This post is also available in: Português English Español
Esta temática es un desafío constante para muchas empresas y no hay una receta definitiva a seguir para minimizar los impactos negativos que el mal uso de Internet causan en ambientes corporativos. Esto es fácilmente entendido por que cada negocio tiene sus particularidades y necesidades, y por ello, hay una complejidad involucrada en lo que es o no eficiente, para cada realidad, exigiendo que el proceso sea altamente personalizado.
Muchos piensan que una política eficiente es aquella que restringe fuertemente el acceso de los usuarios a Internet, lo que en algunos casos puede ser una premisa válida, sabemos que la restricción puede causar impactos negativos, principalmente asociados a la productividad, diferente de lo que normalmente se piensa.
Por otro lado, dejar los accesos liberados sin ningún control puede presentar un riesgo alto de seguridad, tanto por que permite ataques intencionados, como desvío de informaciones y otros, así como aquellos oportunistas generados por un acceso a algún sitio que contiene contenido malicioso, que posteriormente toma el control del equipo pudiendo causar algún daño a la empresa. Además, los accesos liberados a usuarios con poca concientización, pueden impactar negativamente en la productividad.
Tras estos contrapuntos y reflexiones como introducción, se ratifica que el tema es realmente complejo. Esto significa que no hay una solución común, sin embargo, algunos puntos se pueden entender para que podamos construir una política de proxy altamente eficiente. Altamente eficiente significa, básicamente, defender los intereses de la organización en términos de seguridad, productividad y otros ítems, y garantizar que los colaboradores puedan maximizar sus actividades con el uso de Internet, sin perjudicar a la empresa. En esta directriz, cada segmento, cada empresa, con su madurez de negocio, va a poder estructurar una política adecuada, que respeta estos pilares básicos.
Una política adecuada para pequeños negocios
Pequeños negocios aquí son aquellos poco informatizados o que tienen pocos ordenadores en su estructura. Muchos piensan, aún, que ese tipo de negocio no necesita ser protegido, lo que es un verdadero error. Toda empresa que está conectada a Internet y que realiza procesos que usan Internet, o que almacenan sistemas internos, debe llevar la seguridad en serio.
Y para estos negocios de seguridad no sale caro, sino que hay soluciones para todos los bolsillos; lo importante es protegerse. En este sentido, una política generalmente utilizada para pequeños negocios es una lista global de sitios que están prohibidos, o al contrario, una lista de sitios permitidos.
Si el pequeño negocio necesita un nivel de control muy alto, prefiera bloquear absolutamente todo y liberar solamente lo que se conoce y está vinculado a las actividades laborales, eso evita potencialmente el riesgo de incidentes de seguridad, aunque sea un poco más complejo de montar esa lista, por lo que muchos sitios, actualmente, cargan el contenido de otras direcciones.
Es natural, en estos casos, que algunos sitios parezcan no configurados, pero una buena empresa de seguridad sabrá aplicar configuraciones y asignar los requisitos para que el usuario pueda acceder de forma completa a los sitios de su interés.
Si la empresa necesita granular los accesos, crear políticas diferentes para cada equipo también es posible, pero esto aumenta considerablemente la complejidad de gestión que puede huir a la necesidad inicial.
Cuidado con permisos de gerencias y directorios
Antes de continuar en el post, vale un detalle muy importante: las políticas tienen que funcionar para todos, de lo contrario la empresa corre riesgos. Se suele decir que una política o arquitectura de seguridad es tan fuerte como su eslabón más débil.
Esto básicamente quiere decir que crear políticas de acceso para toda organización y mantener excepciones a las reglas por cuenta de cargos o posiciones es un riesgo altísimo, pues el punto de ataque o contaminación puede venir justamente de computadoras con mayores niveles de acceso.
Si la política lo permite, asegúrese de que estos equipos estén debidamente aislados, físicamente o a través de VLAN, esto evita potencialmente la escalada de acceso a otras redes, invalidando toda la política creada.
Permisos de acceso globales
En muchas organizaciones es común que algunos accesos sean liberados y bloqueados globalmente, eso quiere decir que vale absolutamente para todos los ordenadores y usuarios. Esta es una medida interesante y también muy común, pues permite que las direcciones conocidas se clasifiquen, sin necesidad de estar repetidas para cada sector o usuario, por ejemplo.
En este caso, generalmente se coloca una lista mínima de direcciones liberadas, que no ofrecen riesgos o desconformidad con la política de accesos, y otra con contenidos que deben ser bloqueados, por lo que jamás tendrán sentido de ser accedidos dentro del ambiente empresarial.
Si eventualmente alguien o sector necesita acceder a un determinado sitio que esté en esa estructura, entonces el mismo deberá ser retirado globalmente, y replicado para los sectores que necesitan tal acceso.
Permisos de accesos sectoriales e individuales
Dependiendo del tamaño de la empresa, hay una diferenciación muy clara de las necesidades de los accesos entre los sectores, e incluso entre algunas personas, generalmente en cargos más altos.
En estos casos, es común que existan los permisos de acceso globales, pero hay un desdoblamiento de las políticas para los sectores, dejando el acceso más personalizado y coherente con las actividades del mismo.
Este concepto de reglas de acceso basadas en sectores o personas/computadoras puede también ser implementado con niveles de acceso independientes del sector, pero vinculados a perfiles de acceso estándares que se crean.
Por ejemplo, se puede tener un Nivel0 que tiene acceso ilimitado a cualquier contenido, Nivel1 que tiene acceso a todo, excepto una lista de sitios prohibidos, Nivel2 que no tiene acceso a nada, excepto a la lista de sitios permitidos, entre otros. Así, en lugar de trabajar por sector, se pueden vincular grupos o usuarios/computadoras a los niveles, lo que reduce considerablemente la complejidad de la gestión de las políticas de acceso.
Esta granularidad es extremadamente importante porque garantiza atender, con seguridad, necesidades de acceso diferentes basadas en el sector o en niveles de acceso.
Bases de datos de sitios – categorías
Un aditivo interesante en muchas soluciones de proxy es lo que se dice categorías de sitios, generalmente una base de datos grande, que contiene los sitios organizados por categorías de interés (entretenimiento, noticias, juegos, etc.).
Esta característica facilita mucho la definición de las políticas de acceso por interés. Por ejemplo, los empleados del sector de marketing de la empresa pueden tener acceso sólo a las categorías de contenido relacionadas con el sector. Colaboradores del sector financiero, pueden tener acceso solamente a las categorías de bancos y asuntos relacionados.
Proxies que poseen categorización de sitios predefinidos, en que la base sea de calidad, facilitan mucho la creación de políticas de acceso respetando el interés de la empresa y de los usuarios.
Auditoría de directivas e informes de acceso del servidor proxy
Muchas veces descuidado, pero importante al auditar la política de acceso con regularidad, especialmente si hay más de una persona o equipo responsable de administrar el proxy. Esto garantizará la conformidad de la política con lo que de hecho se está ejecutando en el proxy. En muchas situaciones las reglas son creadas y alteradas, sin ningún cumplimiento con la política; ¡ojo con eso!
Otro aspecto importante de éxito para la implantación de una política altamente eficiente es acompañar los accesos de los usuarios y validar si se ajustan a la política. Diversas soluciones ofrecen informes automatizados que se pueden enviar por correo electrónico, para gerentes de sector y similares.
Esto descentraliza del sector de tecnología la responsabilidad de auditar los accesos, y tener una política sin que haya auditoría o acompañamiento de los accesos, puede ser una visión miope de que el ambiente de hecho está seguro.
Hable con los usuarios
Uno de los aspectos más importantes de la construcción y mantenimiento de una política de accesos es dialogar con los colaboradores, concientizándolos de su importancia. Es necesario sacar el estigma de que ese tipo de acción sólo sirve para restringir accesos. Participando en este proceso, los usuarios toman más conciencia y conocimiento, y ayudan verdaderamente a la organización.
Existen segmentos de mercado que no pueden flexibilizar sus políticas, por qué tratan con informaciones muy sensibles. En estos casos, la política debe ser más rígida por una naturaleza del negocio. Sin embargo, la mayoría de los segmentos permiten flexibilidades sin perder el nivel de seguridad.
Hablar con los usuarios, crear políticas internas de concienciación de seguridad, son puntos fundamentales para complementar el lado técnico de cualquier solución. El lado humano es siempre un eslabón débil, por eso es importante entrenarlos.
Como se informó al principio de este post, no hay una política de acceso estándar que encaje para todos los negocios, en este post hemos traído algunos puntos de reflexión que sirven para que usted cree la política más eficiente para su negocio.
This post is also available in: Português English Español