Existe una cierta paradoja. La seguridad es dinero. Genera negocio. Aquí gana el hacker y la empresa que desarrolla la protección. La seguridad empresarial se trata de un mercado muy lucrativo. El malo se beneficia de los agujeros de los sistemas y obtiene dinero y el bueno, desarrolla defensas por las que cobra. Y gana cada vez más. Si no fuera una mera cuestión monetaria, la Seguridad empresarial no estaría dentro de la prioridades empresariales. Porque la época del hacker intrépido que sólo quería entrar en un sistema para demostrar sus habilidades ha pasado.
Buena prueba de ello es que, a pesar de las inversiones en laboratorios de I+D de las empresas dedicadas al mundo de la seguridad empresarial, éstas llevan años asentadas en el maravilloso mundo de beneficios récord. No sólo eso: empresas ajenas a este mundo han entrado con fuerza en él, bien a través de adquisiciones o bien a través de desarrollos propios.
La seguridad empresarial se ha convertido en una prioridad para las empresas, como pudimos comprobar en el encuentro sobre seguridad de BYTE TI del pasado mes, que han visto como el robo de datos están a la orden del día, que los ataques de denegación de servicio pueden hacer que dejen de ganar millones de euros en tan sólo unos minutos. De la misma forma que en el mundo real nos hemos acostumbrado a oír hablar de atracos, butrones, asaltos a mano armada, falsificación de billetes, etc. nos empezamos a familiarizar con términos como phising, ransomware, DdoS, y otro largo etcétera. Y como ocurre en el mundo real, con la Policía no vale. Las empresas tienen que contratar seguridad privada para protegerse. Y si es con la última tecnología, mejor que mejor.
Claro que la última tecnología no siempre vale, porque en la mayoría de las ocasiones es el propio usuario el que comete un simple error que es aprovechado: Snowden se llevo la información en un pincho, no necesito traspasar barreras infranqueables ni desarrollar ningún software para poder hacerse con la información.
Seguridad Empresarial. La empresa en riesgo
Las organizaciones están en riesgo. Sí, lo están aunque cuenten con las medidas de seguridad apropiadas porque la seguridad empresarial nunca está ni estará garantizada al 100%. El ciberdelincuente va a ir siempre un paso por delante del policía. Los problemas arquitectónicos de TI crean complejidad e impiden a los equipos de seguridad desempeñar su labor fundamental, es decir, proteger las aplicaciones y los datos. Como asegura Alejandro Solana, director técnico de VMware, “aunque los ataques a los centros de datos varían, la mayoría de las brechas de seguridad tienen algo en común: los atacantes tienden a aprovechar que dentro del centro de datos hay muy pocos o ningún control de seguridad. En otras palabras, una vez que los atacantes han penetrado en el centro de datos, pueden moverse libremente entre servidores dispersando el malware”.
Entre las amenazas que más destacan en estos momentos se encuentran aquellas vinculadas a dispositivos móviles y los programas no actualizados afectan de forma indiscriminada a todas las empresas. Los ransomwares, esos programas maliciosos capaces de secuestrar la información y pedir un rescate por ella, han dado el salto del usuario particular a las empresas y se han convertido en uno de los malwares más preocupantes que afectan tanto a los tradicionales PCs y equipos de sobremesa como incluso a los dispositivos móviles. Estos últimos constituyen precisamente un gran punto débil en la seguridad empresarial porque por regla general están desactualizados (según un estudio reciente de G DATA hasta el 80 por ciento de los dispositivos Android funcionan con un sistema operativo obsoleto), no están protegidos y sus usuarios no tiene conciencia de que son objetivos reales del cibercrimen. Además, cuando hablamos de dispositivos móviles y empresas no basta con protegerlos, es necesario poder administrarlos y vincularlos a políticas de seguridad y normativas empresariales.
Uno de los riesgos se encuentran en el perímetro. O en la ausencia de éste, más bien. “La desaparición del perímetro de seguridad de la red corporativa comporta importantes retos en materia de seguridad. La tradicional estructura de seguridad empresarial no responde a las nuevas estructuras de red que demandan un mayor control del flujo de datos que se mueve en la red corporativa. Asimismo, podríamos identificar varios aspectos críticos pero destacaría el aumento de los ataques M2M y su propagación entre dispositivos, la proliferación de gusanos y virus especialmente dirigidos a dispositivos IoT, ataques a la nube y a infraestructuras virtualizadas y nuevas técnicas para esconder las evidencias de ataques y evitar tecnologías de sandboxing”, afirma José Luis Laguna, Director Técnico Fortinet Iberia. También en el perímetro se fija Borja Pérez, responsable de canal de Stormshield: “Vemos desde hace tiempo la dilución del perímetro empresarial. Con dispositivos y usuarios conectándose tanto a la red empresarial como a redes externas, siendo complicado controlar quién se conecta a dónde y cuándo, y qué datos viajan entre estos dispositivos y la red. Por otro, un incremento de ataques dirigidos aprovechando la información personal que se puede encontrar fácilmente en las redes sociales. Y para terminar, un mercado cada vez más accesible de herramientas o incluso servicios de ataque: exploits, crypto-ransomware, etc”.
No obstante, podemos afirmar que actualmente, buena parte de los riesgos que asumen las empresas se encuentra en la gestión de los datos. Una buena gestión de los mismo garantiza una menor probabilidad de ataque, con la ventaja de que en muchas ocasiones, esa gestión no necesita de grandes herramientas de protección. Como decíamos antes, Snowdedn se llevó la información en un puncho. Para Eduard Palomeras, consultor preventa de seguridad de CA Technologies, “tanto por los datos que manejamos como por las noticias que aparecen en los medios, se aprecia un crecimiento de los riesgos asociados a la gestión privilegiada de sistemas y aplicaciones y a los pagos a través de Internet. Si tenemos en cuenta que cada día existe una mayor externalización de los servicios de TI, que administran elementos tan confidenciales como el correo electrónico, o tan críticos como los sistemas financieros, y a eso añadimos que el análisis de los principales incidentes de ciberseguridad acontecidos en los últimos dos años revelan que el punto común de casi todos ellos es el uso fraudulento de las cuentas privilegiadas en algún momento, queda clara la importancia de proteger de forma ordenada el acceso privilegiado. Por otro lado, el aumento del fraude en transacciones online ha hecho que el regulador en ambos lados del Atlántico haya tomado medidas, añadiendo más requisitos para realizar pagos y transacciones a través de Internet”.
Quiero la aplicación ya
Esta es una de las características que rodean a las TICs actuales. La competitividad intra-empresas es un elemento esencial en la economía globalizada. Hay que ser más rápido que el contrario para quitarle clientes y retener los propios. Y para ello las TICs juegan un papel esencial. Por ejemplo, el desarrollo de aplicaciones juega un papel muy importante para poder triunfar en esta economía hipercompetitiva y evidentemente, este desarrollo también tiene que ser rápido y por supuesto, al menor coste posible. ¿Que sucede en estos casos? Generalmente, el factor de la seguridad empresarial pasa a un segundo plano. Se trata de desarrollar la aplicación en el menor tiempo posible. Se trata de una política errónea. De nada sirve tener una aplicación de forma rápida si a la larga no funciona o no lo hace de forma correcta. Esto ahuyentará a los clientes o reducirá de forma drástica la productividad de los empleados. Al dar errores relacionados con la seguridad, habrá que desarrollar parches, generar nuevo código, en definitiva, el tiempo que se ha ganado en el desarrollo rápido, se pierde en desarrollar parches y por supuesto, el coste se irá multiplicando de forma exponencial.
La presión a la que se ven expuestas las empresas a la hora de desarrollar nuevas tecnologías está afectando claramente a la seguridad.
Cloud, virtualización, externalización de los servicios TIC o aplicaciones web exponen a las empresas a inminentes amenazas de seguridad y se asumen nuevos e importantes riesgos que antes con infraestructuras más tradicionales no se daban. Para José María Ochoa, Director de Estrategia Corporativa, Mkt&Com de Alhambra-Eidos, “todas las compañías quieren ayudarse de las tecnologías más innovadoras para hacer que su negocio avance, es lógico, pero en paralelo deben disponer de un plan que preserve su infraestructura crítica, compuesta por los sistemas y activos en general de la compañía, tanto físicos como virtuales, que son vitales para el negocio, de manera que si existe destrucción parcial o total de los mismos no tenga consecuencias negativas en el funcionamiento de la actividad. Los perímetros de defensa se difuminan y es necesario tener consciencia de ello y pensar en estrategias más globales haciendo foco en “conocer” el comportamiento normal de cada entorno”. Y es que el desarrollo rápido de aplicaciones hace que la empresa sea cada vez más insegura. Como asegura Javier Santiago, responsable del negocio de Ciberseguridad y Network Defense de Trend Micro “[esta presión] es una nueva vía que ofrece líneas que son susceptibles de ser atacadas. La adopción de nuevas tecnologías debe ir siempre acompañada de una estrategia de seguridad empresarial. Descuidar esta cuestión puede efectivamente afectar de forma grave al negocio. Sin embargo, afortunadamente existen opciones que permiten a las empresas contar con garantías para la correcta adecuación de las nuevas tecnologías a los nuevos paradigmas en el ámbito de la seguridad”.
En la actual economía de las aplicaciones en la que las éstas se han convertido en el medio principal por el que las empresas se relacionan con sus clientes e impulsan la productividad de sus empleados, la seguridad empresarial es el freno más importante para muchas empresas a la hora de adoptar las tecnologías emergentes. Sin embargo, opina Eduard Palomeras, “esto no debería ser así ya que el acceso electrónico a las aplicaciones y los datos a cualquier hora y desde cualquier lugar ha hecho de la velocidad de innovación un imponderable para el negocio. La seguridad empresarial debe formar parte integral del ciclo de desarrollo y entrega de las aplicaciones. Además, los roles de las personas están en constante cambio, lo cual requiere que la gestión de las identidades y los accesos sea fluida”. Alfonso Ramírez, director de Kaspersky Lab, cree que “la empresa se ve arrastrada a implementar nuevas tecnologías o procesos sin plantear la seguridad desde el minuto cero. En cualquier desarrollo o implementación, la seguridad ha de contemplarse como una parte fundamental y obligatoria si queremos proteger nuestros sistemas e información. Por ejemplo, el uso extendido de los smartphones y la integración del BYOD en muchas compañías, ha llevado a los ciberdelincuentes a centrar su tiempo y recursos en el desarrollo de programas maliciosos para los dispositivos móviles. De hecho, es muy común ver a usuarios que cuentan con una solución de seguridad en el puesto de trabajo, e incluso una contraseña para acceder a él, pero se olvidan implementar una solución de seguridad o incluso una contraseña en sus dispositivos móviles, dejando el camino abierto a todo tipo de amenazas. Además, los cibercriminales no limitarán sus ataques a un único sistema, sino que contemplarán las opciones de infección multi-plaraforma, provocando que con una sola amenaza se pueda infectar cualquier tipo de dispositivo”.
En cierta medida, la implementación de nuevas tecnologías afecta a nivel de seguridad empresarial: Cuantos más dispositivos conectados, un mayor nivel de seguridad va a ser requerido. Una situación que implica rediseñar los actuales sistemas de seguridad. Tal y como señala Isaac Fores de director de seguridad de red para el sur de Europa de Dell, “es necesario un planteamiento de seguridad empresarial ligado a una infraestructura que esté a la altura. Al implementar cualquier solución nueva en el equipamiento de seguridad de la red, es imprescindible asegurarse de que el proveedor está en condiciones de promover el crecimiento de la organización con la solución que ofrece”.
Adoptar Cloud demasiado rápido: Preblema para la seguridad empresarial
Una de las ventajas que aporta la nube es la rapidez de implementación. Todo puede comenzar a funcionar desde el minuto uno. Y como dice el refranero español, “las prisas no son buenas consejeras”. Todas las ventajas que aporta cloud, entre ellas la seguridad, se pueden tornar en auténticas pesadillas si no se realiza un correcto diseño de lo que se quiere, así como de las necesidades. as infraestructuras informáticas cambian constantemente. Hemos pasado de utilizar infraestructuras estáticas a un mundo caracterizado por la convergencia. Por lo tanto, las infraestructuras de seguridad empresarial necesitan adaptarse para que sean eficaces, y para ello deben ser preventivas, detectoras, retrospectivas y predictivas, y para tener un planteamiento de seguridad equilibrado tienen que ser contextuales.
Gartner ha apuntado las seis tendencias principales que generan la necesidad de infraestructuras de seguridad contextual y con capacidad de adaptación: la movilización, la externalización y la colaboración, la virtualización, la cloud computing, la consumerización y la conversión de los piratas informáticos en grupos organizados, que ha promovido la aparición del “sector empresarial” de la piratería.
Es en la nube híbrida donde parece que se van a encontrar esa ventaja de tener la seguridad de las nubes privadas y la velocidad que proporciona la nube pública. Tal y como asegura Isaac Fores, “la nube híbrida con su elemento privado no sólo proporciona seguridad empresarial donde es necesario para las operaciones críticas, sino que puede satisfacer requisitos regulatorios para la gestión y almacenamiento de datos. Además, ofrecen disponibilidad de recursos privados de seguridad y públicos de efectividad en coste escalable y puede proporcionar a las organizaciones más oportunidades para explorar diferentes vías operativas”. David Ayllón, responsable de marketing de OVH cree que “muchas empresas consideran que externalizar toda su infraestructura en el cloud resulta poco seguro, ya que de este modo no tienen acceso físico a sus servidores. Sin embargo, sus datos están mucho más seguros con un proveedor que se dedica de forma profesional al alojamiento y que cuenta con herramientas de seguridad como la protección anti-DDoS, una solución demasiado costosa para cualquier empresa pequeña. Además, un ataque DDoS resultaría mucho menos devastador en nuestro caso, ya que contamos con una red mucho más resistente. En el caso del cloud híbrido, una parte de la infraestructura se sitúa en los locales de la empresa y otra en el proveedor. La solución Dedicated Connect de OVH permite conectar la red de la empresa hasta nuestra red privada de forma totalmente segura y aislada. Las direcciones IP de la red son privadas, resultan totalmente invisibles desde la red pública y, por lo tanto, es imposible atacarlas”
El problema de la seguridad empresarial en la nube viene dado porque las empresas han dejado de ver a la nube como un simple lugar donde almacenar la información, y, empiezan a sacan mayor partido de los servicios y soluciones que ofrece (SaaS, IaaS, etc). No obstante, el uso de servicios y aplicaciones en la nube reduce la capacidad de las empresas para proteger su información confidencial. La cloud híbrida proporciona libertad y flexibilidad, y su despliegue crecerá en los próximos años, según los principales analistas. Sin embargo, en sí misma, no es una solución para los problemas de seguridad empresarial. La seguridad debe formar parte dentro de dicha implementación desde el primer momento. Álvaro Villalba Poncet, Regional Sales Manager de Corero Network Security, conseidera que “el cloud puede ser igual de seguro que un sistema in-house. Lo que se tiene que evaluar a la hora de adoptar soluciones en cloud es si dichos sistemas cumplen con los requisitos de seguridad empresarial necesarios, de la misma manera que se debe hacer con los sistemas propios”.
Agilidad vs reducción de costes vs seguridad empresarial
¿Por cuál de las tres se decantaría? El orden en las empresas parece claro: costes reducidos, agilidad y en tercer lugar seguridad. La seguridad debería ocupar, sin embargo, el primero de los lugares. Y es que, “la explotación de vulnerabilidades de aplicaciones legítimas se está convirtiendo en una de las técnicas generalizadas para burlar la protección tradicional de protección del puesto ya que los antivirus no bloquean las aplicaciones legítimas. Se trata de algo peligroso ya que como expone el portavoz de StormShield, “una vez que se ha explotado la vulnerabilidad, una aplicación legítima realiza acciones que permiten un control total del sistema víctima del exploit. Para evitar estos exploits es necesario involucrar la seguridad en el ciclo de vida de desarrollo de las aplicaciones: no solo durante el desarrollo sino también para la resolución y parcheo ágil de los problemas que puedan ser detectados con posterioridad”. Para los profesionales de la seguridad TIC, muchas veces son los últimos en intervenir y deben esperar a que la infraestructura esté completamente construida. Es en ese momento cuando se les dice que deben dotarla de mecanismos de seguridad, lo que complica mucho el trabajo.
Pero como señala Alejandro Solana de VMware, “actualmente hay unos avances impresionantes en la industria de la seguridad. Lo que hace falta es tener un marco de trabajo organizativo, una verdadera arquitectura que puedan alinear todos los responsables para que se pueda integrar la seguridad en la arquitectura. Al cambiar la dinámica de cómo entregamos servicios de confianza en una infraestructura vulnerable, el sector de seguridad de TI tiene la oportunidad de abrirse un nuevo camino hacia delante”.
Anteriormente señalábamos las prioridades empresariales. La seguridad, ocupa un tercer lugar, por debajo de los costes reducidos. Sin embargo, son muchas las empresas que no se dan cuenta que dejando la seguridad en un segundo plano, el coste se va a incrementar de forma sustancial. Es cierto que no siempre resulta fácil justificar el papel prioritario de la seguridad. Sin embargo, añadir una «capa» de seguridad una vez que la aplicación ya está desarrollada y en fase madura resulta mucho más costoso y rara vez se consigue un buen resultado. Para el portavoz de OVH, “debemos tener en cuenta la seguridad en todos los niveles del ciclo de vida de la aplicación, desde la fase alfa hasta el fin de su vida útil. Además, los recursos invertidos en materia de seguridad han de ser proporcionales al número de usuarios y a la importancia de los datos; una aplicación para datos bancarios, por ejemplo no requerirá el mismo nivel de seguridad que un motor de búsqueda de tuits”. Por su parte, el portavoz de Alhambra-Eidos, cree que “hay que conciliar ambos ámbitos. La usabilidad tiene que primar porque sin ella la aportación de tecnología al negocio no tendrá éxito, pero sin olvidar que hay que mirar muy profundamente al riesgo que supone para cada compañía. Por tanto, se deben racionalizar las estrategias y ponerlas en paralelo con el riesgo, llevando a cabo un buen estudio que armonice ambas en la medida de lo posible. Los fabricantes de tecnología están trabajando intensamente en este punto para poder generar productos que cuiden ambos aspectos”.
Las principales demandas en la seguridad empresarial
El titulo de este ladillo ya es de por sí un éxito: las empresas demandan seguridad. Y no, no es algo de nace muchos años. Es con la explosión de cloud cuando las empresas han tomado conciencia de la importancia de tener, al menos, unas medidas de seguridad básica. Hasta hace unos años, la política de seguridad era la de “a mi no me va a pasar”. Pero resulta que pasó, y también a su competidor. Y descubrió que era vulnerable. Y su competidor vio como perdió mucho dinero con un ataque.
Sí, poco a poco las empresas se han ido concienciando de que son vulnerables. Las pymes incluidas. Y aunque, al menos en España, asumamos ciertos riesgos, lo cierto es que cada vez se demandan más medidas de seguridad.
No obstante, hay que recalcar que son muchas veces los propios usuarios los que ponen en riesgo a las empresas (empezando por el propio CEO) descargando aplicaciones de mercados fraudulentos -y que no atienden las múltiples advertencias de seguridad durante el proceso- son cuatro veces más propensos a descargar una aplicación maliciosa. Estas aplicaciones pueden robar información personal, contraseñas y datos. Según el último informe Human Factor 2016 de Proofpoint, durante 2015, las personas descargaron voluntariamente más de 2.000 millones de aplicaciones móviles destinadas al robo de datos personales. Muchas podían robar información o crear puertas traseras, entre otras.¿Por dónde pasan esas demandas? Para el portavoz de Trend Mcro, “actualmente las empresas están demandando una securización completa del Datacenter. El mundo virtual hace que tengamos que estar preparados y ser cada vez más eficientes en la protección de nuestros sistemas. Por otra parte, en su traslado a la nube la principal preocupación de nuestros clientes pasa por contar con unas medidas de seguridad análogas para toda su infraestructura, se encuentre ésta en sus instalaciones o alojadas en la nube. Igualmente, y dado la incipiente proliferación de ataques cada vez más complejos, se están también demandando soluciones orientadas a la ciberseguridad. Nuestras soluciones de Deep Security y Deep Discovery hacen especial foco en estos escenarios obteniendo así una protección global de la infraestructura gestionada”.
En tanto en cuanto los ataques dirigidos a tumbar las defensas empresariales para entrar de lleno en el corazón de la información corporativa sigan produciéndose, las organizaciones seguirán apostando por tecnologías que les ayuden a preservar su activo más valiosos. Por ello, y tal y como señala el portavoz de Exclusive Networks, “las grandes empresas, invertirán en tecnologías como, Next Generation Firewalls, AntiAPTs-sandboxing y Web Application Firewall. Los Firewalls de Próxima Generación, (NGFW, por sus siglas en inglés) son dispositivos capaces de aplicar una seguridad global en la redes de los clientes. Cubren muchas funciones: protección antivirus, antimalware, antispyware y detección de intrusiones, entre otras; convirtiéndose así en una pieza fundamental en la infraestructura de seguridad empresarial. En este sentido, estamos observando cómo, cada vez más, se está realizando una sustitución de equipamiento; desde los antiguos equipos UTM, con un nivel de protección cuatro, a NFGWs, cuya protección es de nivel aplicativo. Por otro lado, y a tenor del incremento y sofisticación de los ataques, cuyo fin último es el robo de información valiosa para las empresas, éstas, están adoptando nuevas herramientas para defenderse. Por ejemplo, ante el aumento de las Amenazas Persistentes Avanzadas (APT), más sigilosas y sofisticadas que nunca, las empresas confían en tecnologías AntiAPTs, plataformas capaces de analizar virus y amenazas antes de que se infiltren en la organización. Las herramientas AntiAPTs representan una segunda capa de protección que complementa a los NFGWs, y son indicadas para grandes cuentas, igual que los Firewall de Próxima Generación. Los Firewall de Aplicación Web, (WAF, por sus siglas en inglés) representan una protección eficaz para los servidores, los cuales siguen siendo blanco de ataque de los hackers. Los servidores representan el punto de entrada a la web de los clientes, detrás de la cual se encuentra una base de datos, el fin último de los hackers. Por último, será fundamental también para los clientes adoptar medidas de protección en el entorno de las aplicaciones “cloud” para combatir el riesgo asociado al “shadow IT”. Lo que los anglosajones han denominado como el fenómeno CASB (Cloud Access Security Broker)”.
Como se ha señalado anteriormente, un aspecto esencial de cualquier planteamiento de seguridad radica en garantizar que los empleados comprendan y adopten las políticas de seguridad. Al mismo tiempo que las infraestructuras informáticas y de seguridad cumplan la función de respaldar el crecimiento empresarial, lo que favorece la movilidad de los empleados y, por tanto, repercute directamente en el aumento de la productividad. Para Isaac Fores, “es vital que los empleados cumplan las políticas de seguridad y accedan a los datos y las aplicaciones de la empresa del modo correcto. De no ser así, la movilidad y otras políticas diseñadas para respaldar el crecimiento empresarial se convierten en un riesgo que podría incluso ser perjudicial para el negocio. Por ello en Dell Security ofrecemos una solución global denominada End to End Connected Security para satisfacer la estrategia de seguridad de cualquier compañía y organización independientemente de su tamaño y necesidad”. Finalmente, Eduard Palomeras de CA Technologies señala que “la experiencia del usuario está en la primera página de la agenda TI. La seguridad empresarial desempeña un papel muy importante en la manera en la que el usuario se identifica, de forma que le dé suficiente confianza a la vez que no se le pongan demasiadas trabas que dificulten su acceso. Por otro lado, los usuarios necesitan simplificar la gestión de sus credenciales, de otra forma la simplificarán ellos mismos debilitando la seguridad mediante las conocidas prácticas de reutilización de credenciales, anotación o selección de contraseñas débiles entre otras. Las empresas saben que el acceso ubicuo, remoto y por Internet precisa de medidas adicionales y es por ello que se debe llegar a un equilibrio satisfactorio”.
Gestión de identidades en la seguridad empresarial
La protección de la información personal, los datos almacenados en los centros de datos así como las aplicaciones tanto personales como profesionales, es uno de los retos de las empresas actuales. Está a la orden del día que se produzca una utilización malintencionada de los mismos, por parte de los propios usuarios como de agentes externos. Espionaje y sabotaje son algunos de los factores que más preocupan a las organizaciones actuales y afecta por igual a pymes como a grandes empresas, e incluso Estados y Gobiernos. La gestión de las identidades es por tanto un elemento esencial en la protección de los sistemas. Una de las empresa que tiene una gama de productos y soluciones más específicas para este mercado es CA Technologies. Para su portavoz, en la gestión de identidades “muchas empresas ya han adoptado las soluciones de gestión de identidades y control de accesos, y se benefician de sus múltiples ventajas de seguridad como la estandarización de identidades y su control de acceso centralizado, o la automatización que aumenta la productividad en la incorporación y cambio de las identidades, y mejora la seguridad en las bajas. Otras ventajas son las facilidades de auto-servicio que mejoran la experiencia del usuario considerablemente. Sin embargo, a menudo el puzle no está completo y no se incluye la gestión de las identidades privilegiadas, la gestión de la autenticación, la gestión del riesgo en tiempo real durante la autenticación, o el control de accesos a la nube”. Se trata de un tema muy importante y, en concreto, la gestión de identidades debería ser el primer factor a la hora de desarrollar la política de seguridad ya que el eslabón más débil suele ser el usuaruo. Pero no hay que olvidar la cantidad de ataques que sufren las plataformas de acceso Web y por lo tanto hay que alinear todos los entornos para tener una foto global. IAM, CASB, WAF, IPS, SOC… muchas siglas para muchos servicios.
En este mercadi, destaca, además de la mencionada CA Technologies, VMware que ofrece el primer producto IDaaS (Identidad como Servicio) de la industria integrado con una solución de gestión y seguridad para la movilidad en empresas. Se trata de VMware Identity Manager que permite una gestión de identidades en la empresa a la altura de las expectativas del consumidor, para un acceso seguro a las aplicaciones web, móviles y de Windows con un sólo toque. Ofrecido como servicio en la nube o solución en las oficinas, con VMware Identity Manager las organizaciones capacitan a los empleados para que puedan demostrar su productividad enseguida gracias a una tienda de autoservicio de aplicaciones mientras disfrutan de una experiencia de usuario final exquisita. El departamento de TI adquiere una posición central para gestionar el aprovisionamiento, el acceso y el cumplimiento de los usuarios finales con la integración de directorios para empresas, la federación de identidades y los análisis de usuarios.
Estrategia a seguir en la seguridad empresarial
No nos engañemos. Diseñar una correcta política de seguridad empresarial no es sencillo. Puede ser más complicado que lanzar un nuevo producto al mercado. Pero ambos casos tienen un nexo común: el diseño de la estrategia a seguir es fundamental. Más allá de eso, cada empresa tendrá unas necesidades de protección que diferirán bastante de otra empresa perteneciente a otro sector. Si se pregunta a los fabricantes, las opiniones también son diferentes. Por ejemplo, para José Luis Laguna, director técnico de Fortinet, lLa mejor estrategia de seguridad es realizar una protección en múltiples capas. Asegurar solo el perímetro de la red es insuficiente para ataques que se puedan producir desde dentro de la red. En este sentido un firewall de segmentación interna (ISFW) va a poder complementar la protección de los Firewalls perimetrales. Al mismo tiempo, otros vectores de ataque como son el correo electrónico (el vector más utilizado por atacantes) y los servidores de aplicación Web o Bases de Datos, deben protegerse con soluciones específicas antispam, Firewall de aplicaciones web (WAF) o sistemas de protección de servidores de base de datos respectivamente”. En opnión de este directivo, además “tampoco hay que descuidar la protección del EndPoint. La solución elegida debería proporcionar protección cuando el dispositivo se encuentra en la red corporativa (onNet) pero también cuando se encuentre fuera de las medidas de protección existentes en la compañía (offNet).Todos los sistemas de protección anteriormente descritos, deben tener la posibilidad de interactuar con sistemas de detección de amenazas avanzadas, de forma que cualquier fichero sospechoso que no sea detectado por los sistemas de protección tradicionales, puedan ser evaluados por un sistema de sandboxing que analice su comportamiento”.
Es desde Dell Security donde nos han proporcionado un plan simple y sencillo, que puede seguir cualquier empresa que quiera diseñar un completo plan de seguridad:
- Gestión de activos: Evaluar los dispositivos que acceden al sistema. Entender lo que hacen, qué datos recolectan y comunican, quién es el dueño de los datos; y conocer cualquier vulnerabilidad y certificaciones que puedan tener los dispositivos.
- Auditoría: las auditorías permiten entender el impacto del IoT en el tráfico de la red, permiten saber quién accede al sistema, cuándo, dónde, qué hace con los datos y qué comunica. Esto permitirá examinar el rendimiento de la red e identificar cualquier cambio en base a los dispositivos conocidos, desconocidos pero añadidos, a los eliminados, etc.
- Compartimentación: Emplear una política de desconfianza cuando se trata de dispositivos IoT. Asegurar que están en un segmento de red separado o VLAN por lo que no son capaces de acceder o interferir con datos corporativos críticos.
- Autenticación: Conocer si los datos proceden de un sensor y fuente válida.
- Autorización: Al tiempo que crece la complejidad IoT, un único sensor podrá enviar datos de forma segura a múltiples consumidores. Los sistemas deben ser capaces de reforzar las políticas de autorización para asegurar que el sensor envía información sólo donde ha sido aprobado.
- Protección de datos: La protección de datos en movimiento es esencial. La seguridad física de los sensores no siempre es posible, por lo que es crítico que estos deben ser capaces de encriptar los datos que recolectan, pero muchos sensores no serán extensibles para añadir códigos que mejoren la seguridad. Los protocolos de red deben incluir encriptación, especialmente en protocolos inalámbricos.
- Actualización del software A menudo se pueden producir brechas cuando el software y las aplicaciones están desactualizadas.
- Protección de la red: Al tiempo que la red evoluciona es fundamental utilizar un firewall de última generación con rendimiento DPI y SSL DPI para proteger la red.
- Educación: El IoT continuará evolucionando y cambiando rápidamente y seguirá siendo crítico asegurar las tecnologías, las políticas de seguridad, la red, etc. y educar a toda la empresa sobre el uso de estos dispositivos, de los estándares, etc.