Redes seguras, un importante desafío

En una red las medidas de resguardo son tan variadas como las amenazas existentes, “una red debe estar preparada para lo inesperado, debe ser capaz de recuperarse con rapidez de los problemas que puedan ocurrir y también operar con eficiencia”, afirma Leopoldo Richter, Business Manager de Security Solutions de Magenta, con quien conversamos acerca de este tema.

¿Qué medidas se pueden tomar para tener una red segura?
A menudo se circunscribe la seguridad de una red a la definición de puntos de control en el perímetro de la misma, pero olvidamos que la seguridad se encuentra basada en tres pilares fundamentales: confidencialidad, integridad y disponibilidad. Cada uno de estos pilares debe ser apoyado por las medidas de seguridad implementadas en la red y debemos comenzar con un buen diseño de red que nos entregue los niveles de disponibilidad deseados, aplicando controles que protejan la confidencialidad e integridad de la información.
 Una medida básica que debe considerarse siempre es preocuparse del ciclo de vida del equipamiento de red, esto es mantener la plataforma con equipos que cuenten con soporte y cuyo fabricante entregue actualizaciones de seguridad cada vez que sea necesario. Esto nos lleva a un segundo punto de consideración, mantener las versiones de software del equipamiento libre de vulnerabilidades conocidas, es decir, que se deben aplicar los parches de seguridad según nos afecten.
En general podemos decir que la mejor aproximación al óptimo es una defensa en profundidad, aplicando medidas en todos los equipos de la red, control de acceso a los usuarios en switches de acceso, protección para la navegación y correo electrónico, protección en las estaciones con host IPS y antivirus, control perimetral con firewalls e IPS. Además la plataforma de red (switches y routers) puede ser ajustada para evitar muchas amenazas internas ya sea de ataques deliberados o producidos por errores en la operación.
 
¿A qué se arriesga la empresa que no toma medidas de precaución en este sentido?
Según informes especializados como el de CSI Computer Crime and Security Survey vienen mostrando en los últimos años la tendencia de que el fraude financiero se convierte en el principal riesgo de seguridad, el que produce mayores daños económicos, y el robo de información es uno de los medios para lograr este objetivo. Redes en las que no se siguieron buenas prácticas de diseño, donde no se aplicaron controles en todas las capas posibles serán más vulnerables a ataques dirigidos a lograr beneficios económicos a través de intrusiones externas o robos internos de información confidencial. También serán más vulnerables a sufrir las indisponibilidades originadas de ataques de denegación de servicio (DoS).
 
¿Cómo se establecen los niveles de riesgo de una empresa?
Hay metodologías cuantitativas y cualitativas, mientras las primeras pueden resultar algo más simples para asignar valores de impacto, los métodos cualitativos entregan herramientas más precisas a la hora de tomar decisiones financieras respecto a las medidas de mitigación que son razonables para mitigar el riesgo.
 La evaluación de riesgos considera las amenazas, vulnerabilidades y riesgos de la información, sobre la plataforma tecnológica de la compañía, para planificar la implementación de controles que apoyen la triada de seguridad (confidencialidad, integridad y disponibilidad). El riesgo puede ser definido como la combinación de la probabilidad de un evento y de sus consecuencias. En el ambiente de seguridad informática es generalmente aceptado que las consecuencias son sólo negativas y, por lo tanto, la administración del riesgo está orientada a la prevención y reducir los daños.
 
¿Qué políticas generales de seguridad se pueden tomar en una empresa?
Las políticas de seguridad son una pieza clave para lograr el compromiso de toda la empresa con la seguridad. Definen las reglas generales de comportamiento para la interacción entre los empleados y los activos de información. Las políticas de seguridad deben responder a la cultura de las compañías, esto significa que deben ser un traje a la medida, en caso contrario es muy probable que no sean seguidas como se espera. La gerencia y accionistas deben apoyar, aprobar, publicar y comunicar a los empleados las políticas de seguridad de la compañía.
A modo de ejemplo, algunas de las políticas que típicamente deben ser definidas son: uso aceptable, conexión de terceros, seguridad física, acceso a la red, acceso remoto, etc.
 
¿Qué tipos de ataque o vulnerabilidades existen actualmente?
Los tipos de ataques van evolucionando según se utilizan nuevas tecnologías y también para lograr una mayor tasa de éxito según sea la motivación del atacante. Hoy los ataques se van refinando al punto de que según CSI casi el 30% de los ataques fueron realizados a través de malware que fue construido específicamente para una compañía o para un grupo pequeño de una misma industria. Esto nos obliga a estar más atentos y a reforzar controles tecnológicos y entrenamiento al personal, no olvidemos que muchos de los ataques, como el phishing, requieren que el usuario realice alguna acción como abrir un archivo adjunto o hacer click en un link que llegó en el correo. Hoy es una fuente importante de ataques la navegación web, produciéndose simplemente por la visita a sitios en internet que tienen contenido malicioso. El número de sitios con contenido malicioso o con enlaces a sitios que los contienen alcanza a un 7% de todos los sitios en internet.

¿Qué tipo de soluciones de seguridad ofrecen ustedes como empresa?
Magenta ofrece servicios de evaluación de seguridad que permiten a las compañías conocer la situación real de seguridad de sus redes observado con un prisma de negocios, es decir, que las vulnerabilidades y/o falencias detectadas serán ponderadas por su impacto al negocio. Para ello se ha desarrollado un proceso en el cual realiza levantamientos con herramientas tecnológicas y aplica todo su know how en redes recomendando las medidas necesarias para mitigar estos riesgos de máximo impacto. Magenta es capaz de evaluar la seguridad a nivel de redes con la profundidad que le brinda la experiencia adquirida durante sus 22 años diseñando, implementando y soportando redes IP.
También desarrollamos soluciones de seguridad de extremo a extremo, desde las estaciones de trabajo pasando por las distintas capas de la red hasta llegar a la frontera de la misma. Esto incluye soluciones de control de acceso a la red (NAC) que permiten evaluar quién se conecta, dónde lo hace y cómo se encuentra su equipo preparado para no ser considerado un riesgo para la operación de la red, también soluciones de seguridad de correo electrónico y protección para la navegación en internet desde donde se producen gran cantidad de contaminaciones por contenido malicioso albergado incluso en sitios legales que han sido hackeados y contaminados con el fin de propagar algún tipo de malware.
 
¿Crees que actualmente las empresas en general están más  conscientes de esta necesidad, están dispuestas a pagar por resguardar su seguridad?
Definitivamente, la preocupación existe, aunque no todos realizan adecuadamente un proceso de evaluación de riesgo lo que dificulta la justificación de proyectos de seguridad en las compañías. A pesar de ello a medida que las amenazas se hacen más complejas, pero al mismo tiempo más fáciles de llevar a cabo debido a la existencia de muchas herramientas que hacen toda la tarea para el atacante, las compañías se den cuenta que no pueden dejar de tomar un mínimo de medidas para asegurar sus principales activos de información.
 
¿Cómo se encuentran las empresas del sector retail en este  sentido?, ¿nos manejamos a niveles internacionales o estamos atrasados  en términos de seguridad?
El sector retail muestra permanentemente preocupación por los temas de seguridad, pero para todas los sectores aplica que cuando hablamos de seguridad siempre estamos atrasados. Las empresas tienen crecimientos rápidos y muchas veces no estructurados, descuidando pequeños detalles que pueden hacer la diferencia a la hora de un incidente de seguridad. Un adecuado control de acceso a la red permitiría, por ejemplo, impedir la instalación de puntos de acceso inalámbricos no autorizados, los que en general tampoco están controlados con mecanismos de seguridad inalámbricos. Hemos observado que este sector se encuentran desarrollando prácticas de seguridad bien encaminadas, con políticas claras y comunicadas oportunamente. Otro factor del cual este sector tiene que ocuparse es de la normativa PCI-DSS impuesta por las tarjetas de crédito que los obligará a implementar controles, o mejorar controles existentes, para cumplir con los niveles de seguridad requeridos para el procesamiento de información de tarjetas de crédito.