[vc_row show_full_width=»1″ padding_setting=»1″ desktop_padding=»no-padding»][vc_column width=»1/1″][vc_column_text]En ciberseguridad existen muchas normativas. Unas son generalistas, otras sectoriales, otras de algún ámbito concreto. Todas las que llegan a nivel técnico incluyen en sus especificaciones una serie de medidas de seguridad, y algunas de ellas son universales.
No deja de ser curioso que estas «medidas de seguridad universales» se incumplan en una gran cantidad de organizaciones, o peor aún, se implementen mal. Aún peor porque, en esos casos, la organización se está engañando a sí misma. Obtiene tranquilidad, una falsa sensación de seguridad, poniendo un «check» en la medida, sin comprobar si lo que se ha hecho es realmente eficaz.
Hoy quiero centrarme en la que considero más fácil de entender, la segmentación de la red. A priori parece puro sentido común.
Este es un concepto que en la vida diaria aplicamos casi sin pensar, de forma intuitiva. Hasta los animales, cuando tienen algo de valor, lo esconden fuera del alcance de otros animales.
Tampoco extraña a nadie que, cuando se construye un banco, se diseñe con diferentes estancias separadas por puertas de seguridad. Para llegar a algunas es necesario atravesar más de una puerta, más de una estancia, porque son especialmente importantes. Por ejemplo, la caja fuerte.
Incluso hay un refrán universal que se usa mucho en temas financieros, que nos recomienda «no poner todos los huevos en la misma cesta».
En ciberseguridad esta idea está detrás de varias recomendaciones típicas. Pero una de las más importantes resulta ser la base sobre la que construimos el sistema informático de una organización. En este caso, las cestas son redes, y los huevos son dispositivos.
Un alto porcentaje de empresas tienen una única red, donde todos los dispositivos están al alcance de todos los demás sin apenas ningún control. Esto hace que cualquier intruso que consiga llegar hasta la red pueda causar todo el daño que quiera. Y en la era de internet y las comunicaciones esto no es especialmente difícil. Un ejemplo son muchos de los peores ataques de Ransomware de los últimos tiempos.
En algunas empresas manejan conceptos como «DMZ» (Zona Desmilitarizada) sacados de algún manual antiguo o excesivamente básico. El concepto original de DMZ está muy superado, y las redes actuales son mucho más complejas. Pero la idea que subyace sigue siendo la misma, es decir, separar los dispositivos y servicios más expuestos de los más críticos.
Dicho de otra forma, ponemos en una red lo que vamos a exponer a internet y en otra diferente el resto de la empresa. Como además necesitamos que ambas redes se comuniquen entre sí, lo hacemos a través de un cortafuegos.
Hoy nuestro nivel de exposición es mucho más alto. Ya no es sólo internet, también tenemos dispositivos personales de empleados (BYOD) y visitas, empleados externos, la red inalámbrica, dispositivos IoT, etc. Por no hablar de trabajadores itinerantes, que siempre ha habido pero que se han multiplicado con la llegada más o menos forzada del teletrabajo.
Si tenemos que diseñar la red de nuestra empresa, los pasos son muy fáciles de entender. Pasar de la teoría a la práctica ya es otro tema, del que quizás hablaremos en el futuro. En todo caso, los beneficios superan con mucho el esfuerzo.
El esquema general del trabajo podría ser:
- Realizamos un inventario de nuestros servicios.
- Ponderamos la criticidad de cada servicio para el negocio, y las dependencias entre ellos.
- Ponderamos la exposición necesaria de cada servicio. La mínima imprescindible.
- Separamos cada servicio en un servidor distinto (de esto ya hablaremos en futuros artículos).
- Reunimos los servicios en segmentos de red, utilizando criterios de exposición mínima y criticidad.
Una vez hecho esto, normalmente necesitamos comunicar de forma controlada estos segmentos de red. Para ello utilizaremos un firewall, que en algunos manuales denominan «de core». En muchos casos con un firewall básico nos sirve. En otros nos beneficiaremos de capacidades de filtrado avanzadas.
Llegados a este punto, soy reticente a utilizar el término VLAN, pero como seguro que muchos lo tenéis ya en mente, quiero matizar. Cuanto más abajo en los niveles del modelo OSI apliquemos las medidas de seguridad, más eficaces serán. Si no podemos establecer subredes separadas totalmente a nivel físico, podemos hacerlo configurando VLANs de nivel 1, o basadas en puertos.
Como última opción tenemos las VLAN basadas en etiquetas, u otras, pero hoy por hoy estas VLANs no pueden considerarse medidas de seguridad, pues cualquier aprendiz de atacante puede saltar de una a otra sin ningún esfuerzo.
No quiero terminar sin mencionar algo que será por derecho propio tema principal de un futuro artículo. Las organizaciones no son estáticas, sino que evolucionan con el tiempo. De forma paralela a ellas también evolucionan los sistemas informáticos, como el diseño de la red. Y como en todo proceso evolutivo, si no planificamos y dirigimos nuestros pasos cuidadosamente, la tendencia será el caos.
Muchas redes que en su origen estaban perfectamente diseñadas incluyendo criterios de seguridad, se han «relajado» con muchos pequeños cambios a lo largo de los años. Cambios que individualmente no parecían importantes, o que iban a ser provisionales, pero se han quedado para siempre y sin las correctas medidas de ciberseguridad.
Es muy habitual saltarse el firewall y unir varios segmentos de red de forma incontrolada. Y casi siempre hay una explicación que, en su momento, parecía razonable. Respecto a esto, os dejo un aviso como adelanto. Si un día aparece en el ambiente la idea de poner en un servidor una segunda tarjeta de red para conectarlo a la vez a dos segmentos de red… haced saltar las alarmas.[/vc_column_text][/vc_column][/vc_row]
