This post is also available in: Português English Español
[rev_slider alias=»ebook-10dicas-firewall-360-280″][/rev_slider]La administración de la seguridad de la información va mucho más allá de crear políticas y alinear reglas de control y auditoría. Un aspecto fundamental de la gestión debe ser la evaluación del comportamiento de la infraestructura para evaluar la evolución del modelo implantado en la empresa.
La seguridad de la información es un negocio dinámico en el sentido de nuevos servicios y accesos. Las organizaciones son organismos vivos que también cambian a lo largo del tiempo y, dependiendo del tipo, la alineación con la seguridad es un requisito para cualquier movimiento. En este sentido, es importante relatar que esta no es la realidad de la mayor parte de las empresas, sin embargo, tener visibilidad sobre ítems asociados a la seguridad trae apoyo al proceso de toma de decisión.
Hay un conjunto grande de informes y gráficos que acompañan soluciones de firewall UTM, algunos son operacionales y dirigidos a los equipos técnicos de seguridad y redes, mientras que otros son gerenciales e incluso de cumplimiento. La exigencia varía de acuerdo con el segmento de mercado y la madurez de la empresa en el tema.
Independiente del negocio, sin embargo, algunos informes y gráficos, operativos y gerenciales, son fundamentales en cualquier ambiente. El tiempo de retención de los mismos debe ser considerado, teniendo en cuenta que es común que estos dispositivos tengan poca capacidad de almacenamiento local.
En este post, vamos a destacar algunos grupos de información, ya sean informes o gráficos (esto depende mucho de la forma en que el fabricante coloca el recurso), esenciales a un firewall UTM.
Dashboards
Dashboards son importantes porque, de manera general, resumen la operación de la solución, permitiendo que se identifiquen anormalidades que puedan evolucionar a un nivel de profundidad mayor en la estructura de la organización.
Es común que dashboards resuman el estado de operación de la solución, e informen operaciones de red (consumo, tráfico en línea), principales sitios accedidos, consumo por colaborador o equipo, accesos remotos (VPN), amenazas (IPS/IDS entre otros.
Esta información puede generar un punto de atención para que un determinado elemento sea analizado. Por ejemplo, si hay un consumo exagerado o inusual de red, vale la pena al administrador profundizar e identificar si la causa es natural o si se trata de un incidente que se debe tratar.
Disponibilidad y consumo de links
Tener el historial de disponibilidad de los enlaces de red (Internet, redes privadas, etc) es necesario no sólo para registros de acuerdo de nivel de servicio (SLA), sino para identificar comportamientos que pueden ser evitados en el ambiente.
De la misma manera, el registro histórico del consumo de estos enlaces, generalmente representados a través de gráficos, permite buscar en tiempo real, o de manera retroactiva, determinadas situaciones de saturación del circuito que justifique algún informe interno.
Generalmente estos gráficos o informes se utilizan de manera a ofrecer subsidio para el escrutado de causa-raíz de un determinado evento. Como por ejemplo, un usuario informa que no se pudo enviar un determinado contenido a las 13:00 horas porque el acceso a Internet era muy lento.
Con este tipo de acceso es posible verificar si hubo el consumo fuera de los estándares en el período informado, ya partir de ahí, investigar a través de otros informes o gráficos lo que estaba de hecho consumiendo el recurso de internet. En otra parte, de informar al usuario que no tuvo consumo registrado, mostrando que probablemente el problema estaba en el punto remoto.
Estas simples informaciones en línea, y también registradas a lo largo del tiempo, pueden ayudar a elucidar diversas situaciones en un ambiente de red.
Uso de internet
El uso de Internet es esencial, no sólo en las partes relacionadas con el sector de tecnología o seguridad, sino especialmente descentralizarlo para los demás sectores, en especial gestores, directores y propietarios de empresas.
Con gráficos e informes es posible acompañar el cumplimiento con la política de la empresa, así como evaluar la productividad de sectores y colaboradores en determinadas situaciones. Por ejemplo, un determinado colaborador no entregó el informe solicitado y se percibió que el día pasó 6 horas navegando en diversos sitios.
La cantidad de posibilidades a ser trabajadas con acceso al uso de Internet es muy grande y varía de acuerdo con cada negocio. En general, es importante mantener el registro de acceso a los sitios, y otras aplicaciones, conociendo el tráfico generado y el tiempo de permanencia.
Con estas informaciones el cielo es el límite; para algunas organizaciones esos datos pueden ser irrelevantes, para otros, tomados cuidadosamente en serio. Muchas consultas, informes y gráficos se pueden realizar a partir de ahí, depende mucho de la solución utilizada.
Algunas soluciones son más técnicas y, por lo tanto, ofrecen información más específica. Otras, abstraen la complejidad de informaciones y buscan traer cosas más legibles, que facilitan el entendimiento, especialmente de usuarios no técnicos, lo que aumenta el compromiso con gestores de otras áreas.
Conexiones remotas
Ver las conexiones remotas que se realizan a la empresa es esencial, después de todo, esto puede suponer una amenaza. En los días actuales, donde la movilidad está tan presente para las empresas y personas, es común las actividades de home office o los usuarios en tránsito, donde el acceso a la empresa es necesario.
Acompañar el uso de VPN o incluso la redirección de puertas/publicación de servicios es fundamental, no sólo para colaboradores, sino también para proveedores y socios de manera general.
El acceso a un informe o consumo en línea de recursos de VPN puede no parecer tan importante si se analiza de forma aislada, pero de la misma forma que otros informes, puede elucidar una investigación.
Por ejemplo, un determinado dato fue removido de un servidor y está registrada la dirección que hizo el último acceso para el mismo, que llevó a una dirección de VPN, que a su vez, posibilitó la identificación del usuario que recibió la dirección en aquel período de conexión.
Visibilidad de amenazas
Es común que muchos ataques ocurran diariamente para las más variadas empresas, no siendo necesariamente ataques dirigidos. Conocer lo que está pasando, desde adentro hacia afuera, como lo contrario, es importantísimo para una estrategia de seguridad.
Los sensores de un sistema de detección o prevención de intrusión pueden registrar eventos de red que tienen firmas o comportamiento claro de un ataque, y sobre la base de ello, tomar una decisión además de registrar el evento.
Cuanto mayor sea el uso de aplicaciones dentro de un ambiente, mayor será la exposición que la empresa tiene. Pero al ofrecer servicios públicos a Internet, el ambiente también está expuesto a ataques externos.
Tener visibilidad de lo que ocurre es un paso fundamental para, incluso, justificar inversiones en seguridad. La mayoría de los gestores se sorprende al tener acceso a ese tipo de información.
[rev_slider alias=»hor-10-dicas-firewall»][/rev_slider]
Conexiones bloqueadas
Las conexiones bloqueadas ayudan a evaluar la cantidad de intentos de acceso no autorizado a los entornos de la empresa, especialmente a través de Internet. Además, se trata de una herramienta que puede ser muy bien utilizada para verificar si una conexión legítima no fue posible de realizar por alguna política del firewall UTM.
De esta manera, es fácil para el administrador, sobre la base de esa información, crear una regla para que el acceso sea permitido y la aplicación liberada para uso futuro.
Además, las conexiones bloqueadas permiten identificar la incidencia de determinados ataques o anomalías en el entorno de red, de forma online, o histórica.
Conexiones en tiempo real
Además del historial a través de gráficos e informes, poder seguir la tabla de conexiones en tiempo real es fantástico. Por eso, ante un consumo excesivo causado intencional o accidentalmente por un dispositivo, es posible identificar y resolverlo rápido, evitando riesgos al negocio.
Hay otras informaciones importantes en tiempo real y de manera resumida, asociada al consumo, que el mercado generalmente denomina top talkers. Estos gráficos generalmente traen el mayor consumo por puerto, aplicación, origen y destino, una visión bien resumida de recursos que más consumen la red.
La visibilidad de los detalles de la conexión depende mucho de la solución, pudiendo ser basada en direcciones y puertos, o más profundizadas a nivel de sitios accedidos, así como aplicaciones (Dropbox, WhatsApp, Facebook, etc).
Rendimiento del hardware
No menos importante, tener registros históricos de consumo del hardware (especialmente procesador y memoria) es fundamental para que los recursos de seguridad se empleen de manera adecuada, sin degradar el ambiente.
Es común que cuantos más recursos de seguridad se agregan a una solución, más consumo tendrá. Hay un límite sano entre exigir el máximo de recursos sin comprometer el hardware, y por consiguiente, la experiencia de los usuarios. Por lo tanto, este tipo de información, a veces olvidado, también es muy importante.
Informes automáticos
La dinámica de los días de hoy exige la adaptación de las soluciones de seguridad, con el fin de facilitar el día a día de los operadores y administradores. Los informes y gráficos automáticos forman parte de esta adaptación, agregando valor y facilitando el proceso de monitoreo de los recursos.
Por lo tanto, cuanto más permita la solución que los informes y gráficos, por ella generados, puedan ser enviados por e-mail u otras plataformas, con granularidad de quien pueda recibir lo que, mayor será la utilidad del producto dentro de la organización.
No hay una lista de informes y gráficos recomendados, cada solución proporcionará estas y otras informaciones de maneras diferentes, más accesibles o menos accesibles, o con la posibilidad de integración con plataformas externas, lo que amplía el universo de análisis de los datos.
Lo importante es que existan alternativas que faciliten la identificación y control del ambiente, posibilitando respuestas rápidas mediante ocurrencia de siniestros en la estructura de la empresa.
Continúe su lectura
[latest_post type=’boxes’ number_of_posts=’3′ number_of_colums=’3′ order_by=’date’ order=’ASC’ category=’reconocimiento-problema’ text_length=’100′ title_tag=’h4′ display_category=’0′ display_time=’0′ display_comments=’0′ display_like=’0′ display_share=’0′]