Defensa en Profundidad
Defensa en profundidad no es un concepto nuevo. Se refiere a una estrategia militar que tiene por objetivo hacer que el atacante pierda el empuje inicial y se vea detenido en sus intentos al requerirle superar varias barreras en lugar de una.
Al igual que un campo de batalla, nuestras infraestructuras de tecnología son una compleja formación de elementos que en conjunto albergan uno de los activos más valiosos para las empresas: los datos. Podemos visualizar esta infraestructura como una serie de capas donde los datos ocupan el último nivel, precedidos de contenedores como lo son las localidades físicas, el perímetro, la red, los servidores y las aplicaciones.
De esta forma, cada capa de nuestra infraestructura representa una barrera para el atacante en su camino hacia el objetivo final de acceder a los datos confidenciales, de manera que si falla cualquiera de los controles en una capa haya defensas adicionales que contengan la amenaza y minimicen las probabilidades de una brecha.
En adición, analizar nuestro ambiente de tecnología de esta forma para fines de integrar seguridad permite dividir el problema en partes más pequeñas y manejables, contribuyendo así a mejorar la calidad de su implementación.
A continuación algunas consideraciones importantes sobre las principales defensas de este modelo:
Fuente: Sentineldr
Al igual que un campo de batalla, nuestras infraestructuras de tecnología son una compleja formación de elementos que en conjunto albergan uno de los activos más valiosos para las empresas: los datos. Podemos visualizar esta infraestructura como una serie de capas donde los datos ocupan el último nivel, precedidos de contenedores como lo son las localidades físicas, el perímetro, la red, los servidores y las aplicaciones.
De esta forma, cada capa de nuestra infraestructura representa una barrera para el atacante en su camino hacia el objetivo final de acceder a los datos confidenciales, de manera que si falla cualquiera de los controles en una capa haya defensas adicionales que contengan la amenaza y minimicen las probabilidades de una brecha.
En adición, analizar nuestro ambiente de tecnología de esta forma para fines de integrar seguridad permite dividir el problema en partes más pequeñas y manejables, contribuyendo así a mejorar la calidad de su implementación.
A continuación algunas consideraciones importantes sobre las principales defensas de este modelo:
- Políticas, procedimientos, concientización: Establecen el tono en toda la organización con relación a la protección de los activos de información, definen los objetivos y actividades de control y proveen un criterio de auditoría para el programa de seguridad. Para ser efectivas, las políticas deben ser debidamente comunicadas a todo el personal de la empresa. La concientización es clave debido a que es el personal quien maneja a diario los sistemas y las informaciones, por lo que sin su compromiso no es posible mantener la seguridad.
- Firewall: La primera línea de defensa a nivel de la red la constituye por lo general el firewall, el cual analiza las conexiones entre redes y restringe el acceso de acuerdo a una política de seguridad. Aunque el rol del firewall ha ido cambiando y su función se ha combinado con otras anteriormente dispersas, el mismo sigue siendo un componente importante de nuestro arsenal de defensas siempre que sea correctamente gestionado. Esto incluye, entre otras acciones, mantenerlos actualizados, administrar las reglas de forma que implementen correctamente las políticas y auditar los eventos.
- Sistemas de Detección / Prevención de Intrusos: Estos sistemas monitorean el tráfico de la red y alertan y/o previenen cualquier actividad sospechosa en tiempo real. El reto con estos sistemas es disminuir la cantidad de falsos positivos (actividad legítima que se detecta como maliciosa), así como monitorear los eventos de forma activa e implantar procesos adecuados de intervención.
- NAC: Aunque una tecnología todavía emergente y de relativa poca adopción, el Control de Admisiones a Redes (NAC por sus siglas en inglés) permite inspeccionar los equipos que se conectan a las redes para determinar si los mismos cumplen con las políticas y estándares de seguridad, como por ejemplo contar con software antivirus y parches de seguridad requeridos. A partir de este resultado se puede permitir, restringir o negar el acceso del equipo así como generar alertas e incluso llevar a cabo la remediación correspondiente.
- Antimalware: Las tecnologías antimalware (las cuales protegen de amenazas como los virus, troyanos, gusanos, botnets, spyware y otras formas de código malicioso) continúan su evolución hacia sistemas más inteligentes, capaces de detectar las amenazas más sofisticadas y complejas sin depender principalmente de firmas estáticas. Estas por igual requieren ser gestionadas correctamente. Asegurar su correcta actualización y monitoreo son aspectos clave para mantener su efectividad.
- Encriptación: Puede ser considerada la última línea de defensa bajo este modelo. Encriptar o cifrar los datos protege la confidencialidad de los mismos durante su almacenamiento o transmisión por las redes. De esta forma, aunque los demás controles sean comprometidos, los datos permanecen seguros pues no podrán ser leídos a menos que sean descifrados. La seguridad de este mecanismo depende del manejo adecuado de las llaves utilizadas para descifrar los datos, por lo que se debe prestar especial atención a este aspecto.
- Seguridad Física: Aún tengamos las más estrictas medidas de seguridad lógica, esto no nos protegerá de un intruso que intente sabotear o causar algún daño físico a nuestros sistemas. Por esta razón debemos mantener controles de seguridad física adecuados, tales como CCTV, control de acceso físico, alarmas y vigilancia; particularmente en áreas sensibles como el centro de cómputos.
Fuente: Sentineldr
Muchas gracias
ResponderBorrar