Todas las empresas buscan tener una estrategia que proteja su red de amenazas internas y externas. Sin embargo, antes de crear esta estrategia, debemos entender el concepto de acceso seguro. El acceso seguro, tal como lo define Fortinet, es la combinación del acceso a la red y las reglas de seguridad de la red como elementos integrados. El objetivo es obtener una infraestructura de red interconectada y colaborativa que comparta datos relevantes como información de usuario, BYOD e IoT y que permita una visibilidad completa de la red para garantizar un entorno seguro.
Puede empezar a crear una estrategia de acceso seguro con tres pasos sencillos:
1. El primer paso es obtener visibilidad de la red para ver quién se está conectando a ella. Tener visibilidad le ayuda entender en cuáles dispositivos puede confiar. La idea es obtener completa visibilidad sobre todo, no sólo las direcciones IP de la red, y crear un enfoque que le permita decir: “si puedo verlo, puedo bloquearlo”. Mediante el uso de soluciones modernas de Network Access Control (NAC), puede ir más allá de una dirección IP/MAC para recopilar información de puntos terminales, incluyendo usuarios, aplicaciones y dispositivos. Esto le permite crear perfiles de dispositivos basados en varios atributos. Además, al utilizar firewalls de próxima generación como puertas de enlace internas de la red, puede observar qué aplicaciones están generando tráfico a través de la misma.
2. El próximo paso es utilizar la información adquirida por esta visibilidad para crear políticas y segmentar su red de acuerdo con la clasificación o función de los dispositivos. La segmentación debe hacerse no sólo en función de las direcciones IP de los dispositivos, sino también en las reglas de autenticación de usuario, tráfico de aplicaciones y tipo de dispositivo. Puede crear segmentos de red tradicionales (LAN, DMZ, DataCenter), utilizando dispositivos de firewall o también usar una estrategia de microsegmentación con VLAN e implementar políticas de firewall para proteger estas VLAN entre sí.
3. Dado que la colaboración es clave para el acceso seguro, el siguiente paso debería ser automatizar el control y proteger la red. Esto puede lograrse utilizando herramientas que le permitan aprovechar la información obtenida por los dispositivos de seguridad existentes en su red y responder instantáneamente a las amenazas detectadas. Al responder inmediatamente a las amenazas, aislar los hosts sospechosos o bloquear completamente su acceso a la red para no comprometer otros dispositivos, se puede reducir significativamente el tiempo de actividad de una amenaza sin retrasos causados por la operación humana.
El acceso a la red es la base fundamental de la infraestructura de TI de una empresa, por lo que la seguridad debe iniciar en el dominio de acceso a la red y continuar en los dominios de servicios y aplicaciones. Algunos conceptos importantes a tener en cuenta en su estrategia de acceso seguro incluyen:
Responsabilidad: En la mayoría de las estrategias de seguridad, las responsabilidades recaen en diferentes equipos operativos como administradores de redes o ingenieros de seguridad. Para una estrategia de seguridad integral, sin embargo, se requiere alinear estas áreas para trabajar en colaboración y evitar convertirse en silos internos independientes.
Alámbrico vs Inalámbrico: Al crear una estrategia, también debe considerar qué solución de acceso debe proteger primero. ¿Se debería preocupar por los dispositivos de red de cable tradicional o por los inalámbricos? La verdad es que debe proteger todos los métodos de acceso, ya sean alámbricos o inalámbricos, ya que cada uno de ellos es una puerta de entrada a su red que debe tener un nivel de protección adecuado. Recuerde que sólo se necesita una brecha o un dispositivo desconocido para tener una amenaza incontenible en su red que pueda causar daños.
Alcance: Uno de los principales errores al desarrollar una estrategia es limitar el alcance a la oficina principal de una empresa o a sus principales instalaciones. Con la creación de enlaces WAN y redes privadas virtuales (VPN), cada sitio remoto - incluso un solo quiosco de computadoras - es una entrada a su red. Su estrategia solo es tan fuerte como su eslabón más débil, por lo que debe asegurarse que sus políticas de seguridad estén aplicadas y ejecutadas en todas las redes de diferentes localidades.
Capacitación: La mejor estrategia del mundo puede fracasar si sus ingenieros de red y de seguridad no hacen una ejecución adecuada. Al contar con un equipo bien capacitado, puede permitir que sus habilidades se pongan al día rápidamente con nuevas tecnologías y productos. Sin embargo, también debe recordar que las amenazas evolucionan continuamente, por lo cual debe mantener a su equipo actualizado. El entrenamiento constante en tecnologías de acceso seguro y la capacitación a otras áreas dentro de la empresa para una mejor comprensión de las funciones de TI les ayudará a crear un entorno más robusto y seguro.
Mejora continua: Su trabajo sería fácil si la seguridad fuera una configuración puntual, pero, desafortunadamente, no lo es. Así como los hackers trabajan las 24 horas del día investigando y desarrollando nuevas formas de entrar en su red, usted también debería hacerlo al mejorar continuamente su estrategia. Enfóquese en establecer indicadores clave de desempeño y métricas que le permitan medir la efectividad de su estrategia para luego mejorarla. Además, estudie las nuevas tendencias de acceso seguro y de ataque para planificar con antelación.
Como con todas las tecnologías modernas, los nuevos avances tales como Security Driven Branch (SD-Branch) continúan allanando el camino para el futuro del acceso seguro. SD-Branch es una serie de soluciones que consiste en firewalls, conmutadores y puntos de acceso para una sucursal que simplifican la instalación al permitir una verdadera implementación de "Zero Touch" y una admininstración centralizada, reduciendo el tiempo y la complejidad en la implementación de una estrategia de acceso seguro en las sucursales. A medida que los desafíos de seguridad sigan evolucionando, también lo hará SD-Branch con el fin de eliminar futuros riesgos de seguridad y desafíos en el acceso.
Por: Redacción Ricardo Guzmán, Ingeniero de Sistemas de Acceso Seguro en Fortinet Latinoamérica.