Llevo mas de 25 años dedicado a analizar la situación en la que se encuentran las empresas en materia de seguridad, y excepto honrosas excepciones, la dirección de la empresa no es consciente de los peligros ☠☠☠ a los que se expone por no proteger adecuadamente la información, y no dota con presupuesto suficiente la ciberseguridad y disponibilidad de las TIC.
Recordad siempre estas tres variables en materia de seguridad – DISPONIBILIDAD, CONFIDENCIALIDAD E INTEGRIDAD, cuando cualquiera de ellos se sienten afectadas, la empresa empieza a tener problemas.
Siempre pongo como ejemplo que el sistema de facturación ERP es atacado y el servidor cae, no podemos recibir ni enviar mercancía, no podemos facturar, no podemos emitir recibos, no podemos girar recibos, no podemos cobrar/pagar, no podemos atender pedidos, ni recibir mercancías … y así empiezan los problemas, pero a pesar de esto, hay gente que vive tranquila.
En este documento voy a realizar un repaso por los principales aspectos que todos debéis considerar para proteger vuestra empresa como responsables de seguridad.
Pasos a seguir en el control de ciberseguridad
Lo primero que todos hacéis es poner un firewall como medida de protección, pero un firewall puede ser básico (layer 3) o con análisis de lo que ocurre a través de la red (layer 7), y con este debemos aplicar las políticas de seguridad – ver donde se pueden conectar los usuarios, bloquear, permitir, registrar… – . Con estos firewalls, ya podéis acceder a la red de la empresa desde fuera con la VPN.
Pero luego tenemos que considerar los siguientes aspectos:
2. Segmentación de la red. Analizar los activos de información a los que acceder y en base a estos grupos, definir las VLANs que se deben crear en el firewall con diferentes políticas, integrando segmentos y grupos de usuarios, para bloquear o permitir.⛔
3. Configurar los switches con diferentes VLANs y los Wifi con diferentes SSIDs. Y aquí es donde nos encontramos con los primeros problemas… los switches domésticos con los que nos encontramos son domésticos, no permiten configuración. Hay que cambiar los dispositivos a equipos gestionables.
4. Analizar los datos. En otro articulo hablaremos de como analizar la topología de los activos de información, pero a priori tenéis que tener claros todos los tipos de información de la empresa – correo, ERP, CRM, nóminas, producción, ofertas, listas de precios …. Y fijarle etiquetas de CRITICOS, NORMALES o BASICOS. Y una vez identificados, ahora definir quién debe tener acceso a esta información. ♀️♀️
5. Proteger la seguridad de acceso. Cada vez más los sistemas de información cloud, requieren disponer de una contraseña adicional valida durante un breve espacio de tiempo. Si tenéis un firewall y os conectáis con VPN, aplicad esta práctica mediante clave enviada por email o mediante un SMS o token. Y si podéis, y tenéis un Repositorio de usuarios, como un Active Directory, integrarlo con el firewall para una cómoda gestión de usuarios.
Doy por hecho que las copias de seguridad ya las estáis realizando de toda la información, en varios sitios – dentro, y fuera de la empresa -, y por supuesto dando formación a los usuarios para evitar problemas de phishing y de ataques de ingeniería social.
Una vez llegado a este extremo, os presento más cuestiones de seguridad que deberíais plantearos en los siguientes pasos.
- Monitorizar toda la red y los sistemas. Tener un monitor de control, controlando el % CPU antes de que entre en modo conservativo, ocupación de memoria, capacidad de disco duro, latencias, ocupación de ancho de banda… en todos y cada uno de los elementos. Nosotros utilizamos Zabbix para monitorizar todos los dispositivos de nuestros clientes.
- Cumplimiento de políticas de seguridad. Es importante que los equipos informáticos en local cumplan con una serie de requisitos, actualizaciones de sistema operativo, antivirus, acceso a determinados sitios en Internet.. pero esto es aplicable no solo a los equipos locales, sino a los equipos conectados con la red VPN y por supuesto, los ordenadores que salen de la oficina, se infectan y luego vuelven a conectarse a la red de la oficina después de estar llenos de bichos… EMS SERVER ¡!!!
- Controles específicos. Se han ido desarrollando una serie de firewalls específicos para cada uno de los servicios que se complementan con el firewall indicado al principio del documento, como son FORTIMAIL – para protección especifica de correo, antes de que lleguen al servidor o al buzón de correo del usuario – , FORTIWEB – para proteger portales de Internet, eCommerce… evitando las vulnerabilidades del software que permite que funciones las aplicaciones web, FORTICASB – un control de todos los ficheros que los usuarios guardan en almacenamiento compartido tipo GOOGLE DRIVE, ONEDRIVE, DROPBOX…
- XDR. Hasta ahora hemos pasado a duras penas protegiendo los ataques de Ransomware con antivirus y mucho cuidado. Ahora llega un nuevo elemento que controla los equipos informáticos analizando los procesos que se ejecutan en los ordenadores, de modo que si hay algo que se pone en marcha y realiza procesos no considerados oportunos, matan la tarea. ☠☠☠
- NAC. Y este es el elemento de control a considerar en función de los dispositivos que se conecten en la empresa. Cada vez mas con la proliferación de dispositivos Wifi, los usuarios conectan dispositivos domésticos no corporativos a la red de la empresa, infectados y sin control. Se conectan dispositivos como AppleTV, Google Chrome… que no tienen ninguna capa de seguridad, o los famosos dispositivos IoT… Pues aquí está el dispositivo de Control de Acceso. , en función del usuario, del tipo de dispositivo, del sistema operativo, … y más de 13 parámetros mas, podemos microsegmentar la red para que los comportamientos de los dispositivos en la red estén totalmente controlados.
Espero que os sea útil esta guía, para avanzar en materia de seguridad dentro de la empresa.