Recientemente se ha desencadenado un debate en foros, congresos y diferentes publicaciones de nuestro medio sobre si es inteligente seguir invirtiendo en la seguridad perimetral de la empresa o si el gasto de seguridad debe redistribuirse y enfocarse hacia otras áreas.
Cada vez es más frecuente percatarse de que empresas chicas y medianas evitan realizar inversiones cuantiosas en infraestructura, tomando modelos y ofrecimientos creados especialmente para explotar las características del cómputo en la nube. Los grandes corporativos, por su parte, están aumentando el uso de esquemas de outsourcing, migrando aplicaciones a la nube, promoviendo el uso de dispositivos de los propios empleados (BYOD) y apoyándose en innovadores mecanismos de intercambio de información.
Todo esto conduce a cuestionamientos más frecuentes sobre el futuro de la seguridad perimetral y si realmente se puede considerar que aún existe. Aquellos que la catalogan como algo del pasado, afirman que con la consolidación del cómputo en la nube y la movilidad generalizada de muchas organizaciones no tiene sentido seguir invirtiendo en firewalls o IPS. El paradigma de la empresa de hoy difiere de lo que muchos de nosotros conocimos hace algunos años.
Uno de los principales impulsores de que la seguridad perimetral ya no tiene cabida en la estrategia de las empresas es el Open Group (www.opengroup.org) que entre otras aportaciones desarrolló el popular modelo de arquitectura TOGAF (The Open Group Architecture Framework). A través del foro Jericho, el Open Group sostiene como propósito la desmitificación de los lineamientos que por años se han manejado alrededor de la seguridad perimetral como algo inamovible de la estrategia y los presupuestos de las empresas, esta “desperimetrización” involucra un mayor enfoque a la seguridad en la nube y las arquitecturas seguras de colaboración.
Por otro lado existen algunos fabricantes y otras voces autorizadas e independientes que no se imaginan a las compañías dejando de lado de un día para otro los elementos básicos de protección perimetral. Ellos dicen que, pase lo que pase, siempre habrá un centro de datos donde se conserve la información fundamental de la organización y dicho centro debe contar con un control para los accesos externos, independientemente de donde vengan (Internet, enlaces VPN, nube MPLS, etcétera).
¿Qué tanto pueden influir los argumentos anteriores para la toma de decisiones?, esto es lo que trataremos de dilucidar a través de las siguientes líneas.
La historia de la tecnología de información en la segunda mitad de los años ochenta tuvo una revolución tecnológica detonada por la aparición de las redes de cómputo, se crearon grupos de trabajo, tanto físicos como virtuales, y después la conectividad maduró a un nivel tal que las posibilidades de comunicación y acceso se han tornado casi ilimitadas. Las capas externas de las redes en una arquitectura estándar evolucionaron a esquemas conformados típicamente por un ruteador de detección y un firewall. Las partes internas por lo general manejaban otros niveles de protección con ruteadores, switches y otros dispositivos de seguridad, como firewalls y filtros de Web o correo.
El perímetro se consideraba el punto de encuentro entre la red a proteger (trusted) y la red donde comenzaba la exposición (untrusted). Hoy esta idea se ha modernizado y podemos considerar la nueva definición de perímetro como el punto donde la compañía y el dispositivo se encuentran. No importa si la organización retiene la infraestructura de los recursos de información, o una parte de ella, en algún punto hay una división entre la red pública y la red privada.
En 2012 por primera vez las ventas de dispositivos móviles superaron las ventas tradicionales de computadoras personales. Estos dispositivos llegaron para quedarse e interactuar en todos los procesos de negocio de la organización; los podemos identificar en casi cualquier persona dentro de la empresa: empleados, socios, contratistas y terceros, sin importar dónde se encuentren.
Si agregamos las aplicaciones basadas en entornos Web y la gran penetración de las redes sociales, caracterizadas por su capacidad de llevar mayores contenidos dinámicos, será claro por qué y cómo se ha modificado la idea de lo que es el perímetro.
Teniendo como objetivo disminuir costos de operación, en particular los relacionados con TI, las empresas contratan servicios de coubicación buscando que los proveedores se encarguen del acondicionamiento e infraestructura de los centros de datos; las empresas a su vez les brindan a los empleados la flexibilidad de un acceso externo a sus sistemas.
Los dispositivos móviles adquieren funcionalidades cada vez más complejas y con un periodo de renovación que en promedio está alrededor de los dos años, una organización moderna que trabaja con aplicaciones Web, medios sociales y accesos móviles posee hoy una arquitectura dispersa y muy difícil de definir pero, en definitiva, ya no es de capas.
Por su parte, la seguridad perimetral ha evolucionado con la aparición de sistemas de protección de intrusos basados en comportamiento, los firewalls inteligentes de aplicación y los sistemas de protección contra ataques distribuidos de negación de servicio (DDoS). El incremento de botnets y ataques del Día Cero hacen muy difícil concebir la protección de los recursos de la organización sin considerar una estrategia de seguridad perimetral.
El firewall perimetral de ahora se enfoca más hacia el desempeño, su reto es garantizar los niveles de servicio en un ambiente donde Internet no lo va a hacer; las ráfagas aleatorias de paquetes, los script kiddies y alguno que otro programa experimental pueden afectar la calidad de servicio que los usuarios esperan de los sistemas de la organización. Aunado a esto, la propia red interna es menos segura que la red externa, seguramente ha escuchado amable lector que 80% de los ataques se producen desde la red interna y es que las aplicaciones internas, los servidores de archivos y otros dispositivos, usualmente no están endurecidos y esto los hace susceptibles a ataques desde el interior. La protección no se provee en estos recursos porque el argumento es que una utilería de protección afecta el desempeño, de manera que la seguridad se termina encomendando al esquema perimetral.
El uso de dispositivos móviles y aplicaciones basados en la nube ha cambiado la forma de manejar la seguridad perimetral. Se ha hecho uso de la autenticación basada en roles y la federación de identidades basada en sistemas de manejo de identidades residentes y protegidos dentro del perímetro. Además, ha sido recurrente el uso de infraestructura de virtualización de escritorios remotos (VDI) con lo que la organización se sigue apoyando en mantener los datos sensibles de la organización detrás de un firewall corporativo.
Los propios estándares que nos rigen establecen que para cumplimiento regulatorio deben existir defensas perimetrales y control de acceso a red. Por eso mismo, se define que debe existir separación entre las redes públicas y privadas; por ejemplo, el estándar PCI requiere la adecuada segmentación dentro de la infraestructura que almacena datos sensibles.
¿Y entonces dónde deberían residir los esfuerzos? La forma más docta de definir cómo se debe proteger ahora es dirigiéndose al objetivo: los datos. Antaño se lograba esto a través de capas, donde había diversos bastiones que un atacante debía de sortear para llegar a los datos dentro de una red interna. Hoy los datos están en muchos lados, lo que dificulta su administración y protección pero, al mismo tiempo, también dificulta el ataque.
Para saber dónde se debe aplicar la seguridad hay que tomar en cuenta cuáles son los activos que manejan la información y cómo son los flujos, con la finalidad de identificar qué es lo que se debe robustecer: el perímetro, en caso de que la información crítica se mantenga en un cuartel general; reforzar los mecanismos de acceso; proteger todos los recursos móviles que acceden a la información o, inclusive, emprender una campaña de concientización para los usuarios.
No porque las empresas utilicen en mayor medida los dispositivos móviles y los servicios en la nube, quiere decir que ya no tendrán servidores locales y activos detrás de un perímetro relativamente estático. La mejor estrategia de protección se define en función de la propia estrategia de TI de cada organización: no hay recetas infalibles, es un traje a la medida de las necesidades de cada quién.
Deja tu comentario