Excepciones: el balance entre seguridad y productividad de la empresa
Hay momentos en que la productividad de una empresa encuentra un obstáculo en las reglas y protocolos de su seguridad informática. Sobre todo en el contexto de pandemia, en el que el trabajo remoto se convirtió en moneda corriente y la seguridad corporativa debe enfocarse 100% en un modelo virtual.
La instalación de controles en toda la red corporativa y en los endpoints (de escritorio, portátiles, tablets, servidores, etc.) puede atentar contra la agilidad de los procesos.
Una de las tendencias 2021 de seguridad es buscar la solución a partir de las excepciones y las listas blancas.
El desafío de los CISO y de los equipos de seguridad de la información es encontrar el punto de equilibrio entre la productividad y la protección. Un control informático demasiado riguroso e invasivo puede provocar, por ejemplo, un bloqueo de un proceso crítico o considerar una actividad maliciosa cuando en realidad no lo es. Del otro lado, una protección excesivamente laxa conlleva la aparición de falsos positivos y una puesta en riesgo para la seguridad de la empresa.
El fino balance entre estas acciones define el desafío de los CISOs en su labor diaria.
Quizás te interese seguir leyendo: Los cinco desafíos del CISO que trae el 2021
¿Qué son las excepciones en seguridad de TI y cómo usarlas con criterio? ¿De qué se tratan las listas blancas y cuáles son los riesgos que implican? ¿Cómo se debe tratar la seguridad corporativa sin afectar la eficiencia? ¿Cuál es el rol de los servicios de seguridad?
Una encuesta con profesionales de TI y seguridad de la información arrojó que al 94% les preocupaba que el aumento de la complejidad de la red los hiciera más vulnerables, y el 88% deseaba que los cambios en las políticas de seguridad de la red sean más ágiles. Fuente: Cisco |
Excepciones en firewalls de red
La función de los firewalls de red es establecer un filtro de usuarios y datos que pueden acceder a la red de una organización. Si hay tráfico no legítimo o un acceso desconocido, el firewall se activará, previniendo ataques y daños.
Los firewalls de red pueden ser:
- Filtros de paquetes: basados en los atributos de los datos como la dirección de IP, sus protocolos, etc.
- Firewall de inspección de estado: basados en el estado de la sesión completa.
- Firewall de la capa de aplicación: basados en la información de la capa de aplicación como una solicitud HTTP, FTP, etc.
- Firewall de próxima generación: basados en información avanzada y el reconocimiento del usuario.
Para que funcione correctamente, el firewall debe tener ciertas reglas diseñadas por un administrador de la empresa. Una de las opciones es aplicar el modelo de “listas blancas”, que implica que, en lugar de prohibir todo lo que no se ajuste a los requerimientos, aceptar solamente a accesos específicos, bloqueando todo lo demás. La lista blanca puede incluir criterios de infraestructura de red, sitios, ubicaciones, aplicaciones, usuarios, contratistas, servicios y puertos, así como detalles sobre dependencias de aplicaciones, bibliotecas de software, complementos, extensiones y archivos de configuración.
Sin embargo, si los firewalls tienen reglas muy rigurosas o la lista blanca es muy acotada, se dificulta el trabajo en las empresas, ya que el sistema podría bloquear usuarios remotos, programas nuevos o paquetes de datos importantes que por un pequeño detalle no entra en las reglas establecidas.
Hoy vemos una creciente tendencia al revés: el poco tiempo para diseñar las reglas hace que se suela dar un mayor acceso del requerido, generando excepciones para privilegiar la operación del negocio. Quizás más adelante el equipo de seguridad solucione el inconveniente, pero tal vez nunca se resuelva, mientras ingresan otros requerimientos prioritarios.
El mercado de firewalls de próxima generación está valuado en 2.800 millones de dólares y se espera que para 2026 alcance los 5.200 millones de dólares. Fuente: Mordor Intelligence |
Excepciones y listas blancas en firewalls aplicativos
Un firewall de aplicaciones web (WAF, según sus siglas en inglés) sirve para proteger las aplicaciones web, filtrando y monitoreando el tráfico HTTP entre la aplicación e Internet. Si bien no está diseñado para proteger contra todo tipo de ataques, sirve para prevenir daños que pueden originarse de falsificaciones entre sitios, scripts entre sitios (XSS), inclusiones de archivos e inyecciones de código SQL, entre otros.
Al igual que los firewall de red, el WAF funciona a través de un conjunto de directivas que establecen los alcances y límites de la protección. Los WAF pueden funcionar desde un modelo de lista negra, es decir, bloqueando a aquellos elementos que no cumplen los requisitos. O bien el modelo de lista blanca, que solo admite tráfico aprobado previamente.
Uno de los problemas de los firewalls aplicativos es que su realidad es abrumadora, ya que la sofisticación de los sistemas hace que se generen una alta tasa de falsos positivos que, por lo general, son excepcionados.
El administrador de la plataforma, usualmente, no tiene conocimiento detallado de cada una de las aplicaciones que el WAF protege, así que en función de mejorar la disponibilidad y agilidad del negocio, suele presentar aún más excepciones.
Excepciones de seguridad: la búsqueda de agujeros
La tendencia por solucionar los problemas a través de excepciones presenta un escenario complejo para los servicios de seguridad. La tarea no se limita al diseño e instalación de programas de seguridad, sino también a la búsqueda constante de agujeros en toda la infraestructura.
La ciberseguridad tiene que tratarse con el debido cuidado, máxime en estas épocas donde casi todo el trabajo se está digitalizando. No hay soluciones de seguridad TI matemáticas ni únicas, si no que requieren un constante análisis, actualización y reformulación de estrategias.
¿Cómo lo están manejando en su empresa? ¿Está preparado para los desafíos que plantea la nueva normalidad?