ISO 27001: Mecanismos de defensa contra las amenazas en la red

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 genera los condicionantes a la hora de implementar un Sistema de Gestión de Seguridad de la Información en cualquier organización que se preocupe por tener toda su información bien protegida.

Control de acceso a la red

Actualmente, las empresas cuentan con infraestructuras de defensa que protegen a dichas organizaciones de las amenazas externas. Esta visión de seguridad basada en la defensa del perímetro está cambiando. Hoy en día, las empresas deben asegurar con profundidad todos los ámbitos de la misma mediante un control tanto externo como interno de los accesos a la información que poseen.

El llamado control de acceso a la red (NAC-Network Access Control) ha surgido como una solución a los problemas de Seguridad de la Información de nuestra red interna, gracias a la norma ISO27001. En este sentido, la red interna ha dejado de ser un entorno en el que se pueda confiar ya que la disponibilidad y el acceso se han convertido en una acción prioritaria frente a la seguridad.

Esta tecnología se basa en saber “quién”, “cómo”, “cuándo”, “dónde” y “a qué” conecta realizándose un control de acceso a través de la identidad del cliente que intenta acceder a la red y el estado de cumplimiento de la política de seguridad.

Las empresas presentan una serie de características en las redes internas que suponen un gran riesgo para la gestión de la Seguridad de la Información incluida en la norma ISO 27001:

• Acceso estático a redes. Puntos de accesos LAN no autorizados.
• Todos los dispositivos están permitidos.
• Dispositivos móviles accediendo a diferentes entornos y organizaciones.
• Falta de control de dispositivos que no cumplen las políticas de seguridad.
• Acceso de colaboradores externos a nuestra red.

Las soluciones buscadas para controlar el acceso a la red nos van a ayudar a controlar y validar los accesos que se producen dentro de las redes internas de nuestra empresa, ofreciendo una serie de funciones que nos van a ayudar a reducir los riesgos y a definir una política de acceso a nuestra red interna.

Las principales utilidades que nos ofrecen son:

• Un entorno seguro de acceso a redes de una forma fácil y dinámica.
• Permite la integración con las infraestructuras existentes.
• Controlar al cliente que accede mediante verificación antes de obtener acceso a la red interna.
• Evaluación del cliente de forma continua. Los dispositivos infectados o que no cumplen la política de seguridad son tratados de forma separada al resto.
• La comprobación automática puede responder rápidamente ante incidentes a gran escala.
• Las políticas de acceso proporcionan mayor control de la organización reduciendo el riesgo y el número de amenazas que afectan a la seguridad LAN.
• Los sistemas que buscan una solución de forma automática tienen un impacto positivo en organizaciones con grandes despliegues, reduciendo la inversión en recursos (automatización).

Centralización y correlación de eventos de seguridad

Para conocer el estado del Sistema de Gestión de Seguridad de la Información basada en la norma ISO-27001, en el que se encuentra nuestra organización es necesario tener presentes las tecnologías de centralización y correlación de eventos de seguridad (SIM- Security Information Management).

Esta tecnología va a proporcionar a la empresa toda la información para conocer el estado de nuestros sistemas de seguridad de la información, las posibles amenazas que está sufriendo la entidad y el registro de las mismas, proporcionando un mayor nivel de análisis y conocimiento de los riesgos y amenazas a las que se está expuesto.

Asimismo, las tecnologías de centralización y correlación de eventos de seguridad nos van posibilitar gestionar y analizar todos los datos que recibimos de nuestros sistemas y de los elementos que forman parte de la línea de defensa en profundidad de nuestra empresa, para transformarlos en conocimientos útiles para los responsables o encargados de gestionar la seguridad en la empresa.

Estos sistemas mencionados anteriormente se han convertido en una parte esencial de la Gestión de los Sistemas de Seguridad de la Información en las empresas.

Accesos móviles

Las nuevas tecnologías y la movilidad de los usuarios en la red han provocado que la seguridad perimetral que estaba claramente definida en nuestra empresa haya desaparecido. Es importante proteger los accesos remotos que forman parte de  nuestra red interna.

Los espacios de movilidad en la red se han ampliado y han supuesto el aumento en las amenazas a las que están expuestas las empresas. Las organizaciones disponen de infraestructuras de acceso móviles como son:

• Redes wireless.
• Accesos de dispositivos móviles que conectan en otros entornos no controlados (portátiles, PDAs, smartphones, etc.)
• Accesos remotos (redes privadas virtuales, accesos telefónicos remotos, accesos GPRS/UMTS).

Estas infraestructuras de acceso móvil requieren de un control y una gestión con herramientas adecuadas que nos permitan reducir el riesgo al que está expuesta nuestra organización.

Algunas de las soluciones tecnológicas que nos van permitir ofrecer unos niveles de seguridad aceptables en los accesos móviles son:

• Autenticación fuerte en los accesos.
• Protección de los elementos wireless.
• Políticas de acceso (Control de acceso a redes).
• Protección de los canales de comunicación.

La protección de los canales de comunicación se realizará mediante redes privadas virtuales (VPN) que controlarán aquellos entornos no vigiladas por la empresa y ofreciendo una validación de los dispositivos que conectan a nuestras redes.

La seguridad en las redes wireless es un punto importante. Debemos disponer de infraestructuras configuradas de una forma segura por un equipo de trabajadores con altos conocimientos en la tecnología y la seguridad de este tipo de infraestructuras, implantando infraestructuras con tecnologías WPA y WPA2, y claves y certificados que permitan reducir el riesgo que suponen estas redes dentro de nuestra empresa.

El numeroso conjunto de dispositivos móviles (PDA, smartphones, etc.) son un elemento decisivo en la seguridad de nuestras empresas. Estos mecanismos son usados en entornos que no están controlados por nuestra empresa y pueden perderse o robarse fácilmente. Por ello, deben tratarse con medidas especiales en el ámbito de la seguridad para reducir los riesgos que puedan suponer o exponer para la organización.

Protección de la información

La protección de la información se ha convertido en una necesidad dentro de las empresas. Los accesos a la información y el incremento de las nuevas tecnologías que nos ayudan a almacenar y disponer de esta información fuera del entorno controlado por la empresa, son un importante riesgo que debe ser controlado por los encargados y responsables de la seguridad en las empresas.

Las tecnologías de protección de la información nos van a ayudar a controlar los riesgos de acceso no autorizados a ésta. Estas tecnologías de protección engloban desde el cifrado de los discos duros de los equipos (PC de sobremesa, portátiles, móviles…), los dispositivos de almacenamiento removibles (USB, tarjetas de memoria, discos externos) e incluso los repositorios o carpetas donde se almacena la información.

Esta protección se efectúa con claves a través de algoritmos fuertes de protección. Estas claves deben estar controladas en los entornos corporativos dadas las dificultades que presentan esta información que se está protegiendo y la necesidad de recuperar en caso de un grave peligro.

La información siempre navega cifrada aun cambiando de medio de almacenamiento.

Software para ISO 27001

El Software ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.