Uno de los aspectos importantes al crear una red informática en una empresa es la seguridad. Debemos tener en cuenta que existirán diferentes dispositivos interconectados, de modo que un problema de seguridad en uno de los dispositivos podría afectar a los demás, como cuando un programa malicioso se propaga o un software espía obtiene información de nuestros equipos para utilizarlos a su favor.
Los ataques a las empresas ya no sólo están relacionados con la pérdida de dinero, pueden de cierta manera afectar el prestigio y la reputación de una compañía; estos ataques se pueden reducir haciendo un análisis minucioso de todo el sistema informático, por ejemplo.
No nos debemos basar en una DMZ (zona desmilitarizada) para proteger la red y los datos, es como poner dinero en un banco que sólo depende de un guardia y una sola puerta para asegurarlo. Pero los bancos no mantienen el dinero en efectivo en las mesas de la recepción, ellos esconden el dinero en cajas de seguridad en el interior de bóvedas, a puertas cerradas, en el interior en un edificio patrullado por un guardia y asegurado por una puerta.
Del mismo modo, la segmentación de red ofrece una seguridad similar para los datos sensibles de una organización.
Del mismo modo, la segmentación de red ofrece una seguridad similar para los datos sensibles de una organización.
La necesidad de la segmentación de la red ha sido ampliamente discutido y comentado por años, pero es uno de los métodos de seguridad con menos frecuencia de implementación, en ocasiones se emplea como medio de defensa estratégica.
La segmentación de la red eficaz es un gran trabajo, pero se puede reducir en tan sólo 5 pasos básicos:
1. Comprender el negocio y los objetivos de la organización.
Para saber lo que se debe proteger, es necesario entender los datos y componentes del negocio, como las estaciones de punto de venta, los componentes back-end y front-end o el soporte de las funciones básicas de la empresa. Luego, identificar qué activos, datos y personal son esenciales para asegurar la continuidad del negocio.
2. Crear un plan.
Debemos clasificar, aislar y proteger los componentes más importantes de la red. Aquí es importante conocer el grupo de elementos relacionados entre sí, por ejemplo, todos los servidores en Windows/Linux, en una LAN virtual (VLAN).
Otros grupos de activos podrían incluir infraestructura (routers, switches, VPN, VoIP) en una VLAN y los activos de seguridad (IDS, cortafuegos, filtros web, escáneres, videovigilancia, control de acceso y automatización) en otro.
Los servidores de recursos financieros o humanos típicamente necesitan su propia VLAN debido a la naturaleza confidencial de la información que procesan y almacenan. Sin duda la segmentación de departamentos en diferentes redes virtuales, dan la seguridad de mantener los datos sensibles dentro del grupo de personas que sólo necesitan dicha información.
3. Determinar quién puede acceder a ciertos datos.
Esto se reduce a una necesidad de grupos internos de la empresa al momento de manejar determinados datos. Por ejemplo: si dos gerentes de departamento necesitan monitoreo de sus áreas, cada uno debe visualizar las cámaras de su área (cubículos, Call Center, salas de conferencia, etc.) pero también pueden visualizar área en común (pasillos, salas de espera, etc.), o pueden tener el mismo puesto pero en diferentes sucursales.
4. Poner en práctica la segmentación.
En una organización grande, la segmentación de la red es un importante proyecto a largo plazo, pero cada paso del camino sirve para mejorar la seguridad de la red. Con la segmentación es posible identificar todo el tráfico, y así determinar lo que es normal y necesario para la toma de decisiones. Una vez conociendo lo necesario, debemos iniciar el bloqueo del acceso a la VLAN de cualquier otro lugar, con el objetivo final de denegación predeterminada.
5. Mantenimiento.
No debemos creer que la segmentación de red se puede mantener sola.
La política de acceso a la red, reglas de firewalls, routers y dispositivos relacionados, cambian constantemente para atender a los nuevos requerimientos del negocio. La segmentación adecuada es fundamental.
Finalmente, la segmentación de red es un componente efectivo, es una estrategia para la defensa de los datos sensibles en una empresa.
Las organizaciones que la implementan deben estar preparadas para manejar decenas de firewalls, switches y routers, cada uno con cientos de reglas, todos los cuales se verán afectados por el proceso de segmentación de la red y potencialmente por las actualizaciones y cambios, incluso después de que todo esté trabajando perfectamente.
Un enfoque riguroso es esencial, y también se requiere una importante inversión de tiempo y personal.
Si desea mayor información sobre este artículo, por favor dirija su petición al Ing. Xavier Güereque a: xavier.guereque@syscom.mx y recibirá respuesta inmediata.