0

Redefiniendo la seguridad de la red perimetral

InternetSecurity2El futuro es híbrido

La idea de la defensa del perímetro es tan antigua como los propios servidores -diga la palabra y evocará imágenes de máquinas del tamaño de ENIAC zumbando en habitaciones cerradas con firewalls que las separan del mundo exterior. A menos que trabaje para la CIA, esa no es su realidad. Los datos que protege viven en la nube, fluyendo a través de computadoras portátiles y teléfonos celulares de todo el mundo. Las APIs se conectan y los correos electrónicos salen. Cuando la información está en todas partes, la seguridad también debe estar en todas partes, dejando a los que recuerdan a los servidores reales preguntarse si todavía existe algo como el perímetro.

“[El perímetro] es una mentalidad muy limitada que se descompone en un mundo de Wi-Fi y uno de nube”, señala Keith Casey. Además de servir como asesor de varias startups, Casey es un solucionador de problemas de API en Okta, un proveedor de identidad en la nube con sede en San Francisco. “Debido a que no podemos contar con las fronteras con las que siempre hemos contado, las cosas son diferentes”, explica. “Anteriormente, [TI] podía decir: si está en nuestra red -en nuestra red física y cableada- aquí están los protocolos de seguridad. Si tiene acceso físico a nuestra red, podemos confiar en usted”.

Antes de la nube, este perímetro siempre estaba reforzado por defensas internas, tales como el escaneo de antivirus o herramientas de protección de endpoint. Tanto en ese momento como ahora, anota Casey: “El perímetro en sí mismo no es suficiente. Si entro, me puedo volver salvaje. Es como no usar una caja fuerte porque siempre mantiene la puerta de entrada cerrada”. De esta forma, las mejores prácticas no han cambiado: siempre es una buena idea tener una retaguardia.

Sin embargo, Casey dice que “cuanto más rápido podamos acabar con la idea del perímetro, mejor será, porque da a las personas una falsa sensación de seguridad”. En un mundo donde los empleados trabajan en múltiples dispositivos desde cualquier lugar del mundo, el perímetro como lo conocíamos, apenas existe. Hoy en día, la autorización, y no un firewall, es lo que él dice que evita que los empleados “inicien sesión” en su cuenta bancaria corporativa a las dos de la madrugada en Las Vegas”. La autorización ha sido considerada tradicionalmente como una defensa interna.

Independientemente del tipo de seguridad que se supone que lo tiene que atrapar, es probable que el inicio de sesión en Las Vegas no sea bienvenido. En Centre College en Danville, Kentucky, son las conexiones de las dos de la madrugada de Londres, Shanghai y Estrasburgo. El 85% de los estudiantes del Centre College estudian en el extranjero al menos una vez, y pueden acceder al correo electrónico, al sistema de gestión de aprendizaje de la universidad y al intranet del campus, estén donde estén.

Al igual que cualquier universidad, la cadena de datos del Centre College comienza cuando un estudiante de secundaria se conecta con las admisiones, continúa durante los cuatro años de estudio y luego sigue a los alumnos por el resto de sus vidas. Así que Shane Wilson, coordinador senior de sistemas y redes, debe asegurar todo, desde los números de seguridad social de los adolescentes hasta las coordenadas bancarias que los graduados brindan cuando donan. Entonces, como en cualquier lugar de trabajo, también hay datos de empleados que hay que proteger.

Para hacer esto, Wilson confía en la defensa del perímetro más de lo que las tendencias podrían predecir: “Hace varios años todos los artículos [dijeron], ‘El perímetro está muerto. Ya no existe. No te preocupes por los firewalls’, que se mantuvo como la regla por un tiempo y luego, ‘Oh, realmente necesita hacer eso. No simplemente lo ignore”. Afortunadamente, a medida que la seguridad del perímetro ha ido cayendo y volviendo a subir, los firewalls, los sistemas de detección de intrusiones y los sistemas de prevención de éstas, nunca perdieron su lugar en el Centre College: el software de planificación de recursos empresariales (ERP) -que contiene empleados y la información personal identificable del estudiante (PII)- permanece bajo un perímetro tradicional.

Wilson admite que no hay un perímetro alrededor de todo, ni debería haberlo. Tome el ejemplo del teatro de la universidad. Éste utiliza una plataforma de tickets SaaS de un proveedor que tiene su propia seguridad. El correo electrónico del alumno ya no está detrás del perímetro, tampoco. Hace cuatro años, Wilson lo cambió a Microsoft Office 365. Entonces toda la información está en medio, como el código de centre.edu -el sitio web de la universidad.

Wilson dice que “de cualquier forma, no hay nada [en el sitio] que no se lo esté diciendo al mundo. Para ello, la parte importante no es impedir la exfiltración; sino que no lo hackeen”. Al final, la mayoría de los datos están protegidos por un sistema híbrido, alojado en servidores físicos a los que la universidad accede a través de la nube. Estos servidores tienen defensa perimetral local, por lo que la defensa interna protege la conexión.

Casey podría decir que esta práctica es una prueba de que el perímetro está cambiando, que éste y la seguridad interna se están transformando en una defensa en capas que opera internamente, en la nube, o en ambos. “Tenemos que entender que el perímetro no es físico y que cambia con el tiempo”, indica. Volviendo al ejemplo de Las Vegas, agrega, “la seguridad basada únicamente en dónde se encuentra no es lo suficientemente buena. Necesitamos tener seguridad basada en lo que usted es y en lo que está tratando de hacer en ese momento en particular”.

El futuro de la seguridad no es, por lo tanto, interno o perimetral. Es una defensa multifacética que se parece un poco a ambos. “La idea es que no hay una sola solución que cubra todo, sino que hay muchos permisos de diferentes niveles que cambian con el tiempo”, continúa Casey. Del mismo modo que la defensa perimetral original era una forma de decir: “Si lograste pasar, debes estar bien”, comenta, “la defensa en profundidad puede abordar diferentes casos de uso y crear de manera efectiva ‘zonas de seguridad’ donde tiene/no tiene acceso -como en el aeropuerto. “Entonces no se trata de que el perímetro le impida salir y le mantenga fuera de peligro una vez que llegue allí. Se trata de evaluar datos y permisos en un nivel más alto y detallado”.

“[Casey] está en lo cierto”, anota Wilson. “El perímetro sí existe, solo que es diferente -se le da más prioridad”.

La transición de Centre College a esta nueva realidad ha sido intencionalmente lenta, ha demorado de 10 a 12 años. “No somos vanguardistas”, admite Wilson, “y hemos sido felices de no serlo”. Centre College es una pequeña universidad de artes liberales con una reputación de marca por enseñar a los estudiantes a reflexionar de forma lógica e independiente antes de tomar decisiones conscientes. El enfoque de seguridad de Wilson debe reflejar a la institución en sí misma -no solo para que pueda obtener el reconocimiento interno, sino también para que su departamento pueda tomar las mejores decisiones para su empleador. “Francamente, mi información está en ese sistema”, agrega, “y está en mi propio interés asegurarme de que nuestros sistemas sean seguros”.

Esto es cierto sin importar dónde trabaje o cuán progresivo sea el entorno. Wilson dice que “muchos lugares han descubierto que han emigrado” solo para volver a colocar esa información detrás del perímetro. La decisión que tome, concluye, debe tener en cuenta “[lo que es] realmente importante para la misión del negocio, ya sea que sea Ford Motor Company o el Centre College”.

Terena Bell, CSOonline.com – CIOPeru.pe

Ordenado por: Seguridad Tags: 

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2018 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB