Seguridad perimetral en ITEP
Si le preguntas a un usuario ¿Te parece bien hacer negocios con una compañía que acaba de tener una falla de seguridad reciente?
La respuesta será NO
Esta es la razón por la que las organizaciones deberían estar preocupadas porque esto impacta de manera directa a su negocio y puede debilitar su marca y reputación en el mercado.
El cambio a una economía digital ha incrementado la dependencia de los negocios hacia las TI. El crecimiento exponencial de clientes accediendo al internet con dispositivos cada vez más nuevos y nuevos canales para acceder a los servicios de manera más rápida y económica, esto ha llevado a las empresas a ser más accesibles y confiables. Una manera de determinar si una empresa es «confiable» es cuando esta es conocida por la protección de sus datos y la seguridad que pone en estos.
Los ciber-criminales hoy en día manejan sus operaciones como un negocio por lo que se actualizan de manera constante tanto en herramienta como en conocimiento. Para ir un paso adelante de esto es que los departamentos de TI tambien necesitan mantenerse actualizados en la tecnología de seguridad. Por lo que se evoluciona del papel de detectar y remediar a un papel de prevenir y analizar.
Tradicionalmente, el perímetro de una empresa es protegido por un firewall hasta que estos son remplazados por UTM’s y en la actualidad por NGFW. En la actualidad el perímetro se ha ampliado debido a que se tienen equipos en la nube, dispositivos móviles, redes públicas y multiples accesos a la información, por lo que el perímetro cambio de uno físico a uno lógico.
Cuando se trata de asegurar el perímetro se deben de tener en consideración los siguientes puntos:
01
Definir «La Empresa»
Esto es definir todos los perímetros, la nube, datacenter, lan, WAN, VPN’s, accesos remotos, usuarios móviles, etc.
02
Definir puntos de entrada y salida
Basado en el análisis anterior, se debe definir los puntos de entrada y salida tanto físicos y lógicos de la información, su almacenado y manejo. De igual manera definir el ciclo de vida de la información de la empresa.
03
Analizar el flujo de tráfico de la red y sus puntos de acceso
Una vez que tus puertas de enlace se encuentran definidos, el siguiente paso es analizar la información a través de estos. Esto no solo necesita herramientas de análisis, sino conocimiento de lo que se está analizando para entender el contexto de los datos.
04
Entender el movimiento de los datos e información
Una vez analizado el contexto de la información se deben formular las siguientes preguntas. ¿Corro algún riesgo si mi información deja la organización? ¿Los datos que acceden a mi información podrían ser la entrada a un ataque?
05
Asegurar las entradas a la red
El siguiente paso es implementar controles estrictos de seguridad. Hay muchas soluciones disponibles en el mercado para cumplir este requerimiento: IPS, Antivirus, filtros web, etc.
06
Segmentación de la red
Una vez que el tráfico ha sido analizado, este necesita ser dirigido a una red segura o segmentada. La segmentación protege datos sensibles, puede aislar datos menos confiables, tales como IoT, extender la visibilidad de la seguridad en la red y provee a través de todo el camino de los datos.
07
Correlacionar con la inteligencia de amenazas
Dada la velocidad a la que las filtraciones y robo de información ocurren, es esencial que la infraestructura de seguridad desplegada sea capaz de compartir y correlacionar inteligencia de seguridad y cuando sea posible sincronizar una respuesta de manera automática.
08
Habilitar las alertas
El siguiente paso es habilitar las alertas. Estas alertas deben ser dirigidas a los administradores, dueños de servidores o del negocio, para que estos puedan visibilizar los problemas de manera rápida e iniciar la remediación o incluso mejor monitorear las respuestas de seguridad automatizadas.
09
Crear un plan de acción para las alertas de seguridad
Preparar y mantener a la mano el plan de remediación el cual pueda revisar responsabilidades, dar explicaciones, ser consultado en todo momento y se encuentre bien informado, todo esto en una matriz con tiempos de acción definidos para ser iniciado en todo momento.
10
Análisis forense
Una vez que el incidente identificado ha sido controlado, un análisis forense detallado necesita ser aplicado en el incidente. Esto hará que el equipo de seguridad identifique una posible vulnerabilidad en la infraestructura, junto con los dispositivos que pueden ser comprometidos y tomar acciones para prevenir futuros incidentes
11
Monitoreo y control continuo
Una vez el proceso ha sido establecido, los sistemas de seguridad deben ser monitoreados de manera continua, el reconocimiento de amenazas, las acciones correctivas que se toman y las estrategias de prevención implementadas.
12
Entrenamiento continuo
Un componente crítico de la estrategia de seguridad es la educación continua de los usuarios finales y administradores de los equipos para reducir los riesgos de seguridad, la cadena de seguridad se debe de proteger desde el eslabón más débil.
13
Creación de reportes
Un reporte efectivo hace posible un buen liderazgo de la organización para ver los resultados del equipo de seguridad de TI que hacen posible la correcta operación del negocio. Esta parte munchas veces pasa inadvertida y los lideres podrían innecesariamente recortar los costos del equipo de seguridad de TI.