes redes lógicas, como pueden ser la red de usuarios, la red de servidores, la red de administración, la red de control y la red de invitados.

Los derechos de acceso a cada red se deberían establecer bajo el criterio de mínimo privilegio, con reglas de acceso entre diferentes redes lógicas lo más restrictiva posible.

La red de invitados y la red de usuarios deberían considerarse redes no confiables respecto a otras redes internas de la empresa, por lo que se deberían establecer medidas técnicas de protección para limitar y controlar los accesos a otras redes consideradas como confiables (implantación de reglas de acceso a IP’s y puertos específicos, uso de comunicaciones seguras, etc.). Dichas medidas deberían estar formalmente aprobadas por la Empresa.

Pero, las células de seguridad no pueden estar aisladas sin perder su funcionalidad, por eso va a existir la necesidad de establecer algún tipo de comunicación entre las redes corporativas, y una solución aceptable es interponer entre ambas redes una red desmilitarizada, DMZ, para separar, mediante dos niveles de cortafuegos, las redes. El objetivo es aislar redes no confiables de redes confiables, como por ejemplo entre Internet y los servicios web corporativos, o entre la red corporativa y las redes de producción. Las reglas de acceso a través de las redes DMZ deberían ser, en la media de lo posible, lo más restrictivas posible (IP origen a IP destino, puerto origen a puerto destino y protocolo específico).

En las redes DMZ, únicamente deberían encontrarse los componentes de presentación de los servicios de información u otros servicios no críticos. Por lo tanto, nunca deberán exponerse directamente:

•             Componentes en los que resida información o datos de carácter confidencial, o que permitan acceder a esos datos sin controles adecuados de autenticación.

•             Componentes en los que resida la lógica de las aplicaciones que conforman los servicios de información.

Se debería, además, evitar la conexión directa desde las DMZ a servicios internos de directorio, gestión de usuarios y roles de acceso, siendo recomendable en estos casos el uso de repositorios intermedios para consulta con acceso de sólo lectura.

Por ello, se deberían proteger mediante cortafuegos todos los puntos de interconexión entre las redes que conforman los sistemas de cualquier empresa e Internet o cualquier otra red accesible al público. La configuración, por defecto, de estos cortafuegos debería denegar todas las conexiones y sólo permitir aquellas específicamente habilitadas. La modificación, implementación o eliminación de cualquier regla de cortafuegos debería requerir la aprobación de la empresa antes de su implantación, y debería quedar documentada.

Por otra parte, los servicios accesibles desde Internet y en particular los servicios web, se deberían proteger mediante cortafuegos de aplicaciones específicos contra ataques de red. El acceso desde Internet a dichos servicios se debería realizar mediante protocolos seguros (HTTPS, SFTP, etc.) mediante el empleo de certificados digitales emitidos por una entidad autorizada, que aumentan la seguridad respecto de las comunicaciones y la autenticidad del servicio.

Así que, por si te fallan tus medidas de seguridad, mejor segrega tus redes como medida de Gobierno de las TI y Compliance TI.

Fecha de publicaciónseptiembre 29, 2020

BELT.ES no se hace responsable de las opiniones de los artículos reproducidos en nuestra Revista de Prensa, ni hace necesariamente suyas las opiniones y criterios expresados. La difusión de la información reproducida se realiza sin fines comerciales. 

Listado de Expertos

Recomendado

Profesión militar: Obediencia debida frente a la obligación de disentir

Con ocasión de la realización de estudios en el Instituto Universitario Gutiérrez Mellado tuve la ocasión de leer y analizar una serie de documentos de opinión que trataban en profundidad las diferentes facetas presentes en el campo de las relaciones cívico-militares; temas que , habitualmente, no han estado presentes en los diferentes cursos y actividades formativas en la enseñanza militar, ni, por supuesto, en la civil.

El paracaidista español que humilló a los «temibles» espías soviéticos

Joaquín Madolell, natural de Melilla y militar del Ejército del Aire, desarticuló la mayor red del espionaje...

Mascarillas falsas llenan tiendas y farmacias: cómo saber si la tuya lo es y qué riesgo tienen

Higiénicas, quirúrgicas, FFP... Estos términos hace dos meses no nos sonaban de casi nada a la mayor parte de los ciudadanos, y menos si nos decían que esto tenía algo que ver con mascarillas.

Últimas noticias

El Ejército quiere descongestionar Madrid y llevar bases a la España vaciada

Los planes para trasladar un regimiento a Zamora y otro a Burgos o crear un gran centro logístico tropiezan con la falta de financiación.

El Día de las Fuerzas Armadas 2020, que finalmente tuvo que suspenderse debido a la pandemia de coronavirus, estaba previsto el pasado 30 de mayo en Huesca. El Ministerio de Defensa eligió esta ciudad para exhibir el éxito de una operación sin precedentes: el traslado del Cuartel General de la División Castillejos desde Madrid al Prepirineo aragonés.<

Pilar Mañas, primera jefa de unidad del Aire, en el 12-O: “En el Ejército no hay techos de cristal”

Comandante del Ejército del Aire: "Este 12 de octubre estaremos ahí con todo. Es el día de la Fiesta Nacional y estaremos apoyando...

7 requisitos para que una mascarilla proteja una jornada laboral de 8 horas

Según la guía de buenas prácticas en los centros de trabajo, publicada por el Ministerio de Sanidad, “no es imprescindible usar mascarilla...

Detienen en España a John McAfee, el excéntrico millonario pionero de los antivirus

John McAfee, el creador del famoso antivirus que lleva su apellido, fue arrestado este fin de semana en la ciudad de Barcelona,...

DIRECTRICES DE BUENAS PRÁCTICAS EN CENTROS LOGÍSTICOS Y ALMACENES

En este documento se recoge una selección no exhaustiva de recomendaciones y medidas de contención adecuadas para garantizar la protección de la salud de los trabajadores frente a la exposición al coronavirus SARS-CoV-2 en los centros logísticos y almacenes. Con carácter más general deben considerarse también las recomendaciones para la vuelta al trabajo recogidas en el documento “Buenas prácticas en los centros de trabajo.