24 jun 2013

Defensa en profundidad (I de III)

Esta nueva serie presenta el modelo Defensa en Profundidad o Defense in Depth con el que las empresas pueden organizar las capas de seguridad para proteger sus activos. Este modelo puede ser complementado con una evaluación de riesgos para inventariar y proteger los activos más importantes de la empresa, mediante el uso de un estudio y clasificación piramidal.

El modelo de defensa en profundidad proviene del entorno militar, es decir, mantener múltiples líneas de defensa, en vez de disponer de una línea de defensa única muy reforzada. El fin de este modelo es el de retrasar el posible avance de un intruso o usuario malintencionado lo máximo posible.

En términos informáticos, este modelo propone la creación de capas de defensa con el objetivo de evitar un ataque directo a la información sensible de un entorno. Además, con este modelo se consigue un mayor tiempo para defenderse y utilizar planes de actuación y mayor probabilidad en la detección de un ataque.

Un símil interesante en la utilización de este modelo sería el de un banco, donde la información sensible sería el dinero que éste dispone en la caja fuerte. Para proteger este dinero, se pueden observar distintas medidas de seguridad como son barreras para evitar alunizajes, cámaras, guardias, un área pública dónde la gente espera su turno, la cual podría ser la DMZ. Cuanto más cerca se encuentre de la caja fuerte, los controles de seguridad aumentan.

Es importante, en el instante de implementar este modelo, conocer de qué se dispone, enumerar activos es algo primordial y muy importante. Es muy común que las empresas o grandes organizaciones no contemplen todas las infraestructuras de las que disponen. En otras palabras, no es una buena práctica no disponer de un inventario y no conocer que tecnologías, soluciones de seguridad e incluso servidores se tienen en la empresa. Además, tampoco es una buena práctica disponer de tecnología por disponer, es decir, más vale tener un servicio, aplicativo, sistema operativo bien configurado que éstos por defecto, simplemente por el hecho de tenerlo.

Otra de las características importante del modelo son las actualizaciones de software. Como se mencionó anteriormente, el software debe estar siempre actualizado. Es verdad, que históricamente las actualizaciones han provocado dolores de cabeza en los administradores. Hay que recalcar que antiguamente, las actualizaciones provocaban errores que podían hacer caer la estabilidad del sistema. Hoy en día, la programación de las aplicaciones es cada día mejor, aunque también más compleja, y la aplicación de parches no constituye un riesgo para la estabilidad de los sistemas.

Hoy en día, disponer de un entorno de pre-producción no supone un coste elevado y es asequible para casi cualquier empresa, el disponer de pocas máquinas con grandes recursos capaces de montar una copia de la infraestructura real. Esta infraestructura no debe disponer de una copia de la información sensible. Las características interesantes de la virtualización son el bajo coste y la existencia de las herramientas P2V, con las que de una máquina física se obtiene una instancia virtual.

La virtualización ayuda a generar entornos de pre-producción, los cuales son copias idénticas de los entornos de producción. Con este método se puede aplicar los parches a las distintas aplicaciones y comprobar que la estabilidad de los sistemas no se pierde. De este modo los administradores pueden estar seguros que al aplicar la actualización en un entorno de producción no habrá sorpresas.

Procedimientos, concienciación y políticas

Los procedimientos son la mejor manera de llevar a cabo las tareas diarias. En el ámbito de la seguridad ocurre exactamente igual, es imprescindible automatizar y poder enumerar los pasos a seguir ante ciertas circunstancias que puedan ocurrir en el día a día de la empresa. La concienciación es algo necesario para los empleados. Los usuarios no técnicos, e incluso algunos técnicos, no ven peligros en el uso de cierta información o ciertos sistemas. Es por ello, que nacen otras medidas como la del mínimo privilegio posible, para contrarrestar el efecto negativo que pueden suponer las acciones de ciertos usuarios en algunos sistemas. ¿Cómo llevar a cabo la concienciación? Esto es algo complejo, lo óptimo es la utilización de cursos en la que los usuarios vean lo fácil que puede llegar a ser el acceso a ciertas partes de su información privada o sensible.

Las políticas de seguridad son algo también de vital importancia. Como política de seguridad, encontrándose en el escalón más bajo en la imagen anterior, se entiende a las acciones con las que se obligan a ciertos usuarios a actuar. En otras palabras, es importante que algunos usuarios, que disponen de ciertos roles utilicen unas políticas de actuación y hábitos. Lo ideal, sería aplicar estar políticas de seguridad a todos los usuarios de la empresa, pero es algo complejo, ya que cada uno dispone de una relevancia distinta y acceden a distintos tipos de información.

2 comentarios:

  1. [...] Arrancamos la semana con una nueva cadena: Defensa en profundidad (I de III) [...]

    ResponderEliminar
  2. [...] con el artículo anterior sobre el modelo Defensa en Profundidad hoy se van a explicar otras capas del modelo que se deben contemplar en la implementación total o [...]

    ResponderEliminar