jueves, 01 de octubre de 2020

Por si fallan tus medidas de seguridad, mejor segrega tus redes como medida de gobierno de las TI

  • Escrito por Juan Miguel Pulpillo, Director LEGAL - iTC y Certificado Abogado Auditor de Entornos Tecnológicos ICAB I CDPE ISACA I Certificado GRC TÜV NORD I Certificado Instructor Directiva (UE) 2019/1937 y Compliance ASPERTIC
Es conveniente segmentar la red corporativa en varias redes lógicas Es conveniente segmentar la red corporativa en varias redes lógicas

Vemos que el nuevo entorno tecnológico en el que se desenvuelve la actividad de las empresas se caracteriza por la dispersión de la información y el aumento de la superficie de exposición junto a la vulnerabilidad de las conexiones que son objeto de riesgos y ataques cada vez más sofisticados. Lo que hace imprescindible enfocar la seguridad desde el diseño en la descripción, configuración, mantenimiento y gestión de la infraestructura, de la información y los servicios para cumplir los requerimientos legales en materia de seguridad de la información.

En esta realidad, no hay una unanimidad en los objetivos de protección. Así, podemos diferenciar los sistemas de Tecnologías de la Información y los sistemas de Automatización y Control de los procesos de Producción, y dentro de cada uno de ellos, puede haber diferentes categorías de sistemas. Es fundamental considerar que los objetivos de protección en los sistemas de TI son evitar el acceso no autorizado o la pérdida o modificación de datos, es decir, las prioridades son confidencialidad, integridad y disponibilidad y por este orden, mientras que en el caso de los sistemas de producción, los objetivos de protección, en términos de prioridad, son disponibilidad, quedando como segunda y tercera prioridad la integridad y la confidencialidad, siempre por este orden, ya que la alteración del funcionamiento de uno o varios controladores podría afectar a los objetivos definidos, siendo en algunas ocasiones muy difícil su detección.

Adicionalmente, y no como en el caso de los sistemas de TI, muchos de los procesos de producción funcionan en régimen continuo, por lo que fallos repentinos de sistemas que controlan los procesos de producción o en las redes de comunicación no son aceptables.

Para lograr el objetivo de seguridad de una red de un sistema es necesario realizar segmentaciones de ésta, con el objetivo de conseguir unidades de red más pequeñas y que será denominada como célula de seguridad, de acuerdo a sus funcionalidades, necesidades de acceso e interconexión y requerimientos de seguridad, teniendo en cuenta criterios como:

Criticidad de la información accesible en las distintas redes, aislando los servidores que alberguen información más crítica.
Red de origen, segregando en función de si la conexión se realiza desde una red interna, desde redes externas de uso privado o redes públicas.
Necesidades de comunicación e interrelación entre los distintos servicios.
Separación de los entornos de desarrollo, pruebas y producción.
Necesidades de administración de equipos y servicios, estableciendo siempre que sea posible una red separada para tal fin.

Los puntos de acceso, canales o interconexiones a la red deberán bloquear el tráfico no autorizado a otras células de seguridad, a las redes y a la visualización de procesos. Además, en el caso de sistemas de control, deberá permitirse el tráfico de información de la operación normal de los sistemas de control y visualización de procesos. Para ello es necesario designar células de seguridad y diseñar la red de forma que sea posible delimitar el área de responsabilidad.

Esto significa que hay que asignar derechos administrativos y privilegios explícitos en cada célula de seguridad. La decisión de qué células de seguridad deben existir y qué diseños de red se deben implantar vendrá determinado por la importancia y el tamaño de la red, su división espacial, el riesgo asociado y, en última instancia, por el presupuesto disponible.

De este modo, la red empresarial se segmentaría en diferentes redes lógicas, como pueden ser la red de usuarios, la red de servidores, la red de administración, la red de control y la red de invitados. Los derechos de acceso a cada red se deberían establecer bajo el criterio de mínimo privilegio, con reglas de acceso entre diferentes redes lógicas lo más restrictiva posible.

Una buena política de seguridad debe contemplar la segmentación de la red empresarial en varias redes lógicas estableciendo de forma clara los derechos de acceso

La red de invitados y la red de usuarios deberían considerarse redes no confiables respecto a otras redes internas de la empresa, por lo que se deberían establecer medidas técnicas de protección para limitar y controlar los accesos a otras redes consideradas como confiables (implantación de reglas de acceso a IP's y puertos específicos, uso de comunicaciones seguras, etc.). Dichas medidas deberían estar formalmente aprobadas por la empresa.

Pero, las células de seguridad no pueden estar aisladas sin perder su funcionalidad, por eso va a existir la necesidad de establecer algún tipo de comunicación entre las redes corporativas, y una solución aceptable es interponer entre ambas redes una red desmilitarizada, DMZ, para separar, mediante dos niveles de cortafuegos, las redes. El objetivo es aislar redes no confiables de redes confiables, como por ejemplo entre Internet y los servicios web corporativos, o entre la red corporativa y las redes de producción. Las reglas de acceso a través de las redes DMZ deberían ser, en la media de lo posible, lo más restrictivas posible (IP origen a IP destino, puerto origen a puerto destino y protocolo específico).

En las redes DMZ, únicamente deberían encontrarse los componentes de presentación de los servicios de información u otros servicios no críticos. Por lo tanto, nunca deberán exponerse directamente:

Componentes en los que resida información o datos de carácter confidencial, o que permitan acceder a esos datos sin controles adecuados de autenticación.
Componentes en los que resida la lógica de las aplicaciones que conforman los servicios de información.

Se debería, además, evitar la conexión directa desde las DMZ a servicios internos de directorio, gestión de usuarios y roles de acceso, siendo recomendable en estos casos el uso de repositorios intermedios para consulta con acceso de sólo lectura.

Por ello, se deberían proteger mediante cortafuegos todos los puntos de interconexión entre las redes que conforman los sistemas de cualquier empresa e Internet o cualquier otra red accesible al público. La configuración, por defecto, de estos cortafuegos debería denegar todas las conexiones y sólo permitir aquellas específicamente habilitadas. La modificación, implementación o eliminación de cualquier regla de cortafuegos debería requerir la aprobación de la empresa antes de su implantación, y debería quedar documentada.

Por otra parte, los servicios accesibles desde Internet y en particular los servicios web, se deberían proteger mediante cortafuegos de aplicaciones específicos contra ataques de red. El acceso desde Internet a dichos servicios se debería realizar mediante protocolos seguros (HTTPS, SFTP, etc.) mediante el empleo de certificados digitales emitidos por una entidad autorizada, que aumentan la seguridad respecto de las comunicaciones y la autenticidad del servicio.

Así que, por si te fallan tus medidas de seguridad, mejor segrega tus redes como medida de Gobierno de las TI y Compliance TI.