La seguridad de las redes empresariales es un proceso continuo de protección, monitoreo y respuesta ante incidentes. Le ofrecemos recomendaciones de expertos.
Los delincuentes informáticos están buscando permanentemente nuevas maneras de penetrar en los sistemas de las empresas para realizar ataques y robar información comercial. En este escenario, las redes son un blanco atractivo para efectuar intromisiones no autorizadas y, por lo tanto, una preocupación permanente para los encargados de la seguridad corporativa. Los expertos indican que la protección de datos es un trabajo continuo y dinámico en las compañías, por lo que es necesario analizar periódicamente las vulnerabilidades que pudiesen existir o aparecer.
Carlos Tondreau, client manager de seguridad de NTT Chile, señala que deben ejecutarse periódicamente estudios de hackeo ético con pruebas de penetración para evaluar qué tan fácil puede resultar el tomar control de los activos de la compañía. Estos resultados deben ser inmediatamente corregidos y ser acompañados por una política de aplicación de parches de seguridad rigurosa. «Para el monitoreo de las amenazas de la red, se deben implementar herramientas de detección de intrusos basadas en patrones de ataque y mecanismos de machine learning para perfilamiento del comportamiento habitual de sistemas y usuarios. Este monitoreo debe ser permanente y en coordinación con los equipos de respuesta a incidentes», dice.
Por su parte, Hugo Galilea, CEO de Kepler y consejero de la Alianza Chilena de Ciber Seguridad, enfatiza que se deben establecer políticas de cambios de contraseña (no muy frecuentes para no caer en la repetición de patrones, ni muy distantes en caso de vulneración), establecer sistemas de almacenamiento seguro de contraseñas (encriptadas) y sistemas MFA (autentificación multifactor) para mayor seguridad (2FA ya no es suficiente). Además, implementar sistemas EDR para monitorear y detener amenazas, WAF para aplicaciones web, complementar FW con sistemas IPS y un sistema de prevención de pérdida de datos (DLP).
Ya que las redes, al igual que los servidores, operan sobre un sistema operativo que tiene brechas de seguridad que pueden ser explotadas por los hackers para lograr accesos o privilegios que no son los que están autorizados, el manejo continuo de vulnerabilidades es esencial. Un buen proceso de gestión de vulnerabilidades permite mitigar este riesgo.
Otro punto relevante es establecer un proceso de configuración segura: el proceso de «hardening», que debe ir muy en línea con la definición de políticas de la organización. Aquí se eliminan las configuraciones y servicios innecesarios que pueden ser una brecha de seguridad, pues muchas veces los hackers se aprovechan de servicios que están habilitados en los sistemas, pero que no son necesarios para su operación normal.
Además, está el principio del «mínimo privilegio». Carlos Gaule, director de ciberseguridad de SONDA, explica que los sistemas y estructuras de privilegios deben estar configuradas para otorgar a los usuarios el mínimo nivel de privilegios posible para que realicen su trabajo sin inconvenientes. Esto, generalmente mitiga el riesgo de compromiso de una cuenta de usuario, evitando que, a través de esta, puedan convertirse en administradores del sistema.
Igualmente, «es clave disponer de un plan de respuesta ante un incidente determinado. Pese a todas las medidas proactivas y reactivas, siempre debemos estar preparados para escenarios de incidentes de seguridad, lo que exige contar con un equipo que sepa cómo manejarlos de manera eficiente, minimizando los daños y recogiendo datos para cerrar el incidente de manera exitosa», destaca el ejecutivo.
En ese sentido, Marcelo Díaz, CEO de Makros, agrega que debe llevarse un programa de gestión de vulnerabilidades que permita identificar los activos críticos, los recursos de información y todo aquello que sea valioso para la organización, incluyendo procesos. Este programa debe contar con responsables y llevar acciones concretas a cabo. «Si la organización lleva a cabo procesos de desarrollo, [se requiere] hacer análisis de código estático y dinámico, así como también comenzar a preparar procesos de DevOps que hablen de un desarrollo seguro desde el origen. Y realizar evaluaciones constantes del estado del arte en ciberseguridad, dónde estoy y cuál es la diferencia o gap que existe en cuanto a mejores prácticas», sostiene.
Consejos para prevenir los accesos no autorizados a la red
Los accesos no autorizados a la red empresarial pueden ocurrir en diversas capas, y para prevenirlos es vital que la compañía implemente un control adecuado según la criticidad de los activos que se pueden acceder en cada una.
Tondreau, de NTT Chile, explica que para la red de acceso de usuarios corporativos, BYOD y visitas, es fundamental implementar mecanismos de control de acceso a la red (NAC) para identificar y posteriormente autorizar solo a los usuarios que demuestren que tienen permisos para hacerlo.
«Para evitar accesos indebidos de estos usuarios, éstos se deben perfilar en grupos de privilegio que permita su contención en zonas de seguridad y que entreguen acceso solo a los recursos que se han definido para ellos. Actualmente, las herramientas NAC y los firewalls de nueva generación son una pieza clave para lograr este objetivo. En el caso de redes de servicios, aplicaciones y datos, el control debe ser aún más estricto y solo se permitirán los accesos a los equipos debidamente autorizados. Es decir, los equipos que son parte de la infraestructura del servicio y los equipos pivotes, desde los cuales se realizan las labores de administración, donde adicionalmente se implementan controles de grabación de sesiones, perfilamiento y workflows explícitos de autorización para efectos de controles de cambio y administración», detalla.
La capacitación y la visibilidad ganan importancia
Dado que el 90% de los ataques exitosos se producen por una persona que dentro de la organización abrió un correo malicioso, es importante, primero que nada, generar un plan de concientización en ciberseguridad, anual, que permita transformar el eslabón más débil de la organización en un firewall humano. «En Kepler hemos visto bajas de incidencias desde un 20% a un 2% con un año de entrenamiento. No sacamos nada poniendo puertas de acero y rejas altas si desde adentro alguien abre la puerta. Se debe contar con un firewall y análisis de vulnerabilidades, tener un sistema de gestión de parches y un inventario de equipos. Limitar los accesos con seguridad perimetral como base, restringir los puertos con firewall, monitorear y bloquear accesos no deseados, logs. Restringir accesos a servicios publicados (punto a punto, VPN) y evitar el uso de servicios de escritorio remoto», enfatiza.
Díaz, de Makros, coincide en la importancia de contar con un programa de concientización a los usuarios: «Con esto logramos educar al eslabón más débil, que es quien, por lo general, es víctima de engaños y quien podría generar un acceso no autorizado».
Finalmente, para Gaule, de SONDA, es imprescindible tener control sobre los elementos que componen la red y conocer en detalle cada uno de sus puntos de acceso.
«Teniendo este inventario, debemos definir políticas que puedan ser aplicadas en las configuraciones de los equipos. Estas políticas van desde el uso y control de passwords privilegiadas (claves de administrador de sistemas y redes), independientes de las claves de usuario. La definición de políticas, por ejemplo, de contraseñas, debe establecer aspectos tales como longitud, periodicidad de cambio, uso de un doble factor de autenticación, máxima cantidad de reintentos fallidos, etc. Esta es nuestra primera línea de defensa, nos permite estar preparados», apunta el ejecutivo.
La segunda línea de defensa, cuenta, pasa por «darnos cuenta» cuando algo está fuera de norma, por ejemplo, cuando los equipos generan muchos logs por actividad rutinaria de los usuarios. «Un buen proceso de ‹playbooks› de respuesta ante incidentes permite actuar de forma coordinada entre las áreas de operación y de riesgo del negocio. La ciberseguridad se debe jugar en el terreno de la proactividad si queremos ganar a nuestros adversarios», concluye Gaule.
7 tips de prevención
Carlos Gaule, director de ciberseguridad de SONDA, ofrece los siguientes consejos para mantener sus redes ‹saludables›:
- Mantenga un inventario actualizado.
- Realice una gestión de las vulnerabilidades de sus sistemas.
- Controle el uso de contraseñas privilegiadas.
- Defina políticas de configuración segura en sus dispositivos, elimine configuraciones por defecto, usuarios y claves genéricas.
- Deje registro de los logs de los sistemas, son muy útiles para hacer análisis de lo que ocurrió o está ocurriendo.
- Mantenga respaldos de las configuraciones de todo su equipamiento.
- Defina un proceso de respuesta ante incidentes.
