Cinco claves para el diseño de redes seguras para pymes

Por red segura se entiende aquella cuyo diseño protege de accesos no autorizados la confidencialidad, integridad y disponibilidad de los datos. Para el logro de semejante fin se han de cuidar una serie de aspectos clave que minimicen la posibilidad de convertirse en víctima de la ciberdelincuencia. A continuación destacamos los que consideramos más importantes.

1. Planificación y pasos previos

Es necesario conocer bien el contexto de la organización, de modo que se ajusten perfectamente los recursos necesarios para alcanzar sus objetivos. Por lo que respecta a la red, es importante disponer de un diagrama de la misma y un inventario completo de los dispositivos que la componen (routers, switches, firewalls, etc.). 

De este modo, se comprenderá mejor cómo está configurada, y cuáles son los potenciales problemas a los que se expone. No en vano, desde el cumplimiento normativo, estándares en seguridad como la ISO 27001 o el Esquema Nacional de Seguridad (ENS), requieren que se documente este aspecto como paso previo a la implantación de otras medidas. 

Disponer de planos actualizados que identifiquen y ubiquen los dispositivos que componen la red es fundamental a la hora de anticipar cuestiones de rendimiento como, por ejemplo, interferencias que pueden producirse o falta de acceso en determinadas áreas. 

La topología de red hace referencia a la estructura que conforman sus elementos constitutivos, tanto a nivel físico (localización) como lógico (modo en el que fluyen los datos). Una vez definida, es fundamental implementar en ella diferentes niveles o capas de protección.

2. Supervisar la red

La monitorización requiere de herramientas hardware y software que recojan datos sobre distintos aspectos, como la detección de dispositivos conectados. Al registrar la manera en que los datos circulan por la red, los intentos de acceso ilícito u otros puntos críticos relacionados con la ciberseguridad, se obtiene un conocimiento preciso de los problemas a los que está expuesta una empresa a ese nivel. 

Disponer de un servicio SIEM permite proteger a la organización proporcionando respuestas rápidas frente a las amenazas. El volumen de información a considerar es tan abrumador que se ha de contar con expertos perfectamente capacitados para gestionarlo. 

En este sentido, nuestra empresa JakinCode proporciona una solución excelente que prima la seguridad de los datos que alimentan el día a día de cualquier entidad. La herramienta SIEM as a Service que hemos desarrollado permite detectar y mitigar las amenazas de manera efectiva, identificando cualquier tendencia o patrón fuera de lo común para que se pueda actuar de la manera más inmediata posible. El equipo profesional altamente cualificado y especializado del que disponemos aporta su amplia experiencia en pos del fortalecimiento de la red y sistemas de una empresa, aspecto clave y esencial. 

3. Implementar VPN

Las redes privadas virtuales (Virtual Private Networks) proporcionan un canal encriptado de comunicación que, debidamente configuradas, protegen con cifrado de datos las conexiones que se establezcan en el sistema. Las características que ofrece este servicio lo convierten en un medio adecuado para el envío de datos de manera segura, privada y anónima. 

En la actual coyuntura laboral ha irrumpido en escena la posibilidad de que las compañías incorporen el teletrabajo. Tal contexto implica tener el máximo cuidado en el modo a través del cual una plantilla profesional accede a los activos empresariales desde diversas ubicaciones externas. 

Mediante una conexión vía VPN se dificulta que un agente malintencionado pueda interceptar el tráfico de red, y, de este modo, se minimiza el peligro de exponer datos de la empresa a personas no autorizadas. Para ello, se enrutan las conexiones a través de una red de servidores configurados al efecto, lo que logra que se enmascare la información (ubicación física, etc.). 

A la hora de decantarse por esta tecnología es preciso tener en cuenta factores como la velocidad de navegación, uso de protocolos de seguridad fiables, cifrado utilizado, etc.

4. Segmentación de la red

En el ecosistema de las PYMES, donde no todas pueden destinar los recursos deseables en lo tocante a la seguridad de sus redes, es probable encontrar escenarios de configuración de las mismas donde no se actualizan parámetros de protección instalados por defecto (contraseñas estándar, etc.). Semejante situación facilita ciberataques sobre un estado de seguridad muy básico o, incluso, no convenientemente atendido. 

Una segmentación apropiada de la red es un mecanismo efectivo para prevenir que se saque ventaja de un diseño expuesto a la propagación en serie de exploits que, sin apenas complejidad y sofisticación técnica, permitan adentrarse en el sistema a través de movimientos laterales que, fácilmente, permitan a un agente malintencionado extender su nocivo impacto, obteniendo control sobre activos críticos.

Mediante la aplicación de una clave fundamental en el diseño de redes como es la segmentación, se divide a éstas en secciones independientes que operan bajo el principio de confianza cero (Zero Trust). Como su nombre indica, se trata de una estrategia que elimina la presunción de que no hay que proceder a verificaciones de elementos que, supuestamente, no son objeto de sospecha dentro de la propia red. 

La segmentación física puede llevarse a cabo a través del uso de switches que parcelen la red. Otra vía es la creación de redes virtuales o VLANs. Estas permiten una división lógica que impide la comunicación directa entre dispositivos de redes distintas si antes no se cumplen una serie de protocolos de seguridad definidos.  

La denominada zona desmilitarizada (DMZ, siglas en inglés de Demilitarized Zone) es otra táctica de segmentación. La DMZ opera como una porción de una red fuera del perímetro de seguridad establecido dentro de esta, de modo que se pueda acceder a la primera sin comprometer a este último. 

Junto a las anteriores, también ha de tenerse en cuenta la creación de una intranet (una red privada de uso exclusivo de la empresa, y a la que solo puede acceder personal interno autorizado), una extranet (una red privada a la que únicamente acceden clientes, vendedores o socios autorizados), o una red de invitados (una red abierta y separada a la que cualquiera puede acceder).

5. Control de acceso y bastionado

Junto al diseño o construcción de la estructura, las PYMES han de atender también a la seguridad de su red a nivel de gestión, operación y mantenimiento de cada uno de los elementos que la constituyen. 

Limitar al mínimo posible los derechos de administración de la red es el punto de partida sobre el cual empezar a incorporar medidas de protección. Las PYMES han de disponer de políticas y procedimientos de acceso seguro a sus redes, las cuales ayuden a mitigar cualquier intento de penetración no autorizado. 

Es muy importante asignar diferentes niveles de privilegio en el uso de las redes. Para ello se atenderá a la implementación de métodos de autentificación de identidades, autorización y registro de la actividad generada. 

Recursos como la autentificación multifactor (multi-factor authentication o MFA) dificultan que las credenciales puedan ser robadas y usadas por personas no autorizadas con fines ilícitos. Para ello, a la hora de validar un acceso, además de introducir una contraseña, se requiere llevar a cabo otra acción, bien mediante un segundo dispositivo en posesión exclusiva de la persona, o bien mediante el empleo de biometría. A este tipo de precauciones se han de añadir otras estrategias complementarias, cuyo número exige personal cualificado que esté en disposición de supervisarlas. 

Para muchas PYMES, contar en plantilla con alguien exclusivamente dedicado a tareas de ciberseguridad puede no resultar viable. Afortunadamente, hoy en día es posible externalizar tal necesidad mediante fórmulas prácticas como disponer de la figura de un/a CISO as a Service. 

Otra ventaja que aporta esta solución es la de asegurar experiencia y conocimiento actualizado mediante una persona capaz de, entre otras cosas, seguir las mejores prácticas (recomendadas tanto por los fabricantes de los dispositivos instalados, como por organismos como el Centro Criptológico Nacional). 

Son muchos los detalles de configuración que demandan ser debidamente atendidos en cuanto al bastionado de los dispositivos que conforman una red. Entre otras medidas, se requiere deshabilitar protocolos de acceso a niveles de administración que no se hallen encriptados; inhabilitar servicios que no sean necesarios; implementar directrices de seguridad adecuadas; etc. 

Como puede apreciarse, el diseño seguro de redes en las PYMES es una cuestión compleja que demanda atención a una gran diversidad de detalles fundamentales. Junto a los puntos que hemos indicado, conviene tener siempre presente la necesidad de realizar auditorías y pruebas de intrusión que pongan a prueba la seguridad de la red.