This post is also available in: Português Español
Hay un dicho que dice «no pongas todos los huevos en la misma canasta», refiriéndose a la seguridad de contenido. Ya que, si hay algún daño en la cesta, todo el contenido puede verse comprometido.
¿Pero qué pasa si hay subdivisiones dentro de ese recipiente? Las pérdidas suelen ser menores, ya que sólo la zona afectada sufrirá los daños, sin que se extiendan al resto de la cesta. Esta lógica también la siguen los grandes buques de carga, con sus esclusas dentro del casco.
Este pensamiento también se ha aplicado a la seguridad digital, y se denomina segmentación de la red. La idea es la siguiente: en el entorno de una empresa, por ejemplo, se crean varios segmentos en su red interna, como si fueran compartimentos. En el caso de una invasión de virus, si ese fuera el caso, no se vería afectada a toda la empresa, ya que se limitará al segmento de red en el que haya entrado.
Así, se reduce la capacidad de propagación malware . De esa manera, una menor cantidad de datos queda expuesta a la acción delictiva, disminuyendo el impacto de la intrusión.
Primeros pasos
El concepto es muy eficiente, pero exige de mucha organización a la hora de desplegarlo y disciplina para mantenerlo. En primer lugar, es necesario clasificar todo el flujo de información entre los sectores de la empresa, y entre los miembros de cada sector. Incluso porque el ordenador que permanece en la recepción no necesita «ver» el PC de uno de los directores, por ejemplo, y tampoco debe poder cambiar de segmento con extrema facilidad.
Por ello, es necesario definir las políticas de acceso dentro del organigrama de la empresa. Recordando que, un enfoque de segmentación adecuado le permite establecer directrices que permiten que sólo los empleados responsables accedan a cierta información y a aplicaciones, servidores y recursos de red específicos.
Por tanto, una adecuada segmentación de la red puede dificultar mucho más el acceso de un ciberdelincuente a información valiosa de toda la empresa. En muchos casos, cuando un ataque está en marcha, esta política puede utilizarse para proporcionar controles dinámicos para contener la intrusión, mitigando el daño potencial. También puede ayudar a identificar el ataque a través de alertas de acceso no autorizado, y así saber dónde comenzó todo.
Beneficios y desafíos
La pandemia que surgió a causa de COVID-19 realzó una de las ventajas de la segmentación de la red: aislar a los empleados en home office dentro del área de red requerida. Sin una segmentación adecuada, el acceso del hogar a la empresa puede crear vulnerabilidades que debiliten las defensas de la red. Dado que esta forma de trabajar tiende a mantenerse en algunos puestos incluso después del fin del aislamiento social, la segmentación de la red cobra aún más importancia.
Otros beneficios notables de este sistema son que proporciona un mayor nivel de protección para los servidores y aplicaciones críticos. También simplifica la gestión de la red, incluida la supervisión de eventos y la respuesta a incidentes, y minimiza el esfuerzo necesario para las auditorías de seguridad.
A pesar de las ventajas, este no es un camino de rosas. Hay puntos de atención que necesitan un cuidado extra. Uno de ellos es la cuestión de los actores externos que necesitan acceso, como los proveedores. Algunos pueden complicar el proceso de segmentación del acceso, ya que exigen diferentes niveles de acceso a la red interna. Hay que incluirlos y tenerlos en cuenta a la hora de planificar la segmentación de la red, estudiando una forma segura de actuar conjuntamente. Por lo tanto, no hay que descartar la formación con empleados de estas empresas asociadas.
Otro punto a tener en cuenta es el tipo de red utilizada. A menudo se utilizan VLANs en este proceso, pero puede existir la posibilidad de que los usuarios salgan de un segmento y accedan a otro, y lo hagan ignorando las restricciones de acceso, desde el direccionamiento IP. Además, pueden plantear dificultades a la hora de conectar los entornos de computación en nube.
Dentro de este contexto, un reto que puede suponer la segmentación de la red es cuando se realizan escaneos de vulnerabilidad de seguridad. En muchos casos, acaba siendo necesario trasladar el escáner física o lógicamente de un segmento a otro mediante el control de acceso y las reglas del cortafuegos. Esto no debe pasarse por alto en los estudios de implantación, ya que puede provocar un retraso indeseable, e incompatible con la naturaleza de la actividad de la empresa.
A pesar de los pesares, la segmentación de la red es muy positiva cuando se trata de la protección de datos en una empresa. Tras su implantación, debe formar parte de la rutina de los empleados, como parte de un comportamiento que cuida los datos a los que se accede, tanto los de la empresa como los de los clientes. Por lo tanto, debe comprometer a todos los empleados hacia un objetivo: trabajar por la seguridad digital.
This post is also available in: Português Español