Informe / Seguridad Mitigar los riesgos de seguridad en la periferia de la red Prácticas recomendadas para las empresas distribuidas CONTENIDO: ++ Amenazas en la empresa distribuida y estrategias para obtener redes más seguras. ++ Tareas obligatorias en la configuración de la red. ++ Información sobre la seguridad basada en la nube, cumplimiento de las normas PCI y redes paralelas. ++ Dos métodos para aumentar la seguridad. Informe / Seguridad Cada año, los especialistas en relaciones públicas de al menos una de las grandes corporaciones trabajan a contrarreloj en un intento de explicar a un público enfadado y asustado, con razón, qué ha sucedido para que su empresa pusiese en riesgo los datos del cliente. Lo primero que se ve afectado de forma inmediata es la reputación de la empresa que tiene como resultado una pérdida de la fidelidad de la marca ya que los clientes se llevan sus negocios a otro sitio. Y, por supuesto, las infracciones de seguridad tienen también muchas otras consecuencias. Impactos potenciales de una infracción de datos: ++ Costes legales ++ Pérdida de ingresos o de productividad debido a la falta de disponibilidad de los recursos de producción ++ Multas por violación de las normas de cumplimiento de privacidad ++ Multas por infracción del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago ++ Pérdida de información patentada, competitiva o intelectual ++ Pérdida de beneficios futuros como consecuencia de la incapacidad de demostrar un proceso de seguridad sólido para clientes, proveedores y socios CUANDO SE PRODUCE UNA INFRACCIÓN DE LA SEGURIDAD, EL 90% DEL TIEMPO PROMEDIO DE LA RESOLUCIÓN SE EMPLEA EN IDENTIFICAR EL PROBLEMA.1 EN LOS MÁS DE 1300 INCIDENTES DE VIOLACIONES DE DATOS EN 2013: EL 91% DE LOS INCIDENTES SE ORIGINARON EN EL EXTERIOR. EL 88% TARDÓ MINUTOS EN AFECTAR Y AFLORAR. EL 85% TARDÓ SEMANAS EN DETECTARSE. EL 45% INCORPORÓ MALWARE.2 Oficina central TODOS ESTOS PORCENTAJES HAN AUMENTADO SIGNIFICATIVAMENTE DESDE EL AÑO ANTERIOR. Como puerta de enlace a Internet, las empresas distribuidas en la periferia de la red son muy vulnerables ante las amenazas de seguridad. ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 2 Informe / Seguridad RIESGOS EN LA PERIFERIA Las empresas con cientos o miles de ubicaciones se enfrentan a grandes desafíos constantes para mantener la seguridad de la red y se encuentran en una situación particular de alto riesgo de sufrir infracciones de datos. La periferia de la red, que es la zona más vulnerable, debe protegerse muy bien frente a las vulnerabilidades, amenazas y ataques de programas maliciosos. Los ciberdelincuentes ven en la periferia de la red un blanco fácil puesto que las ubicaciones distribuidas suelen procesar datos altamente sensibles (como las tarjetas de crédito), pero cuentan con prácticas de seguridad no muy sólidas. Los factores que contribuyen a la debilidad de la seguridad en la periferia de las redes de empresas distribuidas son: ++ Falta de soporte de TI in situ. Las medidas de seguridad como actualizaciones del firmware y aplicación de políticas (reglas de firewall, listas de control de acceso, configuraciones inalámbricas y VLAN) deben llevarse a cabo de forma regular, pero, sin personal de TI in situ, se suelen pasar por alto con facilidad. Incluso las sucursales con soporte de TI in situ rara vez disponen de los conocimientos propios necesarios para implementar y mantener una configuración compleja de la seguridad. ++ Ausencia de concienciación de la seguridad por parte del empleado. En la era del BYOD o “Trae tu propio dispositivo”, los dispositivos de los empleados que acceden a la red corporativa presentan vulnerabilidades a través de puntos de acceso no autorizados, ataques de suplantación de la identidad o fraude electrónico y otros ataques de ingeniería social. Si no cuentan con la formación adecuada, los empleados pueden poner en riesgo a la empresa al abrir correos electrónicos o pulsar en enlaces que permiten la entrada de programas maliciosos en su dispositivo y en la red. ++ Acceso a la red de clientes y de terceros. Muchas empresas interactúan con terceros que requieren acceso a Internet. Por ejemplo, un proveedor HVAC puede solicitar el uso de la red de la empresa para supervisar y ajustar los valores de calefacción y aire. Los kioscos dentro de los establecimientos necesitan acceso a la red para transmitir datos, y los clientes necesitan WiFi para sus dispositivos móviles mientras realizan las compras. Con tantos agentes que necesitan acceso a Internet e innumerables riesgos derivados de las violaciones de la seguridad, las empresas deben mantenerse alerta en el desarrollo, actualización y aplicación de políticas de seguridad en la periferia de la red. LAS EMPRESAS CON SUCURSALES O UBICACIONES DISTRIBUIDAS DE PEQUEÑO TAMAÑO SON LAS QUE ESTÁN EN SITUACIÓN DE MAYOR RIESGO DE SUFRIR INFRACCIONES DE DATOS. EL 80% DE LAS INFRACCIONES DE DATOS DEL SECTOR MINORISTA TUVO LUGAR EN ESTABLECIMIENTOS CON MENOS DE 100 TRABAJADORES. EL 24% DE LOS ATAQUES AFECTÓ AL SECTOR DE LA INFORMACIÓN Y SERVICIOS PROFESIONALES. EL 34% DE LAS INFRACCIONES DE DATOS TUVIERON REPERCUSIÓN EN LAS ORGANIZACIONES FINANCIERAS. EL 20% DE LOS ATAQUES IBA DIRIGIDO AL SECTOR DE FABRICACIÓN Y SECTORES RELACIONADOS. EL 30% DE LAS INFRACCIONES DE DATOS SE REALIZAN A TRAVÉS DE LOS DISPOSITIVOS DE LOS USUARIOS.3 ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 3 Informe / Seguridad ARQUITECTURAS DE RED DE LA EMPRESA DISTRIBUIDA MODELO HUB-AND-SPOKE: ACCESO CONTROLADO A UN CENTRO DE DATOS CENTRALIZADO “Hub-and-Spoke” es una arquitectura que aprovecha redes privadas virtuales (VPN) o puertas de enlace privadas en la nube. Algunas redes privadas virtuales no utilizan codificación para proteger la privacidad de los datos. Aunque algunas VPN suelen ofrecer seguridad, una red de solapamiento sin codificación no encaja muy bien en la categorización de seguro o fiable. Las redes VPN se deben configurar para actuar como puerta de enlace a uno o más segmentos del entorno, aplicando requisitos sólidos de autenticación, funciones de inspección de puntos finales e integración con los escritorios virtuales, dispositivos de propietario o tecnologías de puntos de venta. LA ARQUITECTURA HUB-AND-SPOKE UTILIZA VPN PARA GARANTIZAR EL ACCESO CONTROLADO A UN CENTRO DE DATOS CENTRALIZADO. Oficina central Establecimiento Conexiones a Internet no seguras Red VPN segura ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 4 Informe / Seguridad VENTAJAS CLAVE PARA EL ÉXITO Seguridad. Para diversas ubicaciones remotas, una red VPN puede evitar el coste que supondría una conexión a Internet dedicada. El mantenimiento del establecimiento de una conexión LAN a través de una VPN de Internet es muy bajo en comparación con las soluciones tradicionales de línea dedicada. Con una codificación y una autenticación adecuadas, la arquitectura VPN constituye una solución altamente escalable y rentable para la transmisión segura de los datos. Proteja la arquitectura hub-and-spoke mediante aislamiento y segmentación. En el pasado muchas organizaciones utilizaban una arquitectura de firewall único o dual que dividía las redes en segmentos en las capas 3 y 4, limitando los rangos de direcciones IP y los puertos del Protocolo de control de transmisión (TCP) y del Protocolo de datagrama de usuario (UDP) que podían pasar a un segmento o a otro. Aunque esta arquitectura de seguridad de la red sigue siendo todavía la más común, cada vez más organizaciones están empezando a controlar el tráfico en las capas superiores y a utilizar tecnologías emergentes que facilitan la captura, el análisis y el control del tráfico. Si desea obtener más información, consulte la página 11, “Dos métodos para aumentar la seguridad”. Detección de amenazas. Los datos se pueden analizar durante su transmisión por la red y utilizar para identificar amenazas o infracciones potenciales. La implantación de la misma infraestructura de prevención de intrusos en el núcleo de la red de las sucursales minimiza las posibilidades de errores de configuración en la periferia de la red. Control. Las empresas encargadas de transmitir o almacenar datos altamente sensibles pueden sentirse más seguras al controlar la implementación y el mantenimiento de la arquitectura de seguridad. RIESGOS Errores de planificación y configuración. El uso de una VPN exige un alto nivel de planificación y configuración además de una actualización regular del firmware del router y de la aplicación de políticas de seguridad. Las redes se deben configurar adecuadamente y mantener de forma periódica. La existencia de segmentos configurados de forma inadecuada puede crear brechas en la seguridad en la red central, que los hackers pueden aprovechar para acceder a los datos sensibles. La seguridad física también es importante para impedir el robo del router/puerta de enlace de la periferia, que se puede utilizar para acceder a las redes corporativas y a los datos sensibles. LA NUBE Y LOS SERVICIOS DE SEGURIDAD Muchas organizaciones quieren disfrutar del ahorro de costes y de los procesos eficaces de la nube, pero no quieren sacrificar los niveles tradicionales de control y seguridad. Las soluciones tradicionales de seguridad de redes exigen el uso de hardware caro y con demasiadas características, interfaces arcaicas de líneas de comandos, cursos de formación intensiva de varios días, programas de certificación y manuales de 400 páginas. Si la seguridad es demasiado compleja, aumentan las posibilidades de errores de configuración y consecuencias no esperadas. Para aquellas empresas distribuidas con poco soporte de TI in situ o con ninguno, la seguridad basada en la nube ofrece visibilidad, configuración y control de miles de dispositivos en cualquier punto del planeta. Lo ideal sería que las empresas distribuidas utilizaran soluciones de seguridad que combinasen la inmediatez de la gestión local con la simplicidad y el control centralizado de la nube. ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 5 Informe / Seguridad VENTAJAS Escalabilidad y concentración. Aumentar el nivel de la arquitectura de seguridad basada en la nube se puede realizar de forma más sencilla y más rentable, con menos planificación que la que exigen las arquitecturas tradicionales basadas en hardware. Los procesos relacionados con la seguridad, las respuestas a las amenazas, las actualizaciones y los parches de seguridad se pueden aplicar con mayor rapidez a través de la arquitectura de aplicaciones de seguridad basada en la nube. Gestión de amenazas. El tráfico web se puede autenticar, codificar y filtrar rápida y dinámicamente con una latencia de casi cero. Los ataques externos de Internet se pueden rechazar al tiempo que se detectan e impiden los programas maliciosos locales. Respuesta a las amenazas. A diferencia de muchas soluciones in situ, los registros de sucesos y alertas se pueden filtrar de forma dinámica a través de algoritmos basados en la nube para obtener una supervisión más detallada y analítica aplicable. Enrutamiento del tráfico más flexible. Los protocolos simplificados de seguridad y túneles basados en la nube para proteger los datos en transición se pueden configurar e implementar entre los sitios remotos y las oficinas centrales corporativas con mucha mayor rapidez y sin el coste de las cabeceras de hardware tradicionales. Aislamiento de datos. Las empresas pueden aislar los datos sensibles, como la información del titular de la tarjeta, de las aplicaciones de blanco frecuente como el correo electrónico. Tiempo de resolución. Para empresas con organizaciones dotadas con el personal de TI necesario, los problemas relacionados con las soluciones in situ se pueden abordar iniciando sesión directamente en el dispositivo con el fin de ofrecer soporte al proveedor con mayor rapidez. Respecto a las soluciones basadas en la nube, el personal de TI debe abrir una incidencia y trabajar externamente para solucionar los problemas, lo cual puede aumentar el tiempo de resolución. Personalización. Con el nivel adecuado de presupuesto, recursos y tiempo, las soluciones in situ se pueden personalizar para cumplir las necesidades de seguridad específicas de una organización y ofrecer, al mismo tiempo, un conjunto sólido de soluciones. En las ofertas de seguridad basadas en la nube, el personal de TI puede abordar las vulnerabilidades de la red pero, a cambio, pierde un nivel de personalización en favor de la velocidad y la escalabilidad. Uso compartido de recursos y errores de aislamiento. En un modelo de seguridad basado en la nube, los clientes comparten los recursos del proveedor con otros clientes. Los proveedores de la nube suelen implementar medidas de aislamiento para impedir un ataque de “abordaje al sistema anfitrión” o un ataque pívot (en el que un hacker aprovecha las vulnerabilidades de un sistema operativo para obtener acceso a otro alojado en el mismo hardware físico), pero siempre existe el riesgo de que fallen estas medidas. Como los servicios en la nube se ofrecen a diversos clientes con distintos niveles de riesgo, es fundamental la segmentación multitenencia (separación de los recursos del usuario por proveedor de nube). RIESGOS Además, es posible que el proveedor no pueda borrar completamente los datos del hardware, ya que los clientes suelen compartir o reutilizar el hardware que otros clientes utilizan. Pérdida de control. En un modelo basado en la nube, los datos y la información se almacenan en un proveedor de terceros. Por ello, no es fácil inspeccionar las prácticas del manejo de datos del proveedor. Y, aunque sucede pocas veces, siempre existe la posibilidad de que un empleado deshonesto del proveedor de la nube comprometa los datos. Seguridad comprometida desde dentro. Si no se configuran con cuidado los permisos y roles de usuario, un usuario podría suprimir o modificar sus datos dentro de la solución en la nube. Por ejemplo, un empleado nuevo en la solución con acceso administrativo a la solución en la nube podría suprimir datos importantes mientras intenta conocer la nueva solución o un empleado malintencionado podría comprometer los datos deliberadamente. ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 6 Informe / Seguridad Portabilidad de los datos. Puede resultar difícil, si no imposible, trasladar datos si necesita cambiar de proveedor en la nube, a menos que haya un acuerdo previo entre el proveedor y la empresa que especifique que la información es propiedad de la empresa. CLAVES PARA EL ÉXITO Maximice y automatice los servicios en la nube con servicios de gestión de amenazas. Además de implementar controles y técnicas de aislamiento, las empresas distribuidas pueden disminuir los costes y la complejidad de la red mediante la reducción de su infraestructura hasta cierto punto y seguir utilizando seguridad multicapa en todos los sitios. Los servicios de gestión de amenazas ofrecen una combinación de servicios como protección contra malware, protección de correo electrónico y antispam, filtrado de contenido, reglas de firewall de capa 3 y 4 tradicional, VPN y funciones de proxy web. Muchos de estos sistemas incluyen además seguridad basada en la nube, escalable y centralizada como oferta de servicio para aumentar y automatizar la inspección del tráfico y proporcionan controles más estrictos de los sitios con herramientas de supervisión y personal limitado. Para muchas empresas, el cumplimiento de la normativa es el motor principal de los cambios tanto en seguridad como en operaciones de TI en general. Cualquier tecnología o cambio del diseño interno que pueda limitar o reducir el alcance del entorno sujeto al cumplimiento puede ahorrar dinero y tiempo. El aislamiento de sistemas, aplicaciones y segmentos de redes que gestionan los datos de las tarjetas de pago, por ejemplo, puede llegar muy lejos en el límite del alcance de las auditorías de las normas PCI DSS versión 3.0. INCLUSO EMPRESAS QUE NO PROCESEN PAGOS DE TARJETAS DE CRÉDITO DEBERÍAN CONSIDERAR LA IMPLEMENTACIÓN DE PCI DSS 3.0 COMO BASE DE LA SEGURIDAD GENERAL. MUCHOS ESTÁNDARES DE SEGURIDAD PCI SE OCUPAN DE RIESGOS GENERALES DE LA RED FUERA DEL ÁMBITO DE LA SEGURIDAD DE DATOS DEL TITULAR DE UNA TARJETA. Conexiones a Internet seguras Conexión de red privada virtual Oficina central Establecimiento ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 7 Informe / Seguridad ESTRATEGIAS PARA UNA RED MÁS SEGURA APLICAR VISIBILIDAD DE DISPOSITIVOS, LA CLAVE DE TODA ESTRATEGIA DE SEGURIDAD Con muchos dispositivos móviles nuevos uniéndose a la red WLAN de la empresa, la visibilidad de las aplicaciones móviles se está convirtiendo en un aspecto central. Los administradores de la red necesitan poder identificar, seguir y clasificar todos los dispositivos que acceden a la red. La visibilidad de dispositivos proporciona al personal de TI inventario e inteligencia de seguridad en tiempo real para la remediación activa al tiempo que permite a los usuarios conectarse a la perfección a la red sin interrupciones ni cambios en la experiencia del usuario final. Prácticas recomendadas para la aplicación de la visibilidad de dispositivos: ++ Utilice diversos criterios para identificar dispositivos además de las direcciones MAC e IP (que pueden falsificarse) como Id. de dispositivos e identificadores del sistema que usen convenciones de denominación específicas ++ Aproveche al máximo las herramientas de auditoría y cumplimiento para ofrecer información adicional sobre riesgos y vulnerabilidades ++ Habilite alertas y acciones de cumplimiento para dispositivos que intenten acceder a la red ++ Realice auditorías de forma periódica y mantenga las topologías de redes (lógicas y físicas) actualizadas y precisas ++ Utilice un conjunto común de controles de seguridad para la gestión de las políticas ++ Establezca prácticas recomendadas de seguridad en relación con el control, riesgo y cumplimiento ++ Colabore y comuníquese con los equipos de dentro de la organización de TI REDES Y DISPOSITIVOS SEGUROS FÍSICAMENTE El estándar de seguridad PCI exige que los servidores, el equipo de redes y otros componentes del sistema de tarjetas de pago se mantengan en una sala cerrada con llave y con control de acceso, preferiblemente con un sistema de vídeovigilancia.4 Esto disminuye el riesgo de robo de un dispositivo con acceso a la red por parte de un individuo no autorizado. La seguridad física de los dispositivos también impide que los ciberdelincuentes ataquen dispositivos ajenos al router que podrían supervisar para robar datos de la red. EVALUACIONES PERIÓDICAS DE SEGURIDAD Durante una evaluación de la seguridad, un asesor profesional “ataca” la red para identificar y recomendar controles en torno a las debilidades que encuentre en las arquitecturas de seguridad, incluidas la seguridad física, la fortaleza de las claves del dispositivo, la configuración de la red y las vulnerabilidades del dispositivo del cliente. Las pruebas periódicas de penetración de la red o las evaluaciones de la seguridad son obligatorias para el cumplimiento de las normas PCI. El objetivo es probar el acceso desde entornos de baja seguridad a entornos de alta seguridad. Esta práctica evalúa si los datos del titular de la tarjeta se han aislado de los otros segmentos de la red y comprueba que no exista conectividad entre las redes dentro del ámbito y fuera del ámbito (redes que contienen los datos de los titulares de las tarjetas y las que no contienen estos datos). Las empresas con un alto número de prestaciones o componentes del sistema solo pueden evaluar una muestra del número total de componentes, aunque la muestra debe ser lo suficientemente grande para ofrecer una garantía razonable de que todas las prestaciones o componentes de la empresa se han configurado siguiendo el proceso estándar. El asesor de seguridad debe comprobar que los controles estandarizados y centralizados se han implementado y que funcionan de forma eficaz.5 El estándar de seguridad PCI recomienda realizar las pruebas de penetración como mínimo una vez al año. ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 8 Informe / Seguridad ENSEÑAR A LOS EMPLEADOS A RECONOCER ATAQUES A LA RED Desgraciadamente, no hay ningún firewall o programa antivirus capaz de proteger la red a la perfección contra todos los tipos de programas maliciosos. Por lo tanto, la empresa debe enseñar y aplicar protocolos de seguridad de empleados. En particular, se debe formar a los empleados para que sean capaces de reconocer correos electrónicos de suplantación de la identidad e informar de ellos. Los empleados deben conocer las señales comunes de un correo electrónico de suplantación de la identidad: ++ Se insta al empleado a hacer clic en enlaces, especialmente en unos que no resultan familiares o que no encajan con la dirección web supuesta del origen ++ Se solicita de manera urgente que se proporcione información, que se llame a un número de teléfono o que se descarguen los archivos adjuntos ++ Mala ortografía o gramática atípica LOS FRENTES DE AMENAZAS WEB Y DE CORREO ELECTRÓNICO CONSTITUYEN LA FUENTE DE ATAQUES DE LA RED MÁS SIGNIFICATIVA. EN GENERAL, LOS ATAQUES PROCEDENTES DE ACTIVIDADES EN LA WEB SON CINCO VECES MÁS PROBABLES QUE LOS ATAQUES DE CORREO ELECTRÓNICO.6 TAREAS OBLIGATORIAS EN LA CONFIGURACIÓN DE LA RED 1. BLOQUEE LOS PUNTOS DE ENTRADA DEL ROUTER ++ Deshabilite Universal Plug & Play. No permita que usuarios sin privilegios manipulen la configuración de la red. ++ Deshabilite los pings WAN. No permita que los hackers sondeen las vulnerabilidades de seguridad. ++ Deshabilite la administración remota. No permita que los intrusos puedan acceder a la interfaz de usuario del router. ++ Utilice filtrado MAC. Cree una lista de dispositivos que tengan acceso exclusivo o ninguno a la red inalámbrica. Aunque las direcciones MAC se pueden falsificar, crean una barrera adicional para el ciberdelincuente. ++ Utilice las reglas de filtrado de IP. Restrinja el acceso remoto a los sistemas de la red local. ++ No utilice direcciones IP WAN públicas a las que se puede acceder en la periferia. De ser así, se deja la periferia de la red abierta a los ataques. ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 9 Informe / Seguridad 2. CONFIGURE EL FIREWALL DE LA RED PARA CUMPLIMIENTO DE LAS NORMAS PCI Cinco controles para el cumplimiento PCI: ++ Stateful Packet Inspection (Inspección superficial de paquetes - SPI). Supervisa el tráfico saliente y entrante para garantizar que solo las respuestas válidas a las solicitudes salientes puedan atravesar el firewall. ++ Reglas de reenvío de puerto. Abre los puertos en el firewall de una manera controlada para aplicaciones específicas. ++ Antisuplantación. Comprueba los paquetes para protegerlos contra usuarios malintencionados que falsifican la dirección de origen en los paquetes para ocultarse o bien suplantar a otra persona. ++ Zona desmilitarizada. Mantiene la mayoría de los ordenadores detrás de un firewall, y uno o varios se ejecutan fuera del firewall, o en la zona desmilitarizada (DMZ) con el fin de añadir una capa de seguridad adicional a la red de la empresa y que los ciberdelincuentes solo puedan acceder a los ordenadores de la red dentro de la zona desmilitarizada. ++ Firmware actualizado. Además de ser una práctica de seguridad importante, es necesario que el router y el firmware del módem estén actualizados para poder cumplir las normas PCI. Aunque las prácticas mejoradas de implementación, mantenimiento y aplicación de la seguridad en la red son estrategias importantes para reducir el riesgo de violación de datos, recomendamos la segmentación de la red o, incluso mejor, el uso de redes paralelas específicas de una aplicación que garantice que las vulnerabilidades de seguridad de una aplicación no se puedan comprometer y dar paso a los datos de otras aplicaciones, como los sistemas de puntos de venta. DOS MÉTODOS PARA AUMENTAR LA SEGURIDAD 1. CREAR ZONAS DE SEGURIDAD MEDIANTE LA SEGMENTACIÓN DE RED La segmentación de red permite dividir la red en “zonas de seguridad” o segmentos separados por un firewall. Los segmentos configurados de forma adecuada separan las aplicaciones e impiden el acceso a los datos sensibles. Un sistema de punto de venta, por ejemplo, debe operar en un segmento de la red separado de las aplicaciones de terceros, correo electrónico de los empleados y WiFi público. Esto limita la posibilidad de que los ciberdelincuentes pasen de una aplicación a otra, y permite que los administradores de red gestionen la calidad del servicio (QoS) en segmentos específicos, priorizando el uso del ancho de banda para aplicaciones fundamentales. Primeros pasos en la segmentación de red La segmentación de red es un proceso complejo y requiere una supervisión meticulosa y constante. Esta arquitectura, aunque es altamente segura si se configura adecuadamente, puede dar lugar a muchos errores en la configuración. Siga estos tres pasos para empezar: ++ Cree grupos de puertos Ethernet. La agrupación lógica de puertos Ethernet permite la comunicación libre entre los ordenadores conectados físicamente a los puertos Ethernet dentro de un grupo. Puede deshabilitar uno o todos los SSID del router o incluso toda la radio WiFi. ++ Utilice la infraestructura WPA2/Enterprise, RADIUS/TACACS+ y PKI. Esto proporciona un repositorio central para usuarios o dispositivos con permiso para acceder a la red y utiliza certificados para autenticar el servidor y el dispositivo. ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 10 Informe / Seguridad ++ Utilice una infraestructura PKI para conseguir mayor seguridad. ++ Utilice autenticación de dos factores para minimizar el robo de cuentas de usuario que utilizan empresas terceras. ++ Cree y configure segmentos VLAN. Una red VLAN permite la agrupación de dispositivos. Después de crear una red VLAN, seleccione los puertos LAN o los grupos Ethernet a los que el Id. de VLAN debe corresponder. Cada segmento debe tener su propia configuración de dirección IP, modo de enrutamiento, control de acceso e interfaces (por ejemplo, SSID WiFi, grupos Ethernet y VLAN). En la actualidad no existe ninguna herramienta que supervise y busque automáticamente vulnerabilidades dentro de una red segmentada o entre segmentos. Esta supervisión se debe realizar manualmente. Por esta razón, muchas empresas decidirán que el uso de redes paralelas es una mejor solución, a nivel global, para mantener seguros los datos sensibles. Ilustr. 1. Creación de zonas seguras mediante segmentación de red Conexión segura a Internet SSID núm. 1 “Empleado” Segmento de empleados SSID núm. 2 “POS” SSID núm. 3 “Proveedor” Segmento de dispositivos POS SSID núm. 4 “Público” Segmento de proveedores Segmento público ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 11 Informe / Seguridad 2. APROVECHE LA SENCILLEZ DE LAS REDES PARALELAS A diferencia de la segmentación de una sola red, la creación de varias redes paralelas es una solución relativamente sencilla. Se asignan diferentes aplicaciones a redes completamente separadas (“air gap”). Esta separación física de los datos impide que los ciberdelincuentes puedan utilizar un dispositivo comprometido para acceder a otros servidores y redes, incluidas las que contienen datos sensibles. Por ejemplo, la empresa debería considerar alojar la WiFi de clientes, los dispositivos de los empleados y los sistemas de punto de ventas en sus propias y respectivas redes. Las empresas con redes paralelas esperan que empresas terceras como proveedores, socios y kioscos, que necesiten acceso a Internet, traigan su propia red (“Bring Your Own Network”). Como las empresas terceras traen su propia red paralela, la compañía puede conservar el control de sus propias funciones de red, y reducir así el alcance global del trabajo de mantener la seguridad de la red. Las redes paralelas reducen significativamente la cantidad de tiempo y los conocimientos necesarios para segmentar redes por aplicaciones, y limitan el alcance del trabajo de mantenimiento del cumplimiento de las normas PCI en la red que se utiliza para transmitir los datos de los titulares de las tarjetas. Área de clientes Sala de equipos Oficina central Sistema de seguridad WiFi de empleados Smartphone del cliente TI Trastienda Punto de venta Kiosco de terceros Red de empleados Ilustr. 2. Redes paralelas administradas por una fuente ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 12 Informe / Seguridad SOLUCIONES DE CRADLEPOINT DISEÑADAS PARA LA SEGURIDAD EN LA PERIFERIA DE LA RED Los dispositivos de router/firewall y el software de gestión basado en la nube de Cradlepoint se han diseñado para mitigar los riesgos de seguridad y mantener el cumplimiento de las normas PCI para empresas distribuidas que utilizan todos los tipos de arquitecturas de red. Un número creciente de empresas se está pasando a las redes paralelas al descubrir que las soluciones 4G de Cradlepoint permiten segmentar la red de forma más sencilla y segura. Además, las redes paralelas suelen reducir los costes indirectos de las empresas, incluida la necesidad de configuraciones complejas de redes sometidas al error humano, a auditorías complejas del cumplimiento de las normas PCI y a los valores de la calidad del servicio (QoS) en general de las aplicaciones específicas de la red. ENTERPRISE CLOUD MANAGER PARA CONTROL CENTRALIZADO Escalabilidad masiva: Supervise y gestione miles de dispositivos implementados de forma remota Con Enterprise Cloud Manager, la plataforma de aplicaciones y gestión de redes de Cradlepoint, los directivos de TI pueden implementar rápidamente y gestionar de forma dinámica redes en establecimientos distribuidos geográficamente y sucursales. Las soluciones de Cradlepoint se han habilitado para la nube con el fin de ofrecer una implementación rápida, una gestión dinámica y una inteligencia mejorada. Enterprise Cloud Manager ofrece un panel de control fuera de banda que separa los datos de gestión de la red de los datos de usuario. Los datos de gestión (como configuración, estadísticas y supervisión) se transmiten desde los dispositivos de Cradlepoint a la nube de Cradlepoint mediante una conexión a Internet segura. Los datos de usuario (navegación web, aplicaciones internas, etc.) no pasan por la nube sino que se transmiten directamente a su destino en la LAN o en la WAN. Diseñado para la seguridad: Las características de gestión permiten el cumplimiento de la seguridad y el seguimiento de los dispositivos Las funciones analíticas y la interfaz de usuario de Enterprise Cloud Manager ayudan a automatizar configuraciones de seguridad y listas de comprobación, como el cumplimiento de la versión 3.0 de las normas PCI DSS. Gracias a los servicios de geovallado y de localización, las empresas pueden localizar físicamente y en tiempo real los dispositivos implementados mediante GPS, WiFi e información basada en la ubicación. Las empresas pueden recibir notificación del momento en que los dispositivos abandonan su ubicación habitual, reduciendo así el riesgo de que los hackers puedan utilizar dispositivos robados para acceder a la red. Enterprise Cloud Manager: Una solución alojada de forma segura Enterprise Cloud Manager de Cradlepoint se aloja en un recurso de almacenamiento de terceros de alto nivel en un servidor seguro de nivel empresarial que ofrece redundancia de equipo, alimentación ininterrumpida, varios canales de Internet y servicio de respaldo y restauración. Los servidores de Enterprise Cloud Manager presentan seguridad fortalecida, con servicios innecesarios deshabilitados, permisos limitados y registros supervisados. Los servidores están sujetos a control de gestión de parches que mantiene actualizados los parches de seguridad y las versiones del software. Además, los servidores y las aplicaciones pasan evaluaciones de vulnerabilidades y remediación de forma periódica. Todas las configuraciones de clientes residen en este recurso físico seguro, con acceso limitado solo a usuarios autorizados. Las contraseñas que se almacenan dentro de las configuraciones tienen codificaciones Advanced Encryption Standard (Estándar de codificación avanzada - AES). El recurso se supervisa y se registra de forma continuada y para acceder a él es necesaria una autenticación de varios factores. Los registros de acceso están disponibles y se pueden auditar. ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 13 Informe / Seguridad Ilustr. 3. Enterprise Cloud Manager Ilustr. 4. Lista de comprobación de cumplimiento PCI de Enterprise Cloud Manager ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 14 Informe / Seguridad Fácil de gestionar: Software de seguridad integrado de más alto nivel Gracias a una API RESTful, Cradlepoint ha integrado en Enterprise Cloud Manager soluciones de seguridad basadas en la nube para el filtrado web y programas contra malware. Estas soluciones de seguridad permiten al personal de TI y de seguridad inspeccionar el tráfico web con una latencia de casi cero. Conectividad segura para funcionamiento ininterrumpido Las soluciones de enrutamiento de CradlePoint se han diseñado para que las empresas distribuidas gestionen de manera inteligente la conectividad inalámbrica y por cable convergente para obtener una “experiencia de conexión” muy fiable en la periferia. La función de red privada de LTE 4G del router aprovecha la conexión de telefonía móvil como extensión de la red privada sin que ello aumente la vulnerabilidad de la red. Seguridad en la periferia: Características de hardware y software ampliables Ilustr. 5: Cradlepoint AER Series: Enrutamiento perimetral avanzado Ilustr. 6: Cradlepoint COR Series: Aplicaciones y transporte de la Internet de los objetos Los dispositivos de Cradlepoint se han diseñado para cumplir las normas PCI de protección de activos con un firewall con estado, codificación avanzada, segmentación de redes y soporte VLAN. Los dispositivos de Cradlepoint también admiten soluciones de red privada de solapamiento independientemente del operador y opciones de VPN avanzada. Simplifique la configuración de seguridad con puertos Ethernet y SSID WiFi que se pueden asignar individualmente a segmentos de red específicos. La funcionalidad de prevención y detección de intrusos examina los paquetes en busca de ataques, programas maliciosos y ataques de denegación de servicio que se pueden bloquear de acuerdo con una política. Las aplicaciones se pueden identificar si su comportamiento indica un ataque informático. PARA OBTENER MÁS INFORMACIÓN, VISITE CRADLEPOINT.COM O LLAME AL NÚMERO DE TELÉFONO +1.855.813.3385. Ilustr. 7: Cradlepoint ARC Series: Específico de aplicación y conmutación por error Fuentes Fuente: ZK Research Nov 2011 Fuente: Verizon 2014 Data Breach Investigations Report Verizon 2014 Data Breach Investigation Report 4 PCI Security Standards Data Storage Dos and Don’ts, https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf 5 PCI Security Standards 3.0, p.15. 6 FireEye Advanced Threat Report 2013 1 2 3 ©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 15