7 oct. 2020

La importancia del bastionado / hardening de servidores

Todas las empresas, sin importar el ámbito en el que se desarrollan, disponen en mayor o menor medida de una infraestructura informática de servidores que almacenan y procesan información corporativa de vital importancia para el negocio. La duda que siempre me asalta es: si tan importante es esta información, ¿por qué la experiencia nos dice que es tan frecuente que las empresas no mantengan sus servidores, aplicaciones y equipos actualizados y debidamente bastionados?

Bien es sabido que una gran parte de las empresas no toman en serio la seguridad informática. Sin ir más lejos este informe publicado hace tres meses indica que 7 de las 10 vulnerabilidades más explotadas durante 2018 tenían entre 1 y 6 años de antigüedad; o este otro informe que indica que una gran cantidad de empresas no parchean sus sistemas de forma rápida. Esto es debido a que, las empresas piensan que no son objetivo escudándose en el el típico pensamiento de "mi empresa es pequeña y no tiene nada atractivo para los hackers", o bien porque no tienen o no consideran necesario disponer de recursos de personal y herramientas para mantener la plataforma actualizada. O al menos no lo hacen hasta que ya es demasiado tarde, y de eso mismo voy a hablaros en el post de hoy. It’s a true story.

Desde hace algún tiempo administro en mis ratos libres, entre otras cosas, una infraestructura de comercio online de una compañera que vende ropa por Internet. El proyecto nació tras una conversación con la habitual frase "necesito una web para darme a conocer y vender mis productos". Me pidió consejo y estuvimos hablando sobre las diversas opciones que existen para ello. Básicamente las opciones se reducían a tres:

  1. Contratar el servicio de comercio online a una empresa que te ofrece el USO de su aplicación que ellos administran (lo que denominamos software-as-a-service (SaaS) -no confundir con ñapa-as-a-service (ÑaaS), que es otra cosa-). Esta aproximación es la que habitualmente denominamos «la nube». Como puedes imaginar, por ello te cobran.
  2. Contratar la infraestructura a una empresa que te ofrece la posibilidad de que tú despliegues tu propia tienda en su infraestructura (lo que denominamos infraestructure-as-a-service (IaaS)). Es decir, te dan la opción de que tú instales y administres tu propia tienda en su infraestructura. Dado que el esfuerzo es menor por su parte, te cobran menos que en la opción anterior.
  3. Instalarte en tu oficina tu propio servidor y desplegar en él la tienda y, por tanto, administrarlo tú mismo (lo que denominamos do-it-yourself (DIY) o solución on-premise). En este escenario tú asumes los costes del hardware y mantenimiento.

Infografía de Microsoft Technet

¿Cuál es mejor? Bueno, cada aproximación es un modelo de negocio distinto, aunque desde la perspectiva de la seguridad hay implicaciones muy importantes. Es cierto que desde hace un tiempo hay una tendencia general a que todo se despliegue en la nube, ya que esto trae consigo muchas ventajas, pero también algunos inconvenientes.

Estos son tres artículos cortesía de Jorge García y publicación de SecurityArtWork sobre la importancia del bastionado de servidores.

Parte 1 - Parte 2 - Parte 3

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!