Mitigar los riesgos de seguridad en la periferia de la red

Anuncio
Informe / Seguridad
Mitigar los riesgos
de seguridad en la
periferia de la red
Prácticas recomendadas para
las empresas distribuidas
CONTENIDO:
++ Amenazas en la empresa
distribuida y estrategias para
obtener redes más seguras.
++ Tareas obligatorias en la
configuración de la red.
++ Información sobre la
seguridad basada en la
nube, cumplimiento de las
normas PCI y redes paralelas.
++ Dos métodos para aumentar
la seguridad.
Informe / Seguridad
Cada año, los especialistas en relaciones públicas de al menos
una de las grandes corporaciones trabajan a contrarreloj en un
intento de explicar a un público enfadado y asustado, con razón,
qué ha sucedido para que su empresa pusiese en riesgo los datos
del cliente. Lo primero que se ve afectado de forma inmediata
es la reputación de la empresa que tiene como resultado una
pérdida de la fidelidad de la marca ya que los clientes se llevan
sus negocios a otro sitio. Y, por supuesto, las infracciones de
seguridad tienen también muchas otras consecuencias.
Impactos potenciales de una infracción de datos:
++ Costes legales
++ Pérdida de ingresos o de productividad debido a la falta de
disponibilidad de los recursos de producción
++ Multas por violación de las normas de cumplimiento
de privacidad
++ Multas por infracción del Estándar de Seguridad de Datos
para la Industria de Tarjeta de Pago
++ Pérdida de información patentada, competitiva o intelectual
++ Pérdida de beneficios futuros como consecuencia de la
incapacidad de demostrar un proceso de seguridad sólido
para clientes, proveedores y socios
CUANDO SE PRODUCE
UNA INFRACCIÓN DE LA
SEGURIDAD, EL 90% DEL
TIEMPO PROMEDIO DE LA
RESOLUCIÓN SE EMPLEA
EN IDENTIFICAR EL
PROBLEMA.1
EN LOS MÁS DE
1300 INCIDENTES DE
VIOLACIONES DE DATOS
EN 2013:
EL 91% DE LOS
INCIDENTES SE
ORIGINARON EN EL
EXTERIOR.
EL 88% TARDÓ MINUTOS
EN AFECTAR
Y AFLORAR.
EL 85% TARDÓ SEMANAS
EN DETECTARSE.
EL 45% INCORPORÓ
MALWARE.2
Oficina
central
TODOS ESTOS
PORCENTAJES
HAN AUMENTADO
SIGNIFICATIVAMENTE
DESDE EL AÑO ANTERIOR.
Como puerta de enlace a Internet, las empresas
distribuidas en la periferia de la red son muy
vulnerables ante las amenazas de seguridad.
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
2
Informe / Seguridad
RIESGOS EN LA PERIFERIA
Las empresas con cientos o miles de ubicaciones se enfrentan
a grandes desafíos constantes para mantener la seguridad de la
red y se encuentran en una situación particular de alto riesgo
de sufrir infracciones de datos. La periferia de la red, que es
la zona más vulnerable, debe protegerse muy bien frente a las
vulnerabilidades, amenazas y ataques de programas maliciosos.
Los ciberdelincuentes ven en la periferia de la red un blanco fácil
puesto que las ubicaciones distribuidas suelen procesar datos
altamente sensibles (como las tarjetas de crédito), pero cuentan
con prácticas de seguridad no muy sólidas.
Los factores que contribuyen a la debilidad de la seguridad en la
periferia de las redes de empresas distribuidas son:
++ Falta de soporte de TI in situ. Las medidas de seguridad
como actualizaciones del firmware y aplicación de
políticas (reglas de firewall, listas de control de acceso,
configuraciones inalámbricas y VLAN) deben llevarse a cabo
de forma regular, pero, sin personal de TI in situ, se suelen
pasar por alto con facilidad. Incluso las sucursales con
soporte de TI in situ rara vez disponen de los conocimientos
propios necesarios para implementar y mantener una
configuración compleja de la seguridad.
++ Ausencia de concienciación de la seguridad por parte del
empleado. En la era del BYOD o “Trae tu propio dispositivo”,
los dispositivos de los empleados que acceden a la red
corporativa presentan vulnerabilidades a través de puntos
de acceso no autorizados, ataques de suplantación de la
identidad o fraude electrónico y otros ataques de ingeniería
social. Si no cuentan con la formación adecuada, los
empleados pueden poner en riesgo a la empresa al abrir
correos electrónicos o pulsar en enlaces que permiten la
entrada de programas maliciosos en su dispositivo y en la red.
++ Acceso a la red de clientes y de terceros. Muchas empresas
interactúan con terceros que requieren acceso a Internet.
Por ejemplo, un proveedor HVAC puede solicitar el uso
de la red de la empresa para supervisar y ajustar los
valores de calefacción y aire. Los kioscos dentro de los
establecimientos necesitan acceso a la red para transmitir
datos, y los clientes necesitan WiFi para sus dispositivos
móviles mientras realizan las compras.
Con tantos agentes que necesitan acceso a Internet e innumerables
riesgos derivados de las violaciones de la seguridad, las empresas
deben mantenerse alerta en el desarrollo, actualización y aplicación
de políticas de seguridad en la periferia de la red.
LAS EMPRESAS
CON SUCURSALES
O UBICACIONES
DISTRIBUIDAS DE
PEQUEÑO TAMAÑO
SON LAS QUE ESTÁN EN
SITUACIÓN DE MAYOR
RIESGO DE SUFRIR
INFRACCIONES DE DATOS.
EL 80% DE LAS
INFRACCIONES DE
DATOS DEL SECTOR
MINORISTA TUVO LUGAR
EN ESTABLECIMIENTOS
CON MENOS DE
100 TRABAJADORES.
EL 24% DE LOS ATAQUES
AFECTÓ AL SECTOR DE LA
INFORMACIÓN Y SERVICIOS
PROFESIONALES.
EL 34% DE LAS
INFRACCIONES DE DATOS
TUVIERON REPERCUSIÓN
EN LAS ORGANIZACIONES
FINANCIERAS.
EL 20% DE LOS ATAQUES
IBA DIRIGIDO AL SECTOR DE
FABRICACIÓN Y SECTORES
RELACIONADOS.
EL 30% DE LAS
INFRACCIONES DE DATOS
SE REALIZAN A TRAVÉS DE
LOS DISPOSITIVOS DE LOS
USUARIOS.3
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
3
Informe / Seguridad
ARQUITECTURAS DE RED DE LA EMPRESA
DISTRIBUIDA
MODELO HUB-AND-SPOKE: ACCESO CONTROLADO A UN
CENTRO DE DATOS CENTRALIZADO
“Hub-and-Spoke” es una arquitectura que aprovecha redes
privadas virtuales (VPN) o puertas de enlace privadas en la nube.
Algunas redes privadas virtuales no utilizan codificación para
proteger la privacidad de los datos. Aunque algunas VPN suelen
ofrecer seguridad, una red de solapamiento sin codificación no
encaja muy bien en la categorización de seguro o fiable. Las
redes VPN se deben configurar para actuar como puerta de
enlace a uno o más segmentos del entorno, aplicando requisitos
sólidos de autenticación, funciones de inspección de puntos
finales e integración con los escritorios virtuales, dispositivos de
propietario o tecnologías de puntos de venta.
LA ARQUITECTURA
HUB-AND-SPOKE
UTILIZA VPN PARA
GARANTIZAR
EL ACCESO
CONTROLADO A UN
CENTRO DE DATOS
CENTRALIZADO.
Oficina
central
Establecimiento
Conexiones a Internet no seguras
Red VPN segura
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
4
Informe / Seguridad
VENTAJAS
CLAVE PARA EL ÉXITO
Seguridad. Para diversas ubicaciones remotas, una
red VPN puede evitar el coste que supondría una
conexión a Internet dedicada. El mantenimiento
del establecimiento de una conexión LAN a
través de una VPN de Internet es muy bajo en
comparación con las soluciones tradicionales
de línea dedicada. Con una codificación y una
autenticación adecuadas, la arquitectura VPN
constituye una solución altamente escalable y
rentable para la transmisión segura de los datos.
Proteja la arquitectura hub-and-spoke mediante
aislamiento y segmentación. En el pasado muchas
organizaciones utilizaban una arquitectura de
firewall único o dual que dividía las redes en
segmentos en las capas 3 y 4, limitando los rangos
de direcciones IP y los puertos del Protocolo de
control de transmisión (TCP) y del Protocolo de
datagrama de usuario (UDP) que podían pasar a
un segmento o a otro. Aunque esta arquitectura
de seguridad de la red sigue siendo todavía la
más común, cada vez más organizaciones están
empezando a controlar el tráfico en las capas
superiores y a utilizar tecnologías emergentes que
facilitan la captura, el análisis y el control del tráfico.
Si desea obtener más información, consulte la
página 11, “Dos métodos para aumentar la seguridad”.
Detección de amenazas. Los datos se pueden
analizar durante su transmisión por la red y
utilizar para identificar amenazas o infracciones
potenciales. La implantación de la misma
infraestructura de prevención de intrusos en el
núcleo de la red de las sucursales minimiza las
posibilidades de errores de configuración en la
periferia de la red.
Control. Las empresas encargadas de transmitir
o almacenar datos altamente sensibles
pueden sentirse más seguras al controlar la
implementación y el mantenimiento de la
arquitectura de seguridad.
RIESGOS
Errores de planificación y configuración. El uso
de una VPN exige un alto nivel de planificación
y configuración además de una actualización
regular del firmware del router y de la aplicación
de políticas de seguridad. Las redes se deben
configurar adecuadamente y mantener de
forma periódica. La existencia de segmentos
configurados de forma inadecuada puede crear
brechas en la seguridad en la red central, que los
hackers pueden aprovechar para acceder a los
datos sensibles.
La seguridad física también es importante para
impedir el robo del router/puerta de enlace de la
periferia, que se puede utilizar para acceder a las
redes corporativas y a los datos sensibles.
LA NUBE Y LOS SERVICIOS DE
SEGURIDAD
Muchas organizaciones quieren disfrutar del
ahorro de costes y de los procesos eficaces de
la nube, pero no quieren sacrificar los niveles
tradicionales de control y seguridad. Las
soluciones tradicionales de seguridad de redes
exigen el uso de hardware caro y con demasiadas
características, interfaces arcaicas de líneas de
comandos, cursos de formación intensiva de
varios días, programas de certificación y manuales
de 400 páginas.
Si la seguridad es demasiado compleja, aumentan
las posibilidades de errores de configuración
y consecuencias no esperadas. Para aquellas
empresas distribuidas con poco soporte de TI in
situ o con ninguno, la seguridad basada en la nube
ofrece visibilidad, configuración y control de miles
de dispositivos en cualquier punto del planeta. Lo
ideal sería que las empresas distribuidas utilizaran
soluciones de seguridad que combinasen la
inmediatez de la gestión local con la simplicidad y
el control centralizado de la nube.
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
5
Informe / Seguridad
VENTAJAS
Escalabilidad y concentración. Aumentar el nivel
de la arquitectura de seguridad basada en la nube
se puede realizar de forma más sencilla y más
rentable, con menos planificación que la que exigen
las arquitecturas tradicionales basadas en hardware.
Los procesos relacionados con la seguridad, las
respuestas a las amenazas, las actualizaciones y los
parches de seguridad se pueden aplicar con mayor
rapidez a través de la arquitectura de aplicaciones
de seguridad basada en la nube.
Gestión de amenazas. El tráfico web se
puede autenticar, codificar y filtrar rápida y
dinámicamente con una latencia de casi cero.
Los ataques externos de Internet se pueden
rechazar al tiempo que se detectan e impiden los
programas maliciosos locales.
Respuesta a las amenazas. A diferencia de
muchas soluciones in situ, los registros de
sucesos y alertas se pueden filtrar de forma
dinámica a través de algoritmos basados en la
nube para obtener una supervisión más detallada
y analítica aplicable.
Enrutamiento del tráfico más flexible. Los
protocolos simplificados de seguridad y túneles
basados en la nube para proteger los datos en
transición se pueden configurar e implementar
entre los sitios remotos y las oficinas centrales
corporativas con mucha mayor rapidez y sin el
coste de las cabeceras de hardware tradicionales.
Aislamiento de datos. Las empresas pueden aislar
los datos sensibles, como la información del
titular de la tarjeta, de las aplicaciones de blanco
frecuente como el correo electrónico.
Tiempo de resolución. Para empresas con
organizaciones dotadas con el personal de TI
necesario, los problemas relacionados con las
soluciones in situ se pueden abordar iniciando
sesión directamente en el dispositivo con el fin de
ofrecer soporte al proveedor con mayor rapidez.
Respecto a las soluciones basadas en la nube, el
personal de TI debe abrir una incidencia y trabajar
externamente para solucionar los problemas, lo
cual puede aumentar el tiempo de resolución.
Personalización. Con el nivel adecuado de
presupuesto, recursos y tiempo, las soluciones
in situ se pueden personalizar para cumplir las
necesidades de seguridad específicas de una
organización y ofrecer, al mismo tiempo, un
conjunto sólido de soluciones. En las ofertas de
seguridad basadas en la nube, el personal de TI
puede abordar las vulnerabilidades de la red pero,
a cambio, pierde un nivel de personalización en
favor de la velocidad y la escalabilidad.
Uso compartido de recursos y errores de
aislamiento. En un modelo de seguridad basado
en la nube, los clientes comparten los recursos del
proveedor con otros clientes. Los proveedores de la
nube suelen implementar medidas de aislamiento
para impedir un ataque de “abordaje al sistema
anfitrión” o un ataque pívot (en el que un hacker
aprovecha las vulnerabilidades de un sistema
operativo para obtener acceso a otro alojado en
el mismo hardware físico), pero siempre existe
el riesgo de que fallen estas medidas. Como los
servicios en la nube se ofrecen a diversos clientes
con distintos niveles de riesgo, es fundamental
la segmentación multitenencia (separación de los
recursos del usuario por proveedor de nube).
RIESGOS
Además, es posible que el proveedor no pueda
borrar completamente los datos del hardware, ya
que los clientes suelen compartir o reutilizar el
hardware que otros clientes utilizan.
Pérdida de control. En un modelo basado en la
nube, los datos y la información se almacenan
en un proveedor de terceros. Por ello, no es fácil
inspeccionar las prácticas del manejo de datos
del proveedor. Y, aunque sucede pocas veces,
siempre existe la posibilidad de que un empleado
deshonesto del proveedor de la nube comprometa
los datos.
Seguridad comprometida desde dentro. Si no se
configuran con cuidado los permisos y roles de
usuario, un usuario podría suprimir o modificar
sus datos dentro de la solución en la nube. Por
ejemplo, un empleado nuevo en la solución con
acceso administrativo a la solución en la nube podría
suprimir datos importantes mientras intenta conocer
la nueva solución o un empleado malintencionado
podría comprometer los datos deliberadamente.
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
6
Informe / Seguridad
Portabilidad de los datos. Puede resultar difícil, si no imposible,
trasladar datos si necesita cambiar de proveedor en la nube, a
menos que haya un acuerdo previo entre el proveedor y la empresa
que especifique que la información es propiedad de la empresa.
CLAVES PARA EL ÉXITO
Maximice y automatice los servicios en la nube con servicios
de gestión de amenazas. Además de implementar controles
y técnicas de aislamiento, las empresas distribuidas pueden
disminuir los costes y la complejidad de la red mediante la
reducción de su infraestructura hasta cierto punto y seguir
utilizando seguridad multicapa en todos los sitios. Los servicios
de gestión de amenazas ofrecen una combinación de servicios
como protección contra malware, protección de correo electrónico
y antispam, filtrado de contenido, reglas de firewall de capa 3 y 4
tradicional, VPN y funciones de proxy web.
Muchos de estos sistemas incluyen además seguridad basada
en la nube, escalable y centralizada como oferta de servicio para
aumentar y automatizar la inspección del tráfico y proporcionan
controles más estrictos de los sitios con herramientas de
supervisión y personal limitado.
Para muchas empresas, el cumplimiento de la normativa es el
motor principal de los cambios tanto en seguridad como en
operaciones de TI en general. Cualquier tecnología o cambio
del diseño interno que pueda limitar o reducir el alcance del
entorno sujeto al cumplimiento puede ahorrar dinero y tiempo. El
aislamiento de sistemas, aplicaciones y segmentos de redes que
gestionan los datos de las tarjetas de pago, por ejemplo, puede
llegar muy lejos en el límite del alcance de las auditorías de las
normas PCI DSS versión 3.0.
INCLUSO EMPRESAS
QUE NO PROCESEN
PAGOS DE TARJETAS
DE CRÉDITO DEBERÍAN
CONSIDERAR LA
IMPLEMENTACIÓN
DE PCI DSS 3.0
COMO BASE DE LA
SEGURIDAD GENERAL.
MUCHOS ESTÁNDARES
DE SEGURIDAD PCI SE
OCUPAN DE RIESGOS
GENERALES DE LA RED
FUERA DEL ÁMBITO
DE LA SEGURIDAD DE
DATOS DEL TITULAR
DE UNA TARJETA.
Conexiones a Internet seguras
Conexión de red privada virtual
Oficina
central
Establecimiento
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
7
Informe / Seguridad
ESTRATEGIAS PARA UNA RED MÁS
SEGURA
APLICAR VISIBILIDAD DE DISPOSITIVOS, LA
CLAVE DE TODA ESTRATEGIA DE SEGURIDAD
Con muchos dispositivos móviles nuevos uniéndose
a la red WLAN de la empresa, la visibilidad de las
aplicaciones móviles se está convirtiendo en un
aspecto central. Los administradores de la red
necesitan poder identificar, seguir y clasificar todos
los dispositivos que acceden a la red. La visibilidad
de dispositivos proporciona al personal de TI
inventario e inteligencia de seguridad en tiempo
real para la remediación activa al tiempo que
permite a los usuarios conectarse a la perfección
a la red sin interrupciones ni cambios en la
experiencia del usuario final.
Prácticas recomendadas para la aplicación de la
visibilidad de dispositivos:
++ Utilice diversos criterios para identificar
dispositivos además de las direcciones MAC
e IP (que pueden falsificarse) como Id. de
dispositivos e identificadores del sistema
que usen convenciones de denominación
específicas
++ Aproveche al máximo las herramientas
de auditoría y cumplimiento para ofrecer
información adicional sobre riesgos y
vulnerabilidades
++ Habilite alertas y acciones de cumplimiento
para dispositivos que intenten acceder a
la red
++ Realice auditorías de forma periódica y
mantenga las topologías de redes (lógicas y
físicas) actualizadas y precisas
++ Utilice un conjunto común de controles de
seguridad para la gestión de las políticas
++ Establezca prácticas recomendadas de
seguridad en relación con el control, riesgo
y cumplimiento
++ Colabore y comuníquese con los equipos de
dentro de la organización de TI
REDES Y DISPOSITIVOS SEGUROS
FÍSICAMENTE
El estándar de seguridad PCI exige que los
servidores, el equipo de redes y otros componentes
del sistema de tarjetas de pago se mantengan en
una sala cerrada con llave y con control de acceso,
preferiblemente con un sistema de vídeovigilancia.4
Esto disminuye el riesgo de robo de un dispositivo
con acceso a la red por parte de un individuo no
autorizado. La seguridad física de los dispositivos
también impide que los ciberdelincuentes
ataquen dispositivos ajenos al router que podrían
supervisar para robar datos de la red.
EVALUACIONES PERIÓDICAS DE SEGURIDAD
Durante una evaluación de la seguridad, un
asesor profesional “ataca” la red para identificar
y recomendar controles en torno a las debilidades
que encuentre en las arquitecturas de seguridad,
incluidas la seguridad física, la fortaleza de las
claves del dispositivo, la configuración de la red y
las vulnerabilidades del dispositivo del cliente.
Las pruebas periódicas de penetración de la red o las
evaluaciones de la seguridad son obligatorias para
el cumplimiento de las normas PCI. El objetivo es
probar el acceso desde entornos de baja seguridad
a entornos de alta seguridad. Esta práctica evalúa
si los datos del titular de la tarjeta se han aislado
de los otros segmentos de la red y comprueba que
no exista conectividad entre las redes dentro del
ámbito y fuera del ámbito (redes que contienen
los datos de los titulares de las tarjetas y las que
no contienen estos datos). Las empresas con
un alto número de prestaciones o componentes
del sistema solo pueden evaluar una muestra
del número total de componentes, aunque la
muestra debe ser lo suficientemente grande para
ofrecer una garantía razonable de que todas las
prestaciones o componentes de la empresa se han
configurado siguiendo el proceso estándar. El asesor
de seguridad debe comprobar que los controles
estandarizados y centralizados se han implementado
y que funcionan de forma eficaz.5 El estándar de
seguridad PCI recomienda realizar las pruebas de
penetración como mínimo una vez al año.
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
8
Informe / Seguridad
ENSEÑAR A LOS EMPLEADOS A RECONOCER ATAQUES A
LA RED
Desgraciadamente, no hay ningún firewall o programa antivirus
capaz de proteger la red a la perfección contra todos los tipos de
programas maliciosos. Por lo tanto, la empresa debe enseñar y
aplicar protocolos de seguridad de empleados. En particular, se debe
formar a los empleados para que sean capaces de reconocer correos
electrónicos de suplantación de la identidad e informar de ellos.
Los empleados deben conocer las señales comunes de un correo
electrónico de suplantación de la identidad:
++ Se insta al empleado a hacer clic en enlaces, especialmente
en unos que no resultan familiares o que no encajan con la
dirección web supuesta del origen
++ Se solicita de manera urgente que se proporcione
información, que se llame a un número de teléfono o que
se descarguen los archivos adjuntos
++ Mala ortografía o gramática atípica
LOS FRENTES DE
AMENAZAS WEB Y DE
CORREO ELECTRÓNICO
CONSTITUYEN LA
FUENTE DE ATAQUES
DE LA RED MÁS
SIGNIFICATIVA. EN
GENERAL, LOS ATAQUES
PROCEDENTES DE
ACTIVIDADES EN LA
WEB SON CINCO VECES
MÁS PROBABLES
QUE LOS ATAQUES DE
CORREO ELECTRÓNICO.6
TAREAS OBLIGATORIAS EN LA CONFIGURACIÓN
DE LA RED
1. BLOQUEE LOS PUNTOS DE ENTRADA DEL ROUTER
++ Deshabilite Universal Plug & Play. No permita que usuarios
sin privilegios manipulen la configuración de la red.
++ Deshabilite los pings WAN. No permita que los hackers
sondeen las vulnerabilidades de seguridad.
++ Deshabilite la administración remota. No permita que los
intrusos puedan acceder a la interfaz de usuario del router.
++ Utilice filtrado MAC. Cree una lista de dispositivos que
tengan acceso exclusivo o ninguno a la red inalámbrica.
Aunque las direcciones MAC se pueden falsificar, crean una
barrera adicional para el ciberdelincuente.
++ Utilice las reglas de filtrado de IP. Restrinja el acceso
remoto a los sistemas de la red local.
++ No utilice direcciones IP WAN públicas a las que se puede
acceder en la periferia. De ser así, se deja la periferia de la
red abierta a los ataques.
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
9
Informe / Seguridad
2. CONFIGURE EL FIREWALL DE LA RED
PARA CUMPLIMIENTO DE LAS NORMAS PCI
Cinco controles para el cumplimiento PCI:
++ Stateful Packet Inspection (Inspección
superficial de paquetes - SPI). Supervisa el
tráfico saliente y entrante para garantizar
que solo las respuestas válidas a las
solicitudes salientes puedan atravesar el
firewall.
++ Reglas de reenvío de puerto. Abre los
puertos en el firewall de una manera
controlada para aplicaciones específicas.
++ Antisuplantación. Comprueba los
paquetes para protegerlos contra usuarios
malintencionados que falsifican la dirección
de origen en los paquetes para ocultarse o
bien suplantar a otra persona.
++ Zona desmilitarizada. Mantiene la mayoría
de los ordenadores detrás de un firewall, y
uno o varios se ejecutan fuera del firewall,
o en la zona desmilitarizada (DMZ) con
el fin de añadir una capa de seguridad
adicional a la red de la empresa y que los
ciberdelincuentes solo puedan acceder a
los ordenadores de la red dentro de la zona
desmilitarizada.
++ Firmware actualizado. Además de ser
una práctica de seguridad importante, es
necesario que el router y el firmware del
módem estén actualizados para poder
cumplir las normas PCI.
Aunque las prácticas mejoradas de implementación,
mantenimiento y aplicación de la seguridad en la
red son estrategias importantes para reducir el
riesgo de violación de datos, recomendamos la
segmentación de la red o, incluso mejor, el uso de
redes paralelas específicas de una aplicación que
garantice que las vulnerabilidades de seguridad de
una aplicación no se puedan comprometer y dar
paso a los datos de otras aplicaciones, como los
sistemas de puntos de venta.
DOS MÉTODOS PARA AUMENTAR LA
SEGURIDAD
1. CREAR ZONAS DE SEGURIDAD MEDIANTE
LA SEGMENTACIÓN DE RED
La segmentación de red permite dividir la red en
“zonas de seguridad” o segmentos separados por
un firewall. Los segmentos configurados de forma
adecuada separan las aplicaciones e impiden
el acceso a los datos sensibles. Un sistema de
punto de venta, por ejemplo, debe operar en un
segmento de la red separado de las aplicaciones
de terceros, correo electrónico de los empleados y
WiFi público.
Esto limita la posibilidad de que los
ciberdelincuentes pasen de una aplicación a
otra, y permite que los administradores de
red gestionen la calidad del servicio (QoS) en
segmentos específicos, priorizando el uso del
ancho de banda para aplicaciones fundamentales.
Primeros pasos en la segmentación de red
La segmentación de red es un proceso complejo y
requiere una supervisión meticulosa y constante.
Esta arquitectura, aunque es altamente segura
si se configura adecuadamente, puede dar lugar
a muchos errores en la configuración. Siga estos
tres pasos para empezar:
++ Cree grupos de puertos Ethernet. La
agrupación lógica de puertos Ethernet
permite la comunicación libre entre los
ordenadores conectados físicamente a
los puertos Ethernet dentro de un grupo.
Puede deshabilitar uno o todos los SSID del
router o incluso toda la radio WiFi.
++ Utilice la infraestructura WPA2/Enterprise,
RADIUS/TACACS+ y PKI. Esto proporciona
un repositorio central para usuarios o
dispositivos con permiso para acceder a la
red y utiliza certificados para autenticar el
servidor y el dispositivo.
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
10
Informe / Seguridad
++ Utilice una infraestructura PKI para
conseguir mayor seguridad.
++ Utilice autenticación de dos factores para
minimizar el robo de cuentas de usuario
que utilizan empresas terceras.
++ Cree y configure segmentos VLAN.
Una red VLAN permite la agrupación de
dispositivos. Después de crear una red
VLAN, seleccione los puertos LAN o los
grupos Ethernet a los que el Id. de VLAN
debe corresponder.
Cada segmento debe tener su propia
configuración de dirección IP, modo de
enrutamiento, control de acceso e interfaces
(por ejemplo, SSID WiFi, grupos Ethernet y VLAN).
En la actualidad no existe ninguna herramienta
que supervise y busque automáticamente
vulnerabilidades dentro de una red segmentada
o entre segmentos. Esta supervisión se debe
realizar manualmente. Por esta razón, muchas
empresas decidirán que el uso de redes paralelas
es una mejor solución, a nivel global, para
mantener seguros los datos sensibles.
Ilustr. 1. Creación de zonas seguras
mediante segmentación de red
Conexión segura a
Internet
SSID núm. 1
“Empleado”
Segmento
de empleados
SSID núm. 2
“POS”
SSID núm. 3
“Proveedor”
Segmento de
dispositivos POS
SSID núm. 4
“Público”
Segmento
de proveedores
Segmento
público
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
11
Informe / Seguridad
2. APROVECHE LA SENCILLEZ DE LAS REDES PARALELAS
A diferencia de la segmentación de una sola red, la creación de varias redes paralelas
es una solución relativamente sencilla. Se asignan diferentes aplicaciones a redes
completamente separadas (“air gap”). Esta separación física de los datos impide que
los ciberdelincuentes puedan utilizar un dispositivo comprometido para acceder a otros
servidores y redes, incluidas las que contienen datos sensibles.
Por ejemplo, la empresa debería considerar alojar la WiFi de clientes, los dispositivos
de los empleados y los sistemas de punto de ventas en sus propias y respectivas redes.
Las empresas con redes paralelas esperan que empresas terceras como proveedores,
socios y kioscos, que necesiten acceso a Internet, traigan su propia red (“Bring Your
Own Network”). Como las empresas terceras traen su propia red paralela, la compañía
puede conservar el control de sus propias funciones de red, y reducir así el alcance
global del trabajo de mantener la seguridad de la red.
Las redes paralelas reducen significativamente la cantidad de tiempo y los
conocimientos necesarios para segmentar redes por aplicaciones, y limitan el alcance
del trabajo de mantenimiento del cumplimiento de las normas PCI en la red que se
utiliza para transmitir los datos de los titulares de las tarjetas.
Área de clientes
Sala
de equipos
Oficina
central
Sistema de
seguridad
WiFi de empleados
Smartphone del cliente
TI
Trastienda
Punto de venta
Kiosco
de terceros
Red de empleados
Ilustr. 2. Redes paralelas administradas por una fuente
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
12
Informe / Seguridad
SOLUCIONES DE CRADLEPOINT
DISEÑADAS PARA LA SEGURIDAD EN LA
PERIFERIA DE LA RED
Los dispositivos de router/firewall y el software de
gestión basado en la nube de Cradlepoint se han
diseñado para mitigar los riesgos de seguridad y
mantener el cumplimiento de las normas PCI para
empresas distribuidas que utilizan todos los tipos
de arquitecturas de red. Un número creciente de
empresas se está pasando a las redes paralelas
al descubrir que las soluciones 4G de Cradlepoint
permiten segmentar la red de forma más sencilla y
segura. Además, las redes paralelas suelen reducir
los costes indirectos de las empresas, incluida la
necesidad de configuraciones complejas de redes
sometidas al error humano, a auditorías complejas
del cumplimiento de las normas PCI y a los valores
de la calidad del servicio (QoS) en general de las
aplicaciones específicas de la red.
ENTERPRISE CLOUD MANAGER PARA
CONTROL CENTRALIZADO
Escalabilidad masiva: Supervise y gestione miles
de dispositivos implementados de forma remota
Con Enterprise Cloud Manager, la plataforma de
aplicaciones y gestión de redes de Cradlepoint,
los directivos de TI pueden implementar
rápidamente y gestionar de forma dinámica redes
en establecimientos distribuidos geográficamente
y sucursales. Las soluciones de Cradlepoint se han
habilitado para la nube con el fin de ofrecer una
implementación rápida, una gestión dinámica y una
inteligencia mejorada. Enterprise Cloud Manager
ofrece un panel de control fuera de banda que
separa los datos de gestión de la red de los datos de
usuario. Los datos de gestión (como configuración,
estadísticas y supervisión) se transmiten desde los
dispositivos de Cradlepoint a la nube de Cradlepoint
mediante una conexión a Internet segura. Los datos
de usuario (navegación web, aplicaciones internas,
etc.) no pasan por la nube sino que se transmiten
directamente a su destino en la LAN o en la WAN.
Diseñado para la seguridad: Las características de
gestión permiten el cumplimiento de la seguridad
y el seguimiento de los dispositivos
Las funciones analíticas y la interfaz de usuario de
Enterprise Cloud Manager ayudan a automatizar
configuraciones de seguridad y listas de
comprobación, como el cumplimiento de la versión 3.0
de las normas PCI DSS. Gracias a los servicios de
geovallado y de localización, las empresas pueden
localizar físicamente y en tiempo real los dispositivos
implementados mediante GPS, WiFi e información
basada en la ubicación. Las empresas pueden recibir
notificación del momento en que los dispositivos
abandonan su ubicación habitual, reduciendo así el
riesgo de que los hackers puedan utilizar dispositivos
robados para acceder a la red.
Enterprise Cloud Manager: Una solución alojada
de forma segura
Enterprise Cloud Manager de Cradlepoint se aloja
en un recurso de almacenamiento de terceros
de alto nivel en un servidor seguro de nivel
empresarial que ofrece redundancia de equipo,
alimentación ininterrumpida, varios canales de
Internet y servicio de respaldo y restauración.
Los servidores de Enterprise Cloud Manager
presentan seguridad fortalecida, con servicios
innecesarios deshabilitados, permisos limitados
y registros supervisados. Los servidores están
sujetos a control de gestión de parches que
mantiene actualizados los parches de seguridad y
las versiones del software. Además, los servidores
y las aplicaciones pasan evaluaciones de
vulnerabilidades y remediación de forma periódica.
Todas las configuraciones de clientes residen en
este recurso físico seguro, con acceso limitado
solo a usuarios autorizados. Las contraseñas que
se almacenan dentro de las configuraciones tienen
codificaciones Advanced Encryption Standard
(Estándar de codificación avanzada - AES). El
recurso se supervisa y se registra de forma
continuada y para acceder a él es necesaria una
autenticación de varios factores.
Los registros de acceso están disponibles y se
pueden auditar.
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
13
Informe / Seguridad
Ilustr. 3. Enterprise Cloud Manager
Ilustr. 4. Lista de comprobación de cumplimiento PCI de
Enterprise Cloud Manager
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
14
Informe / Seguridad
Fácil de gestionar: Software de seguridad
integrado de más alto nivel
Gracias a una API RESTful, Cradlepoint ha
integrado en Enterprise Cloud Manager soluciones
de seguridad basadas en la nube para el
filtrado web y programas contra malware. Estas
soluciones de seguridad permiten al personal de
TI y de seguridad inspeccionar el tráfico web con
una latencia de casi cero.
Conectividad segura para funcionamiento
ininterrumpido
Las soluciones de enrutamiento de CradlePoint se
han diseñado para que las empresas distribuidas
gestionen de manera inteligente la conectividad
inalámbrica y por cable convergente para obtener
una “experiencia de conexión” muy fiable en la
periferia. La función de red privada de LTE 4G del
router aprovecha la conexión de telefonía móvil
como extensión de la red privada sin que ello
aumente la vulnerabilidad de la red.
Seguridad en la periferia: Características de
hardware y software ampliables
Ilustr. 5: Cradlepoint AER Series: Enrutamiento perimetral
avanzado
Ilustr. 6: Cradlepoint COR Series: Aplicaciones y transporte de la
Internet de los objetos
Los dispositivos de Cradlepoint se han diseñado
para cumplir las normas PCI de protección de
activos con un firewall con estado, codificación
avanzada, segmentación de redes y soporte VLAN.
Los dispositivos de Cradlepoint también admiten
soluciones de red privada de solapamiento
independientemente del operador y opciones de
VPN avanzada.
Simplifique la configuración de seguridad con
puertos Ethernet y SSID WiFi que se pueden
asignar individualmente a segmentos de red
específicos. La funcionalidad de prevención y
detección de intrusos examina los paquetes
en busca de ataques, programas maliciosos
y ataques de denegación de servicio que se
pueden bloquear de acuerdo con una política.
Las aplicaciones se pueden identificar si su
comportamiento indica un ataque informático.
PARA OBTENER MÁS INFORMACIÓN, VISITE
CRADLEPOINT.COM O LLAME AL NÚMERO
DE TELÉFONO +1.855.813.3385.
Ilustr. 7: Cradlepoint ARC Series: Específico de aplicación y
conmutación por error
Fuentes
Fuente: ZK Research Nov 2011
Fuente: Verizon 2014 Data Breach Investigations Report
Verizon 2014 Data Breach Investigation Report
4
PCI Security Standards Data Storage Dos and Don’ts,
https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf
5
PCI Security Standards 3.0, p.15.
6
FireEye Advanced Threat Report 2013
1
2
3
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com
15
Descargar