empresarial se basan en

Transcripción

1 > SEGURIDAD EN EL TRABAJO COMENTE ESTE ARTÍCULO EN FICHA TÉCNICA AUTOR: CAMPOS, María. TÍTULO: La confianza y tranquilidad empresarial se basan en una correcta seguridad. FUENTE: Riesgos Laborales, nº 81, abril RESUMEN: Estamos en un momento en el que las empresas tienen que preocuparse más que nunca por la seguridad. Los nuevos avances en el sector tecnológico hacen que tanto amenazas como nuevas formas de intrusión estén a la orden del día por parte de aquellos que quieren hacerse con información valiosa y datos que puedan reportarles beneficios. Sin embargo, no solo las amenazas de los hackers avanzan a gran velocidad, sino que los proveedores de seguridad están trabajando e investigando día a día para frenar cualquier forma de intimidación con nuevas técnicas de protección. A esto se suma el descubrimiento de nuevas técnicas de evasión conocidas como AETs, que al ser de reciente aparición suponen un peligro todavía mayor para las empresas cuyos sistemas de seguridad no están actualizados y preparados para estos ataques. Nuevas amenazas que ponen en peligro los entornos de redes y para las que hay que estar bien preparados. DESCRIPTORES: Seguridad en el trabajo Nuevas tecnologías Prevención de La confianza y tranquilidad empresarial se basan en una correcta seguridad Las amenazas cada vez son mayores, y la seguridad debe considerarse como una reflexión previa y no un pensamiento secundario. Invertir en el sector tecnológico es fundamental para salvaguardar la vulnerabilidad de las organizaciones. La sofisticación de la tecnología y la velocidad con la que evoluciona da lugar a que los sistemas pronto se queden obsoletos, sin olvidarnos del fenómeno de las redes sociales que ha provocado que cada vez resulte más sencillo hacerse con los datos de las empresas. María Campos, Country Manager de StoneSoft 18

2 El número de ataques tanto en redes privadas como en redes corporativas, se ha incrementado a la lo largo de todo el pasado año, por lo que es imprescindible responder a tales amenazas con una mayor concienciación y defensa proactiva, ya que si las propias empresas no invierten lo suficiente en seguridad, sus sistemas se volverán vulnerables y quedarán expuestos a aquellos que se dedican a piratear los datos de más valor. Hay que tener en cuenta que lo que en el pasado servía para mantenerse totalmente protegido, hoy puede no ser de la misma eficacia por la creciente complejidad de los peligros a los que nos estamos enfrentando y a los que nos enfrentaremos en el futuro. Pero no sólo se pueden preocupar de las nuevas formas de intrusión, sino también de la gran variedad de cauces de distribución de malware, gusanos o spyware. Antes un virus podía introducirse por medio de un CD o un DVD, sin embargo ahora las redes sociales, los dispositivos móviles o el outsourcing hacen que cada vez sea más sencillo hacerse con los datos y con la identidad de un usuario. Deteniéndonos algo más en el tema de las redes sociales, éstas se han convertido en un polvorín para los hackers. Los trabajadores no distinguen entre la línea personal y profesional, lo que significa que actualizar sus perfiles y navegar por estas redes mientras trabajan se está convirtiendo en una práctica generalizada, así como reservar vuelos u hoteles desde un Smartphone de empresa o que enlacen a sitios web desde blogs internos. La propia empresa debe ser consciente de los peligros que esto conlleva para su seguridad y deben establecer unas bases correctas de utilización de todos estos servicios, además de disponer de unos sistemas de seguridad a la altura de las circunstancias. Cloud Computing: el futuro de las comunicaciones El paso de sistemas físicos a sistemas virtualizados es una realidad que poco a poco va cobrando una importancia vital. Es lo que podemos empezar a considerar el futuro de las comunicaciones, no solo por su fácil accesibilidad, sino por la rapidez, eficacia y ahorro energético y de costes que supone para las empresas y usuarios finales. Tanto el data center, como el almacenamiento o el entorno de trabajo, se convertirán en entornos virtualizados, con acceso a servicios que residirán en nubes privadas o públicas, externalizando parte de los contenidos. Por todo ello, de la seguridad puede depender todo lo que se almacene en la nube, además de garantizar su total recuperación sin ningún daño. Las capas instaladas en la nube son las que presentan más vulnerabilidades en caso de ataque, porque cada una de ellas funciona como cualquier otro software, si una capa se ve afectada eso repercutirá en todas las cargas de trabajo dependientes. Por este motivo, es de vital importancia protegerla con un IPS desde el exterior, así como asegurar las aplicaciones internas con un cortafuegos virtual y un IPS. Además, dado que el acceso a estas capas puede ser por varios administradores, lo que se recomienda es crear una capa Hypervisor VMM más controlada y restringir el acceso para controlar las posibles intrusiones no deseadas. Una vez que los sistemas de virtualización han sido instalados, necesitan de un sistema de protección que se adecuado a la nueva realidad. Si para entornos físicos, se requiere de un hardware de seguridad, la protección del cloud computing necesita de un software específico para este tipo de entornos. Las soluciones VPN SSL ofrecen una mayor facilidad de despliegue que las VPN IPSec tradicionales, garantizando una mayor seguridad bajo demanda a través de un portal de aplicaciones. La fuerza de la encriptación SSL refuerza las políticas y establece límites de acceso, monitorizando al detalle toda la actividad que se produzca tanto en entornos físicos como virtuales, y desde una única consola de gestión. Los principales riesgos en entornos virtualizados Algunas de las ventajas más importantes de la virtualización es la mejora de la gestión y la gran flexibilidad que ofrece en los entornos de trabajo. Pero el principal riesgo se produce a la hora de gestionar estos entornos de la misma forma que se venía haciendo en el mundo físico. A finales del año 2009 la consultora Gartner reveló algunos datos importantes al respecto, de los que se pueden extraer algunos riesgos de vital importancia que se deben tener en cuenta si se piensa dar el salto del mundo físico al virtual. El primero, y uno de los principales, es no tener en cuenta la seguridad en los proyectos virtualizados. Según Gartner, un 40% de los proyectos implantados durante el año del estudio se llevaron a cabo sin que el departamento de seguridad TI estuviera implicado. La seguridad debe ser una reflexión previa y no un pensamiento secundario posterior. Muchos de los responsables piensan que nada cambia al pasar a entornos virtualizados pero están ignorando la nueva capa de software que introducen las máquinas virtuales. Los profesionales de seguridad deben ser conscientes del peligro que conlleva la utilización de las mismas técnicas de protección, lo que tienen que hacer es extender su red de firewalls e IPSs con idéntica tecnología pero con diferente plataforma, es decir, no es necesaria una nueva adquisición de métodos de seguridad, sino ampliar los procedimientos que ya tienen sobre la misma. Gartner recomienda que el mismo equipo responsable de la configuración de la topología de red en el medio físico esté también al frente de los entornos virtuales. Cuando los servidores físicos se concentran en una sola máquina, aumenta el riesgo de que los usuarios o administradores, sin darse cuenta, accedan a datos que exceden los niveles de privilegio habitual. Se debe favorecer la plataforma de virtualización de arquitecturas que reemplazan el código de apoyo de conmutación, de modo que las políticas de contención y las configuraciones físicas y virtuales sean las mismas. Es muy importante que se apliquen los mismos principios a nivel físico y a nivel virtual, valorando especialmente la necesidad de poder saltar con facilidad de una a otra opción. Sería más aconsejable utilizar el mismo sistema de gestión a través de la LAN/WAN física y en el entorno virtual, donde se puede seguir trabajando con los mismos materiales en ambos ambientes. En este sentido, lo ideal es utilizar los recursos técnicos y humanos para obtener un único sistema de gestión segura. Por otro lado, los sistemas más críticos y las cargas de trabajo más sensibles están en el punto de mira de la virtualización. Esto puede convertirse en un problema cuando las cargas más delicadas se mezclan con el resto, incluidas en zonas de seguridad diferentes dentro del mismo servidor físico y sin la adecuada separación. Es por ello que las empresas deben exigir una separación en las redes físicas actuales para cargas de trabajo de diferentes niveles. Lo importante es crear confianza en este entorno y, aunque estén en el mismo 19

3 > SEGURIDAD EN EL TRABAJO servidor VM, las aplicaciones virtuales de diferentes zonas deben estar separadas, ya sea por un firewall de nivel 2 de seguridad o un IPS. Lo ideal seria que, si el sistema de gestión es el mismo para las soluciones de seguridad física y virtual, la carga de administración sea también idéntica. Los IPS ponen el freno al tráfico no autorizado Dado que la información que viaja por las redes de las empresas es de una importancia vital, no es algo que deba tomarse a la ligera, su seguridad supone el futuro de la sostenibilidad empresarial de cara al futuro. Un ataque que dañe los datos se ha convertido en un miedo que los empresarios ya no pueden ignorar, su preocupación a perderlos crece con la misma rapidez que lo hacen las formas de almacenaje e información virtualizadas. Los servicios de protección deben enfrentarse a estas preocupaciones, detectando el tráfico dañino y deteniéndolo de inmediato. Ante los ataques informáticos, los Sistemas de Prevención de Intrusiones se han revelado como una de las protecciones más eficaces y escalables. Dichos ataques pueden ser tanto internos como externos, por lo que no basta con securizar únicamente el perímetro. Los IPS protegen las redes y los servidores de forma proactiva, vigilando el tráfico y monitorizando el interior de las redes. La clave está en examinar las conexiones tanto del lado del cliente como del servidor, para tomar las decisiones oportunas sin causar interrupciones. En caso de que existan ciertas vulnerabilidades no parcheadas, su utilización resulta determinante gracias a la creación automática de nuevas políticas de seguridad. Al contrario que los cortafuegos tradicionales, que sólo cubren los niveles 3 y 4 de protección, los IPS abarcan desde el nivel 2 (control de acceso al medio) hasta el 7 (aplicación), lo que equivale a una protección mucho más completa. La masiva implantación de los dispositivos móviles y los terminales inalámbricos, han hecho que la seguridad externa tome la misma importancia, sino mayor, que la interna. Sólo será posible evitar que el código malicioso que pueda entrar en un dispositivo móvil se propague al resto de los equipos de la red mediante la inspección del tráfico externo e interno. Los IPS son los que se encargan de esta labor, especialmente los que cuentan con la función de inspección del tráfico Las redes sociales se han convertido en un polvorín para los hackers y los trabajadores no distinguen entre la línea personal y profesional encriptado, no como antes, que si los datos se presentaban en este formato, podía camuflarse malware sin ser detectado. Es por ello, que los nuevos IPS deben ser capaces de inspeccionar el tráfico web abriendo tal encriptación, examinándola detenidamente y devolviendo tales datos a su estado de encriptación antes de entregarlos a su destino final. A parte de esto, debe ser capaz de detectar y bloquear los ataques dirigidos contra los navegadores web del cliente, dentro de un túnel SSL, así como las amenazas que tengan como objetivo a los servidores. Del mismo modo que los sistemas móviles e inalámbricos se están haciendo un hueco cada vez más grande en el mercado, las redes sociales llegan para quedarse como nuevo sistema de comunicación e información web. A continuación, pasaremos a analizar si este nuevo sistema de interactividad entre usuarios trae tantas ventajas como parece. Suponen los medios sociales una amenaza? Según la consultora Gartner, una de cada cinco compañías utilizará los medios sociales como herramienta empresarial de comunicación en 2014, lo que pone de manifiesto que como todo nuevo canal de comunicación e información lleva consigo una serie de amenazas que pueden frenar ese uso empresarial. Este temor ya es una realidad, la propia consultora avisa que hasta un 25% de las empresas ha prohibido el uso de las redes sociales en el entorno de trabajo, otras fuentes incluso sitúan la cifra justo en la mitad de las empresas. Ésta es una contradicción, ya que las redes sociales son el futuro de las comunicaciones, la forma de que todo esté conectado y que la información pueda conocerse en tiempo real. El rápido crecimiento que han tenido en los últimos años lo demuestra, si no formas parte de los medios sociales, prácticamente estas fuera del mundo. Sin embargo, las amenazas crecen en torno a ellas y el miedo de echar por la borda parte de los datos que pueden significar la propia identidad de la empresa o de los usuarios, es mayor que la posible presencia en dichos medios. Sin embargo, la solución no es huir de ellas sino amoldarse a lo que pueden ofrecer y rodearse de un entorno securizado efectivo, que ofrezca toda la tranquilidad posible a las empresas, para que puedan formar parte de los medios sociales sin ningún miedo. 20

4 Para que las redes sociales se conviertan en un medio seguro de comunicación e información, es necesario tener en cuenta una serie de consejos que nos ayuden a sacarles el máximo rendimiento sin temor a que invadan nuestra intimidad. Lo primero a tener en cuenta es la concienciación de los empleados, sin duda los mayores usuarios de estos medios. Ellos solo pueden cambiar la forma de actuar en cuando a redes sociales, si tienen plena consciencia de los riesgos que supone para la seguridad. Por lo tanto, las organizaciones deben informarles sobre esos peligros y concienciarles de que algo que aparentemente es inofensivo puede revelar mucha información sobre la compañía o sobre las vidas privadas de las personas. Asimismo, los propios administradores deben estar al día de los riesgos más recientes que existen en la red. Conviene establecer procesos estables vinculados a los flujos de trabajo diario, como la descarga de las últimas actualizaciones y así mantenerse informados de cualquier amenaza que circule por las webs. Igualmente, hay que detenerse en un conjunto de normas internas que permitan a los administradores definir las zonas de la red y las aplicaciones a las que determinadas personas pueden tener acceso en momentos específicos, un control de seguridad que haga posible el control y la monitorización del acceso a datos críticos, así como el rastreo de dicho acceso. A pesar de ello, si se da la situación de que algún usuario haya hecho clic en un sitio infectado y se descargue un troyano, la mejor solución sería instalar una serie de filtros URL que permitan bloquear el acceso de malware, websites de phishing u otras páginas sospechosas. También son necesarios los usos de firewalls de próxima generación, que ofrezcan un análisis global de todos los datos de tráfico. Una profunda inspección posibilita el seguimiento de cualquier tipo de dato, de navegación web y de aplicaciones peer-to-peer de cara a encriptar el tráfico de datos en un túnel SSL. Otro de los aspectos más importantes son los dispositivos móviles para que usuarios y mayoristas puedan tener acceso a la red empresarial desde el exterior. Dentro de este grupo, el uso de medios sociales sólo puede ser controlado de un modo muy limitado, lo que hace aún más imprescindible asignar derechos para definir cualquier acceso a la red de forma centralizada, por ejemplo, utilizando La propia empresa debe ser consciente de los peligros que esto conlleva para su seguridad y deben establecer unas bases correctas de utilización de todos estos servicios. un portal SSL VPN o una autenticación a través de Single Sign-On, si el caso es a nivel de usuario. Los propios usuarios utilizan estos dispositivos móviles para navegar por medios sociales y, al mismo tiempo, acceder a la red corporativa de la empresa. Los administradores necesitan incluirlos en sus políticas de seguridad, que puede hacerse con la función de evaluación que comprueba el login del dispositivo y detecta la presencia de paquetes de software de seguridad adecuados. La misma protección exhaustiva debe extenderse a la Intranet de la empresa, cuyo contenido informativo es vital para el correcto funcionamiento de todo el sistema. Las áreas que la albergan deben ser aisladas del resto mediante la segmentación de la red interna con firewalls, de tal modo que permita separar departamentos y prevenir así que las infecciones penetren en estos segmentos críticos. Los ataques a través de los servicios de redes sociales aumentan cada día. En este caso, una solución IPS puede actuar como barrera protectora, ya que automáticamente previene de las amenazas de gusanos, virus u otros malware. Por último, es recomendable utilizar una gestión centralizada, que permite a los administradores supervisar y configurar la red y los dispositivos que utilizan una única consola. También hace posible la visión de informes en los que se muestra quién ha accedido a los datos en cada momento, para que el control sea óptimo y eficaz. Una consola central de gestión permite desplegar y mantener directrices estándar de seguridad para toda la red empresarial. Si todas estas medidas se ponen en práctica, las empresas navegarán en un entorno de total seguridad y podrán tener acceso a las redes sociales sin temor a que se introduzcan en sus sistemas. El futuro de las comunicaciones pasa por los medios sociales y apartarse de ellos supondría un retraso frente a la competencia y frente a la demanda del mercado. Latin Stock 21

5 > SEGURIDAD EN EL TRABAJO Las nuevas amenazas de las redes informáticas Dado que la seguridad en las redes informáticas depende de un gran número de factores, los dispositivos de seguridad, deben ser actualizados continuamente, teniendo en cuenta el panorama de amenazas actual, cada vez más cambiante y modernizado. Para complementar la protección que ofrecen los firewalls de red, se deben implementar IPS, además de sistemas de detección de intrusiones (IDS), para mitigar las amenazas y que las organizaciones se despreocupen de las cuestiones mencionadas y de otras de más reciente aparición como es el caso de las Técnicas de Evasión Avanzada (AETs). A diferencia de un servidor de seguridad que permita o no permita la entrada de determinados paquetes en función de su origen, destino o Protocolo, IDS e IPS lo que hacen es permitir que todo el tráfico pueda fluir libremente siempre y cuando no se haya detectado ninguna amenaza. En el caso de un IDS, se avisaría al administrador de la intención de conexión peligrosa y en el caso de un IPS, se recomendaría abandonar inmediatamente la conexión. Aunque el número de ataques continúa creciendo, la capacidad de inspección de IDS e IPS evoluciona con la misma velocidad y, en el caso de que una determinada empresa detectara un ataque, los métodos de detección no solo lo frenarían sino que son capaces de prevenirlos con análisis previos. Las AETs son amenazas de reciente aparición, pero precisamente por eso, son las que más peligros presentan, porque las empresas aún no las conocen en detalle y pueden suponer un serio peligro para la seguridad de sus redes. Técnicas de Evasión Avanzada (AETs) Las investigaciones en las técnicas de evasión comenzaron en 1998 cuando newshan y Ptacek presentaron una serie de técnicas que podrían haberse utilizado para evadir los sistemas de detección. Una de las técnicas más sencillas que ellos describían, se centraba en los desafíos de la fragmentación de IP, donde el atacante podría aprovechar los fragmentos desordenados para introducirse dentro del objetivo deseado. Los autores sospechaban que un IDS que no controlara adecuadamente estos fragmentos, se volvería vulnerable, para lo que los sistemas IPS e IDS debían estar preparados. El principal riesgo se produce a la hora de gestionar estos entornos de la misma forma que se venía haciendo en el mundo físico El equipo de investigación de StoneSoft, tras profundizar en el terreno de las evasiones, se sorprendió al descubrir la gran cantidad de riesgos en seguridad que pueden encontrarse ocultos. Existen técnicas de evasión, descubiertas recientemente, que ya podrían haber sido utilizadas por los delincuentes y que se deben identificar de inmediato y prevenir su utilización lo antes posible. Lo que podría haber ralentizado la investigación de evasión, es el hecho de que muchas de las herramientas de ataque y evasión han sido limitadas por los sistemas operativos y los protocolos TCP/IP. A pesar de que el objetivo de las nuevas evasiones es el mismo, los métodos varían y están en un movimiento continuo. Se han encontrado algunas evasiones de las que no puede facilitarse muchos detalles pero que han sido verificadas a través de pruebas independientes realizadas por ICSA Labs. La eficacia del proceso de detección, pasa por combinar los distintos métodos de evasión con un IPS comercial u otros dispositivos de seguridad, como un firewall de red. Las técnicas de evasión fueron descubiertas en un entorno de laboratorio y no en la propia red, lo que significa que los criminales u otros actores ya podrían haberlas descubierto y probablemente practicado en objetos reales. Según el informe Verizon Business 2010 Data Breach, aproximadamente un 20% de los incidentes de malware detectados tienen un componente desconocido. La mayoría de las amenazas de seguridad de red son causadas por delincuentes motivados por el dinero. Como las recompensas son altas, existe una gran motivación para invertir en ataques y evasivas. Parece como si, para los proveedores de seguridad, este aspecto estuviera pasando desapercibido. Vender sistemas rápidos con la seguridad limitada no resuelve las amenazas a las que las empresas se enfrentan en la actualidad, que no deben confiar erróneamente en antiguos sistemas que dejan al descubierto gran parte de las vulnerabilidades. Las nuevas técnicas de evasión avanzada descubiertas por StoneSoft deben tomarse más en serio que nunca, ya que tarde o temprano darán la cara, y hay que tener en cuenta que la marcha atrás puede resultar más complejo y difícil que si se adopta una postura preventiva desde el mismo momento en que se conoce su existencia y la amenaza que suponen para la seguridad de las organizaciones. 22

6 Las OBRAS mas destacadas en PREVENCIÓN de RIESGOS TODO Prevención de. Medio Ambiente y Seguridad Industrial 1000 Soluciones en Prevención de 134,00 65,00 Obra práctica que recoge los aspectos importantes de PRL, Medio Ambiente y Seguridad Industrial. Disponga en un único volumen toda la información, con toda la normativa estatal y autonómica, para aplicarla en sus Sistemas de gestión de PRL, Medio Ambiente, Seguridad y Calidad. Resuelva sus dudas de PRL apoyado en las más de preguntas-consultas y sus respuestas. Tome decisiones seguras en la práctica diaria apoyadas en la norma aplicable y ayudado por el práctico Índice Sistemático con en el que encontrará rapidamente la respuesta que necesita. Buenas prácticas en Prevención de Gestión de la Prevención. Supuestos Prácticos 23,08 55,00 El libro que le ayudará a mejorar la vida laboral a través de la experiencia vivida en el trabajo. Dividido en dos partes, la primera da a conocer los conceptos de PRL contada de modo didáctico, ameno y sencillo y la segunda analizando situaciones para la mejora en su empresa en este área. El manual indispensable para poner en práctica, de modo sencillo, las políticas preventivas apoyado por supuestos prácticos y formularios. La obra consta de seis partes y un útil apéndice que incluye las materias más importantes en la gestión de la seguridad y salud en el trabajo.