Cinc claus per al disseny de xarxes segures per a pimes

Cinc claus per al disseny de xarxes segures per a pimes
Autor JakinCode · 03/2024 

·  Ciberseguretat en el sector industrial

Totes les xarxes estan exposades al perill de ser compromeses. La probabilitat de patir un ciberatac augmenta si els elements que les componen no estan adequadament configurats i administrats. Tot i que totes les empreses, independentment de la seva mida, corren el risc de patir un incident que afecti els seus sistemes d’informació, les PIMES són més propenses a ser víctimes d’un.

Per xarxa segura s’entén aquella que el seu disseny protegeix de l’accés no autoritzat la confidencialitat, integritat i disponibilitat de les dades. Per aconseguir aquest objectiu, cal cuidar una sèrie d’aspectes clau que minimitzin la possibilitat de convertir-se en víctima de la ciberdelinqüència. A continuació, destaquem els que considerem més importants.

1. Planificació i passos previs

És necessari conèixer bé el context de l’organització, de manera que s’ajustin perfectament els recursos necessaris per assolir els seus objectius. Pel que fa a la xarxa, és important disposar d’un diagrama de la mateixa i d’un inventari complet dels dispositius que la componen (routers, switches, firewalls, etc.). 

D’aquesta manera, es comprendrà millor com està configurada i quins són els potencials problemes als quals s’exposa. No en va, des del compliment normatiu, estàndards de seguretat com la ISO 27001 o l’Esquema Nacional de Seguretat (ENS) requereixen que es documenti aquest aspecte com a pas previ a la implantació d’altres mesures. 

Disposar de plànols actualitzats que identifiquin i situïn els dispositius que componen la xarxa és fonamental per anticipar qüestions de rendiment com, per exemple, interferències que poden produir-se o manca d’accés en determinades àrees. 

La tipologia de xarxa fa referència a l’estructura que conformen els seus elements constitutius, tant a nivell físic (localització) com lògic (manera en què flueixen les dades). Un cop definida, és fonamental implementar-hi diferents nivells o capes de protecció.

2. Supervisar la xarxa

La monitorització requereix eines hardware i software que recullin dades sobre diferents aspectes, com la detecció de dispositius connectats. En registrar la manera en què les dades circulen per la xarxa, els intents d’accés il·lícit o altres punts crítics relacionats amb la ciberseguretat, s’obté un coneixement precís dels problemes als quals està exposada una empresa a aquest nivell. 

Disposar d’un servei SIEM permet protegir l’organització proporcionant respostes ràpides davant les amenaces. El volum d’informació a considerar és tan aclaparador que cal comptar amb experts perfectament capacitats per gestionar-lo. 

En aquest sentit, la nostra empresa JakinCode proporciona una solució excel·lent que prima la seguretat de les dades que alimenten el dia a dia de qualsevol entitat. La eina SIEM as a Service que hem desenvolupat permet detectar i mitigar les amenaces de manera efectiva, identificant qualsevol tendència o patró fora del comú perquè es pugui actuar de la manera més immediata possible. L’equip professional altament qualificat i especialitzat del qual disposem aporta la seva àmplia experiència darrere de l’enfortiment de la xarxa i sistemes d’una empresa, aspecte clau i essencial.

3. Implementar VPN

Les xarxes privades virtuals (Virtual Private Networks) proporcionen un canal encriptat de comunicació que, degudament configurades, protegeixen amb xifratge de dades les connexions que s’estableixin en el sistema. Les característiques que ofereix aquest servei el converteixen en un mitjà adequat per a l’enviament de dades de manera segura, privada i anònima. 

En l’actual conjuntura laboral ha irromput en escena la possibilitat que les companyies incorporin el teletreball. Aquest context implica tenir la màxima cura en el mode a través del qual una plantilla professional accedeix als actius empresarials des de diverses ubicacions externes. 

Mitjançant una connexió via VPN es dificulta que un agent malintencionat pugui interceptar el trànsit de xarxa, i, d’aquesta manera, es minimitza el perill d’exposar dades de l’empresa a persones no autoritzades. Per a això, s’encaminen les connexions a través d’una xarxa de servidors configurats a aquest efecte, la qual cosa aconsegueix que s’emmascari la informació (ubicació física, etc.). 

A l’hora de decantar-se per aquesta tecnologia cal tenir en compte factors com la velocitat de navegació, ús de protocols de seguretat fiables, xifratge utilitzat, etc.

4. Segmentació de la xarxa

En l’ecosistema de les PIMES, on no totes poden destinar els recursos desitjables en matèria de seguretat de les seves xarxes, és probable trobar escenaris de configuració de les mateixes on no s’actualitzen paràmetres de protecció instal·lats per defecte (contrasenyes estàndard, etc.). Aquesta situació facilita ciberatacs sobre un estat de seguretat molt bàsic o, fins i tot, no convenientment atès.

Una segmentació adequada de la xarxa és un mecanisme efectiu per prevenir que es tiri partit d’un disseny exposat a la propagació en sèrie d’exploits que, sense gaire complexitat i sofisticació tècnica, permetin endinsar-se al sistema a través de moviments laterals que, fàcilment, permetin a un agent malintencionat estendre el seu impacte nociu, obtenint control sobre actius crítics.

Mitjançant l’aplicació d’una clau fonamental en el disseny de xarxes com és la segmentació, es divideixen aquestes en seccions independents que operen sota el principi de confiança zero (Zero Trust). Com el seu nom indica, es tracta d’una estratègia que elimina la presumpció que no cal realitzar verificacions d’elements que, suposadament, no són objecte de sospita dins de la pròpia xarxa.

La segmentació física es pot dur a terme mitjançant l’ús de commutadors (switches) que parcel·lin la xarxa. Una altra via és la creació de xarxes virtuals o VLANs. Aquestes permeten una divisió lògica que impedeix la comunicació directa entre dispositius de xarxes diferents si abans no es compleixen una sèrie de protocols de seguretat definits.

La denominada zona desmilitaritzada (DMZ, sigles en anglès de Demilitarized Zone), és una altra tàctica de segmentació. La DMZ opera com una porció d’una xarxa fora del perímetre de seguretat establert dins d’aquesta, de manera que es pugui accedir a la primera sense comprometre a aquest últim.

Juntament amb les anteriors, també cal tenir en compte la creació d’una intranet (una xarxa privada d’ús exclusiu de l’empresa, i a la qual només pot accedir personal intern autoritzat), una extranet (una xarxa privada a la qual només accedeixen clients, venedors o socis autoritzats), o una xarxa de convidats (una xarxa oberta i separada a la qual qualsevol pot accedir).

5. Control d’accés i bastionat

Juntament amb el disseny o construcció de l’estructura, les PIMES han d’atendre també a la seguretat de la seva xarxa a nivell de gestió, operació i manteniment de cadascun dels elements que la constitueixen.

Limitar al mínim possible els drets d’administració de la xarxa és el punt de partida sobre el qual començar a incorporar mesures de protecció. Les PIMES han de disposar de polítiques i procediments d’accés segur a les seves xarxes, les quals ajudin a mitigar qualsevol intent de penetració no autoritzat.

És molt important assignar diferents nivells de privilegi en l’ús de les xarxes. Per això s’atendrà a la implementació de mètodes d’autenticació d’identitats, autorització i registre de l’activitat generada.

Recursos com l’autenticació multifactor (multi-factor authentication o MFA) dificulten que les credencials puguin ser robades i utilitzades per persones no autoritzades amb fins il·lícits. Per a això, a l’hora de validar un accés, a més d’introduir una contrasenya, es requereix dur a terme una altra acció, bé mitjançant un segon dispositiu en possessió exclusiva de la persona, o bé mitjançant l’ús de biometria. A aquest tipus de precaucions s’han d’afegir altres estratègies complementàries, el nombre de les quals exigeix personal qualificat que estigui en disposició de supervisar-les.

Per a moltes PIMES, comptar en plantilla amb algú exclusivament dedicat a tasques de ciberseguretat pot no resultar viable. Afortunadament, avui dia és possible externalitzar aquesta necessitat mitjançant fórmules pràctiques com disposar de la figura d’un/a CISO as a Service.

Una altra avantatge que aporta aquesta solució és la d’assegurar experiència i coneixement actualitzat mitjançant una persona capaç de, entre altres coses, seguir les millors pràctiques (recomanades tant pels fabricants dels dispositius instal·lats com per organismes com el Centre Criptològic Nacional).

Són molts els detalls de configuració que demanen ser degudament atesos pel que fa al fortificació dels dispositius que conformen una xarxa. Entre altres mesures, es requereix deshabilitar protocols d’accés a nivells d’administració que no es trobin encriptats; inhabilitar serveis que no siguin necessaris; implementar directrius de seguretat adequades, etc.

Com es pot apreciar, el disseny segur de xarxes a les PIMES és una qüestió complexa que demana atenció a una gran diversitat de detalls fonamentals. Juntament amb els punts que hem indicat, convé tenir sempre present la necessitat de realitzar auditories i proves d’intrusió que posin a prova la seguretat de la xarxa.

JakinCode t’ajuda a enfortir la seguretat de la teva empresa amb un CISO as a Service. Els nostres experts estan a la teva disposició. Programem una reunió?

Programar reunió chevron_right

Articles relacionats

  • Què són els escombratges electrònics o TSCM

Què són els escombratges electrònics o TSCM

10/2024

  • GRC per a la gestió eficient de la seguretat en una empresa

GRC per a la gestió eficient de la seguretat en una empresa

09/2024

  • Principals certificacions de ciberseguretat

Principals certificacions de ciberseguretat

08/2024

  • Com protegir eficaçment els meus actius d'informació del ransomware

Com protegir eficaçment els meus actius d'informació del ransomware

07/2024