Cualquier persona que se juntase con un grupo más o menos amplio de gente y preguntase cuantos de ellos tienen interés en mejorar los sistemas de seguridad informática de sus empresas, es altamente probable que viera un bosque de manos levantadas…pero seguramente si a continuación les preguntara que cuántos de ellos tienen claro en cómo invertir sus presupuestos para alcanzar este objetivo podría ver el terror en sus ojos.
La realidad es que no es sencillo priorizar tales proyectos, incluso en muchas ocasiones alguno puede llegar a plantearse (en silencio, eso sí) “¿Qué son los sistemas de seguridad informática? ¿Yo tengo de eso?”
Pues la verdad es que sí. Todos tenemos de eso. Algunos más avanzados y otros menos pero cualquier empresa dispone de tecnologías y procedimientos que forman parte de los distintos tipos de sistemas.
¿Qué son los sistemas de seguridad informática?
En este tipo de industria existen un montón de sistemas de seguridad informática, y adaptados especialmente a cada escenario, por eso es imprescindible conocer cuál es el nuestro antes de que hagamos pito pito gorgorito y nos pongamos un NAC “porque me han dicho que esto protege mogollón”.
Para ello debemos comprender previamente nuestras necesidades antes de ponernos a arrojar billetes alegremente al aire. Es mucho más productivo plantear una reunión con especialistas que nos ayudarán a separar estos proyectos y a priorizarlos, que implantar un sistema de última generación sin confirmar con antelación que este va a cumplir los objetivos que nos hemos marcado.
Por ello y para actuar como guía de forma generalista, os voy a proporcionar una lista de distintos tipos de sistemas de seguridad informática y posibles beneficios que pueden aportar a vuestra empresa. Es una lista de carácter general, no significa que un sistema sea mejor que otro, ni que teniendo todos tendréis el máximo beneficio, sino más bien quiero que tengáis claro el abanico de opciones y que es necesario analizar el escenario para implantar una, otra o todas esas medidas.
Tipos de sistemas de seguridad informática:
Medidas de control de acceso:
Las podemos dividir en dos puntos diferentes. Autenticación y autorización.
Para la autenticación podemos usar numerosas maneras para verificar que somos quienes decimos ser, y es competencia nuestra decidir cuál es la que más encaja en nuestra operativa diaria. Contraseñas, autenticación de doble factor (2FA), autenticación multifactor (MFA), biometría, tarjetas inteligentes…
Respecto a la autorización es de suma importancia decidir, una vez verificada nuestra identidad, a qué recursos deben acceder esas identidades. No sería la primera vez que se obtienen accesos no autorizados por una mala política de permisos. Listas de control de acceso (ACL), accesos basados en roles (RBAC) control de acceso basado en atributos (ABAC) son varias de nuestras opciones.
Firewalls:
Los firewalls o cortafuegos restringen el tráfico no autorizado mediante una serie de reglas basadas en una estricta parametrización realizada por un especialista. Los tenemos de hardware, de software, e incluso de aplicaciones web (WAF).
Detección y prevención de intrusiones (IDS/IPS):
Los firewalls son estupendos, pero no son muy listos, básicamente son como los droides de starwars, si la regla está definida, genial, si no, irá regla por regla hasta que llegue a la última. Pensar, lo que se dice pensar, no lo hacen mucho. De ahí la importancia de los sistemas de detección y prevención de intrusiones. Dichos sistemas se encargan de analizar comportamientos extraños, como cuando nuestro perro pasea sospechosamente cerca del bocadillo de bacon. Algunos de ellos se basan en red (NIDS), en host (HIDS) o incluso reactivos (IPS).
Antimalware:
Todos sabemos que la del malware no es una batalla justa, los ciberdelincuentes “facturan” millones de euros y los reinvierten en programar nuevo malware que les reporte beneficios constantes en un ciclo periódico de programación-distribución-infección-recolección económica-vuelta a empezar. Sin un buen software que haga de barrera, vamos a tener muy complicado el evitar este tipo de ataques. Estos constan de varios módulos, que pueden incluir antispyware, anti-ransomware, anti-rootkits, detección de comportamiento…
UTMs en el sistema de seguridad informática:
Una mención aparte a los UTM, los cuales suelen englobar las tres últimas secciones siempre y cuando se incluyan en el presupuesto ciertos módulos adicionales. Estos módulos pueden activarse mediante licenciamiento y puede incluir antimalware, IDS, firewall de aplicación, etc…siempre por un módico precio por supuesto. Quizás se pueda pensar que estos módulos son innecesarios pero la experiencia dice que la integración de estos directamente en el propio firewall de la compañía aumenta exponencialmente la seguridad.
Sistemas de gestión de parches
La gestión de las vulnerabilidades puede convertirse en un infierno en infraestructuras amplias. Son muchas máquinas y no solo hay que prestar atención a los parches de sistema operativo si no también al software de terceros y el firmware de nuestro material de red. Es un trabajo que, si lo hace una persona, es de dedicación exclusiva. Para evitar dilapidar todo nuestro tiempo en parchear constantemente existen los sistemas de gestión de parches. Software especializado que despliega de forma automatizado estas actualizaciones, incluidos los temidos parches de terceros.
Gestión de eventos y registros
Estos sistemas permiten aglutinar todos los logs existentes en nuestra infraestructura y en función de su complejidad podemos establecer correlación para establecer alertas y reacción ante incidentes en tiempo real. Los sistemas responsables de esto suelen denominarse SIEM y el equipo especializado que los opera para coordinar las operaciones necesarias en caso de incidente es denominado SOC. Tomar la decisión de anexionar estos sistemas a nuestra compañía es una de las mejores decisiones que podemos tomar, ya que nuestra seguridad aumentará muchísimo, permitiéndonos tener visibilidad de cualquier anomalía presente en nuestra empresa.
Auditorías de seguridad
Este tipo de procesos nos permiten desde un análisis pormenorizado de los sistemas seguridad informática de la compañía (análisis de vulnerabilidades) hasta la simulación de un atacante que nos permita encontrar estos agujeros de seguridad y ver cuál hubiera sido su posible impacto (test de intrusión) pasando por ejercicios que ponen a prueba a nuestros especialistas y procesos de seguridad internos para verificar su efectividad (red teaming). Es uno de los pasos más primordiales para entender cómo estamos y hacia dónde debemos ir. Si alguien duda de cómo debe empezar, una auditoría suele ser un buen paso inicial.
Y más cosas de sistemas de seguridad informática…
Políticas de continuidad de negocio, sistemas de backup (caliente y frio), protocolos de cifrado, metodologías de encriptación, VPNs, NACs, concienciación del usuario, simulaciones de phishing, revisiones de código fuente…como veis, la mejora de los sistemas informáticos en nuestra empresa no es algo que pueda implementarse de un día para otro.
El enorme abanico de opciones existente puede abrumarnos inicialmente y dejarnos bloqueados sin saber qué decidir. Ante esto, es primordial no agobiarse y buscar asesoría de un especialista si nosotros no disponemos de él internamente y realizar una auditoría inicial. A partir de aquí…comienza nuestro viaje.
Y ya saben lo que se dice: todo viaje comienza con un primer paso.
Consultor de Ciberseguridad y Responsable del Departamento de Auditoría y Pentesting en Global Technology