Aún los mejores firewalls pueden ser comprometidos
Constantemente me relaciono con la infraestructura de otras personas. El problema que pondría al inicio de la lista es la gente, porque no solo hay personal dentro de la empresa sino también personal externo y ellos también necesitan estar protegidos o protegernos de ellos. Hay también un grave problema con el compromiso de la administración relacionado con la seguridad. La administración necesita un compromiso de palabra y por escrito, poniendo el dinero sobre la mesa.
Una compañía para la que trabajé tenía un CEO que realizó un viaje de negocios a China. Le entregó su laptop con toda su información, incluyendo un plan a cinco años de su negocio, al servicio de asistencia para que los técnicos pudieran instalarle un software. En un bolsillo de la maleta de la laptop estaban todas sus contraseñas, incluyendo el password para acceder a la información de su plan a cinco años. Si esa computadora hubiera sido robada, toda la información se habría visto comprometida y una puerta trasera hacia la red habría estado disponible.
Le podríamos decir muchas cosas a este CEO. Si lleva consigo una laptop de la empresa a un viaje de negocios, también se está llevando la red. Está “separada” de la red, pero disponible para funcionar conectándose a través de una red privada virtual (VPN). Es por ello que usted necesita una administración de compromisos: todo debe estar incluido en las políticas.
Las políticas deberían estar basadas en la evaluación de riesgos. ¿Cuáles son sus riesgos? Desarrolle políticas que subrayen sus declaraciones de intención y resultados esperados. Bajo eso, tiene procedimientos, órdenes de trabajo, etc. Las políticas generan orden y permiten que los administradores conozcan las áreas de riesgo y cómo reducirlas.
“La administración necesita un compromiso de palabra y por escrito, poniendo el dinero sobre la mesa.”
Algo con lo que me he encontrado es que es difícil que las empresas hagan algo con respecto a la seguridad, a menos que se vean obligados debido a las políticas. Y esas políticas deben tener dientes. Los bancos, las grandes organizaciones y los contratistas de la defensa tienen sistemas de seguridad que funcionan. Y funcionan porque tienen políticas que incluyen medidas punitivas diseñadas para asegurar que los requerimientos se cumplan.
El siguiente nivel de personal son los administradores de seguridad. Estas personas deben tomarse sus empleos muy en serio, y he visto que eso es un problema. Con frecuencia están tan enfocados en la tecnología que no ven el panorama completo. Salvo que usted esté pensando en la arquitectura real de su red y su perímetro, puede terminar con brechas que ni siquiera sabe que existen, incluso si tiene un excelente firewall.
Por ejemplo, audité una escuela en un área semi-rural que tenía la política de “Traer tu Propio Dispositivo” para permitir a los maestros usar sus propios equipos a través de la red de la escuela. Desafortunadamente, no tenían controles sobre cómo debían conectase los dispositivos a la red o qué tipo de antivirus requerían. La escuela también tenía una VPN con una contraseña muy sencilla, lo que aumentaba el perímetro de la escuela hacia las casas de cualquiera que se supiera dicha contraseña.
“Salvo que usted esté pensando en la arquitectura real de su red y su perímetro, puede terminar con brechas que ni siquiera sabe que existen.”
La gente no entiende cómo funciona el perímetro, particularmente cómo funciona una zona desmilitarizada en términos de protección del mismo. Abren dispositivos dentro de la red hacia el exterior, sin darse cuenta de eso, por lo que el dispositivo se convierte en la puerta de entrada para el resto de la red.
Cualquier dispositivo que esté conectado a su red puede convertirse en parte de su perímetro. Es como una pequeña isla de su red disponible en medio de un estadio. Si esa área es comprometida, su red completa también será comprometida.
Al final, deberá contar con buena tecnología y gente entrenada no solo en tomar conciencia sobre las amenazas sino también en el manejo de incidentes. La tecnología siempre va un paso atrás de los criminales; y las fuerzas de la ley siempre un paso atrás de la tecnología. A menos que la gente sepa cómo manejar las amenazas, su tecnología y políticas de seguridad no serán suficientes.
Autor: Michael Krigsman
Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.
Newsletter Semanal
Lo más relevante de ciberseguridad y tecnología.
Síguenos en las redes