TI@Intel White Paper TI de Intel Mejores Prácticas de TI Seguridad de la Información Enero de 2011 Replanteamiento de la Seguridad de la Información para Mejorar la Agilidad del Negocio La utilización de este enfoque ya nos ha ayudado a ofrecer soluciones innovadoras a casos de uso mientras redujimos el riesgo en forma real. Omer Ben-Shalom Ingeniero Principal, TI de Intel Manish Dave Ingeniero de Seguridad Sénior, TI de Intel Toby Kohlenberg Analista de Seguridad Sénior, TI de Intel Dennis Morgan Estratega de Seguridad, TI de Intel Stacy Purcell Arquitecto de Seguridad Sénior, TI de Intel Alan Ross Ingeniero Principal Sénior, TI de Intel Timothy Verrall Ingeniero Principal, TI de Intel Tarun Viswanathan Arquitecto de Seguridad, TI de Intel Resumen Ejecutivo Para permitir la adopción rápida de nuevas tecnologías y modelos de uso y proveer protección en un panorama de amenazas en evolución TI de Intel se ha embarcado en un rediseño radical a cinco años plazo de la arquitectura de seguridad de la información de Intel. Nosotros creemos que esta arquitectura, diseñada para apoyar las iniciativas claves tales como la consumerización de TI y la computación en la nube, representa un enfoque novedoso para la seguridad de la empresa. Provee controles de seguridad más flexibles, dinámicos, y granulares que los modelos de seguridad empresarial tradicionales. Por ejemplo, la arquitectura está diseñada para ajustar dinámicamente los privilegios de acceso de un usuario a medida que el nivel de riesgo cambia, dependiendo de factores como la ubicación y el tipo de dispositivo usado tal como un computador portátil empresarial de confianza o un teléfono inteligente personal sin confianza. La arquitectura también se enfoca fuertemente en la supervivencia, basado en el supuesto de que el compromiso es inevitable. La nueva arquitectura está basada en cuatro pilares: Cálculo de la confianza. Este cálculo determina dinámicamente si al usuario se le debe permitir acceso a recursos específicos y el tipo de acceso que se le va a proveer. Está basado en factores tales como el dispositivo cliente y ubicación del usuario, el tipo de recursos requeridos, y los controles de seguridad que están disponibles. Zonas de seguridad. Nuestro ambiente está dividido en zonas, que van desde zonas de confianza que contienen datos críticos, con acceso estrictamente contralado, a zonas de desconfianza que contienen datos de menor valor y permiten mayor acceso. La comunicación entre zonas es controlada y monitoreada; si una zona está comprometida, esto previene que el problema se propague a otras zonas. Controles equilibrados. Para aumentar la flexibilidad y la capacidad de recuperarse de un ataque exitoso, el modelo enfatiza la necesidad de equilibrio de controles de detección y corrección además de controles preventivos tales como firewalls. Perímetros del usuario y de los datos. Reconociendo que la protección de la frontera de red empresarial ya no es suficiente, tenemos que tratar a los usuarios y los datos como perímetros de seguridad adicional y protegerlos apropiadamente. No todas las tecnologías de seguridad requeridas para la implementación total de este modelo existen actualmente; estamos promoviendo activamente el desarrollo de tecnología para apoyar capacidades tales como las de cálculo de confianza. Nosotros hemos iniciado la implementación de esta arquitectura y un plan para impulsar la adopción a través de Intel en un lapso aproximado de cinco años. El uso de ese enfoque ya ha dado resultados al ayudarnos a entregar soluciones innovadoras en los casos de uso difíciles mientras que se han reducido riesgos en forma real.
IT@Intel White Paper Replanteamiento de la Seguridad de la Información para Mejorar la Agilidad del Negocio Contenido Resumen Ejecutivo...1 RETO EMPRESARIAL...2 Consumerización de TI...2 Nuevas Necesidades del Negocio...2 Computación en la Nube...2 Cambiando el Panorama de Amenazas...3 La Necesidad de una Nueva Arquitectura...3 ARQUITECTURA DE SEGURIDAD...3 Cálculo de la Confianza...4 Zonas de Seguridad...5 Controles Equilibrados...6 Usuarios y Datos: Los Nuevos Perímetros...7 CONCLUSIÓN...8 RETO EMPRESARIAL Los requerimientos de la seguridad empresarial de Intel están cambiando y expandiendo rápidamente. Esto se debe a la adopción de nuevos modelos de uso tales como la computación en la nube y la consumerización de TI, así como también la rápida evolución del panorama de amenazas. El perfil de riesgo de Intel se muestra en la Figura 1. Las tendencias claves incluyen: Consumerización de TI Muchos de los empleados altamente móviles de Intel quieren utilizar sus propios dispositivos personales, tales como teléfonos inteligentes, para el trabajo. Esto aumenta la productividad al permitir a los empleados colaborar y acceder a información desde cualquier lado, en cualquier momento. Para apoyar esto, ya nosotros facilitamos el acceso limitado a datos corporativos, tales como correos electrónicos, desde teléfonos inteligentes y tabletas propiedad de los empleados. 1 Como esta tendencia crece, nosotros vamos a necesitar proveer a los empleados con un nivel de acceso a los recursos de Intel de una serie continua de expansión de los dispositivos cliente, algunas de las cuales tienen controles de seguridad mucho más débiles que los computadores portátiles empresariales. Nosotros necesitamos una arquitectura de seguridad que nos permita soportar con mayor rapidez los nuevos dispositivos y proveer acceso a una gama más amplia de aplicaciones y datos, sin 1 Maintaining Information Security while Allowing Personal Hand-Held Devices in the Enterprise Corporación Intel, Noviembre 2010. aumentar el riesgo para Intel. Necesitamos ser capaces de ajustar dinámicamente los niveles de acceso que proveemos y el monitoreo que realizamos, dependiendo de los controles de seguridad del dispositivo cliente. Por ejemplo, un empleado debería tener acceso más limitado a recursos valiosos de la empresa cuando usa un dispositivo menos seguro tal como un teléfono inteligente que cuando usa una PC segura y administrada. Nuevas Necesidades del Negocio Intel se expande a nuevos mercados por medio tanto del crecimiento orgánico como de las adquisiciones, y está también desarrollando sistemas para colaboración en línea con socios de negocios. Como resultado, necesitamos proveer acceso a un rango más amplio de usuarios, muchos de los cuales no son empleados de Intel. Para apoyar y estimular este crecimiento, estamos implementando nuevos sistemas, tales como un portal de ventas en línea, esto expone datos de Intel a nuevos clientes. También necesitamos ser capaces de integrar sin problemas compañías adquiridas y proveerles con acceso a los recursos que estos necesitan. En general, necesitamos permitir el acceso rápido a nuevos usuarios mientras minimizamos el riesgo y proveemos acceso selectivo y controlado solamente a los recursos que estos necesitan. Computación en la Nube TI de Intel está implementando una nube privada basada en la infraestructura virtualizada, y también estamos explorando la utilización de servicios de IT@INTEL IT@Intel is program connects IT professionals around the world with their peers inside our organization sharing lessons learned, methods and strategies. Our goal is simple: Share Intel IT best practices that create business value and make IT a competitive advantage. Visit us today at www.intel.com/it or contact your local Intel representative if you d like to learn more. Figura 1. La evolución de requerimientos de seguridad lleva a la necesidad de una nueva arquitectura de seguridad. 2 www.intel.com/it
Replanteamiento de la Seguridad de la Información para Mejorar la Agilidad del Negocio IT@Intel White Paper nube externa, para aplicaciones no críticas. En este ambiente de nube, los sistemas y sus datos son virtualizados y pueden migrar dinámicamente a diferentes ubicaciones de red físicas o lógicas. Esto hace difícil restringir en forma efectiva el acceso utilizando los controles de seguridad tradicionales tales como firewalls, el cual asume que la ubicación de los sistemas y de los datos que éstos contienen son estáticos. Necesitamos controles mucho más granulares y dinámicos que estén vinculados a los recursos mismos más que sólo a su ubicación en la red. También necesitamos tecnología de seguridad que provea una mejor protección de plataforma y mejor protección de datos tanto durante la transferencia como en estado estático, y estamos evaluando una nueva tecnología de servidor basado en Intel que provea esto. Cambiando el Panorama de Amenazas El panorama de amenazas está evolucionando rápidamente. Cada vez más, los atacantes están tomando un acercamiento cauteloso, creando software malicioso que silenciosamente gana acceso e intenta no ser detectado con el fin de mantener acceso a través del tiempo. Tal como el número de amenazas aumenta y surgen nuevos tipos de software maliciosos, necesitamos asumir que el compromiso de la seguridad es inevitable. Las arquitecturas de seguridad empresarial tradicionales se han basado en gran medida en los controles preventivos tales como los firewalls ubicados en el perímetro de la red. Sin embargo, nuestro enfoque primario ha cambiado al proveer acceso controlado a un rango de usuarios y dispositivos más amplio, en lugar de simplemente prevenir el acceso. Además, el panorama de amenazas que cambia continuamente hace necesario el asumir que el compromiso va a ocurrir. Una vez que un atacante ha ganado acceso al ambiente, los controles preventivos que estos han pasado por alto no tienen ningún valor. Aunque estos controles de perímetro van a continuar teniendo algún valor, necesitamos hacer hincapié en las herramientas que aumentan la capacidad de sobrevivir y recuperarse una vez que el atacante ha ganado acceso al ambiente. La Necesidad de una Nueva Arquitectura Nos hemos dado cuenta de que tal como los requerimientos de seguridad continúan evolucionando y expandiéndose, las estrategias de seguridad empresarial tradicionales ya no son adecuadas. Necesitamos una arquitectura más flexible y dinámica para permitir una adopción más rápida a nuevos dispositivos, modelos de uso y capacidades; proporcionar seguridad a través de un ambiente cada vez más complejo; y adaptarse a un panorama de amenaza cambiante. Por consiguiente, hemos formado un equipo, el cual incluye miembros de todo TI de Intel, para elaborar un nuevo enfoque de seguridad empresarial, diseñar una arquitectura desde el principio para apoyar las nuevas exigencias, y luego determinar cómo implementar esta nueva arquitectura a través de nuestro ambiente de TI existente. ARQUITECTURA DE SEGURIDAD El equipo desarrolló un rediseño radical a cinco años plazo de la arquitectura de seguridad de Intel. Creemos que nuestro plan representa un nuevo enfoque para la seguridad empresarial. Nuestra meta era desarrollar una arquitectura que permitiera mayor flexibilidad y productividad de los empleados mientras se daba soporte a los nuevos requerimientos del negocio y tendencias de tecnología, incluyendo la consumerización de TI, computación en la nube, y acceso de un rango más amplio de usuarios. Al mismo tiempo, esta arquitectura está diseñada para reducir nuestra superficie de ataque y mejorar la supervivencia aun cuando el panorama de amenazas crece en complejidad y maldad. Hemos puesto una fecha límite de cinco años para la adopción porque la implementación requiere de un esfuerzo extensivo a través del TI de Intel, y porque no todas las tecnologías necesarias existen hoy en día. La arquitectura se aleja del modelo de confianza empresarial tradicional, el cual es binario y estático. Con este modelo tradicional, a un usuario le es en general concedido o negado el acceso a todos los recursos; una vez concedido, el nivel de acceso se mantiene constante. La nueva arquitectura remplaza esto con un modelo dinámico, de varios niveles de confianza que ejerce un control mucho más granular sobre el acceso a los recursos específicos. Esto significa que para un usuario individual, el nivel de acceso que se le brinda puede variar dinámicamente con el tiempo, dependiendo de una variedad de factores tales como si el usuario está teniendo acceso a la red desde una PC de confianza y administrada o desde un teléfono inteligente personal no administrado. Cinco Leyes Irrefutables de Seguridad de la Información Nuestro nuevo modelo asume que el compromiso de seguridad es inevitable; por lo tanto, la capacidad de sobrevivir y recuperarse del compromiso es clave. Estas cinco leyes de seguridad de la información, diseñadas por Malcolm Harkins, Oficial en Jefe de Seguridad de la Información de Intel y Gerente General de Riesgo y Seguridad de la Información, explican por qué es inevitable que el compromiso se produzca. 1. La información quiere ser libre. La gente quiere hablar, publicar en Internet, y compartir información y ellos aumentan el riesgo al hacerlo. 2. El código quiere equivocarse. Nunca vamos a tener un software 100 porciento libre de errores. 3. Los servicios quieren estar encendidos. Algunos procesos de fondo necesitan siempre estar corriendo y pueden ser explotados por los atacantes. 4. Los usuarios quieren hacer clic. La gente tiende por naturaleza hacer clic cuando ve links, botones o avisos en la web. Los creadores de software malicioso saben esto y toman ventaja. 5. Incluso una característica de seguridad puede ser usada para hacer daño. Las herramientas de seguridad pueden ser explotadas por los atacantes, tal como cualquier otro software. Esto significa que las leyes 2, 3, y 4 también aplican para las capacidades de seguridad. www.intel.com/it 3
IT@Intel White Paper Replanteamiento de la Seguridad de la Información para Mejorar la Agilidad del Negocio Quién. La identidad del usuario o servicio que solicita el acceso y nuestro nivel de confianza en el mecanismo de autenticación utilizado Qué tan seguros estamos nosotros de que los usuarios son quienes ellos dicen que son? Qué. El tipo de dispositivo, sus capacidades de control y nuestra habilidad de validar esos controles, y la medida en que TI de Intel administra el dispositivo. Por ejemplo, un computador portátil empresarial administrado es de mayor confianza que un teléfono inteligente del consumidor no administrado. Figura 2. El cálculo de confianza toma en consideración el quién, qué y dónde tanto para la fuente como para el destino. La arquitectura está basada en cuatro pilares: Cálculo de la confianza. Este elemento único de arquitectura es utilizado para determinar dinámicamente si al usuario se le debe permitir acceso a recursos específicos y, si es así, que tipo de acceso se le va a permitir. El cálculo está basado en factores tales como el dispositivo y ubicación del cliente del usuario, el tipo de recursos requeridos, y los controles de seguridad que están disponibles. Zonas de seguridad. El ambiente está dividido en múltiples zonas de seguridad. Estas van desde zonas de confianza que contienen datos críticos, con acceso estrictamente contralado, a zonas de desconfianza que contienen datos de menor valor y que permiten mayor acceso. La comunicación entre zonas es controlada y monitoreada; esto ayuda asegurar que el usuario solo pueda tener acceso a los recursos para los cuales ha sido autorizados y previene que un compromiso de seguridad se propague a múltiples zonas. Controles equilibrados. Para aumentar la flexibilidad y la capacidad de recuperarse de un ataque exitoso, el modelo enfatiza la necesidad de equilibrio de controles detectores y correctivos además de controles preventivos tales como firewalls. Perímetros del usuario y de los datos. Reconociendo que la protección de la frontera de red empresarial ya no es suficiente, tenemos que tratar a los usuarios y los datos como perímetros de seguridad adicional y en consecuencia protegerlos. Los cuatro pilares están descritos con más detalle abajo. Cálculo de la Confianza El cálculo de la confianza juega un rol esencial para proporcionar la flexibilidad requerida para apoyar un número cada vez mayor de dispositivos y modelos de uso. El cálculo nos permite ajustar dinámicamente el nivel de acceso provisto así como también el nivel de monitoreo realizado, dependiendo de factores tales como el dispositivo cliente actual del usuario y la red que estos está utilizando. Se calcula la confianza de la interacción entre el solicitante (origen) y la información solicitada (destino). El cálculo consiste en una puntuación del origen y una puntuación del destino, y también toma en consideración los controles disponibles para mitigar riesgos. Como se mostró en la Figura 2, el resultado de este cálculo determina si a un usuario se le permite tener acceso y el tipo de acceso que se le da. El cálculo también toma en cuenta nuestra confianza en cada elemento de las puntuaciones, para hacer frente al desafío de no ser siempre capaz de confiar en los datos a nuestra disposición. No toda la tecnología que se requiere para el cálculo de la confianza existe hoy en día; estamos promoviendo activamente el desarrollo de esta tecnología en la industria de la seguridad de la información. PUNTUACIÓN DEL ORIGEN La confianza en el origen, o solicitante, es calculada basada en los siguientes factores: Dónde. La ubicación del usuario o del servicio. Por ejemplo, un usuario que está dentro de la red empresarial Intel es de mayor confianza que el mismo usuario que se conecta por medio de una red pública. También puede haber otras consideraciones, tales como la región geográfica donde el usuario está ubicado. PUNTUACIÓN DEL DESTINO Esto es calculado con base en los mismos tres factores, pero están considerados desde la perspectiva del destino la información a la que la fuente está intentando tener acceso: Quién. La aplicación que almacena los datos requeridos. Algunas aplicaciones pueden imponer mayores controles, tales como la administración de derechos empresariales (ERM), y por lo tanto ofrecer un mayor nivel de confianza. Qué. La sensibilidad de la información que está siendo solicitada y otras consideraciones tales como nuestra capacidad de recuperarla si ocurre un compromiso de la seguridad. Dónde. La zona de seguridad en la cual residen los datos. CONTROLES DISPONIBLES El cálculo de la confianza también toma en cuenta los controles de seguridad disponibles para la zona. Si los únicos controles disponibles son controles que simplemente bloquean o permiten acceso, podemos negar el acceso debido a la falta de opciones. Sin embargo, si tenemos amplios controles preventivos con niveles de acceso altamente granulares, registros detallados y controles de detección muy sintonizados así como la habilidad de recuperar o corregir problemas entonces podemos permitir el acceso sin crear un riesgo adicional. 4 www.intel.com/it
Replanteamiento de la Seguridad de la Información para Mejorar la Agilidad del Negocio IT@Intel White Paper CALCULANDO LA CONFIANZA El cálculo de la confianza suma la puntuación del origen y la puntuación del destino para llegar a un nivel de confianza inicial. Los controles disponibles son entonces consideraos para tomar una decisión final sobre si el acceso es permitido y, si es así, cómo. Este cálculo es realizado por medio del punto de decisión de política (PDP), una entidad lógica que es parte de la infraestructura de autenticación y toma decisiones de control de acceso basadas en un grupo de políticas. Basados en los resultados de este cálculo, el PDP puede hacer de las siguientes decisiones: Permitir el acceso. Denegar el acceso. Permitir el acceso con limitaciones o mitigaciones. El cálculo de confianza nos permite aplicar dinámicamente un control granular sobre el acceso a recursos específicos de Intel. Por ejemplo, a los empleados que usan computadores portátiles empresariales administrados por TI con un procesador Intel Core vpro y características de hardware adicionales tales como el módulo de plataforma de confianza (TPM), una tarjeta de comunicaciones de datos móviles con el sistema de posicionamiento global (GPS), y codificación completa del disco, se les va a permitir el acceso a más recursos que cuando utilizan su teléfono inteligente personal. A su vez, a ellos se les va a permitir más acceso con los teléfonos inteligentes que cuando utilizan kioscos públicos. A los empleados conectados directamente a la red de Intel se les va a dar un acceso mayor que cuando utilizan una red pública. Si no somos capaces de verificar la ubicación de un dispositivo de alta seguridad tal como una PC administrada, vamos a permitir menor acceso. El cálculo de la confianza puede ser también utilizado para diferenciar entre modelos de teléfonos inteligentes; podemos proveer diferentes niveles de acceso basados en la manejabilidad del teléfono inteligente, las capacidades de autenticación, y las aplicaciones instaladas. Nosotros anticipamos situaciones en las cuales el nivel de confianza no es el adecuado para dar ningún acceso, pero hay todavía un requisito del negocio el permitir que ocurra una conexión o transacción. En estas condiciones, el resultado del cálculo de la confianza puede ser una decisión de permitir acceso con limitaciones o con controles de compensación que mitiguen los riesgos. Por Figura 3. Tal como el valor de los activos aumenta, la profundidad y el alcance de los controles aumenta, mientras que el número de dispositivos, aplicaciones, y ubicaciones permitidas disminuye. ejemplo, un usuario puede tener acceso de sólo lectura o se le podría permitir el acceso sólo si los controles adicionales de monitoreo están implementados. Un método puede ser el utilizar un sistema que muestre la información solicitada por el usuario, pero no permite en realidad transmitir la información al dispositivo del usuario. Zonas de Seguridad Hemos segmentado el ambiente en múltiples zonas de seguridad. Este va desde zonas de desconfianza que proveen acceso a datos de menor valor y a sistemas de menor importancia a zonas de confianza que contienen datos y recursos críticos. Debido a que las zonas que requieren un mayor nivel de confianza contienen activos más valiosos, los protegemos con mayor profundidad y alcance de los controles, y restringimos el acceso para un menor tipo de dispositivos y aplicaciones, tal como se muestra en la Figura 3. Sin embargo, a los dispositivos que se les permite el acceso a zonas de mayor confianza también tienen más poder estos pueden ser capaces de realizar acciones que no son permitidas en zonas de menor confianza, tales como la creación o modificación datos de la empresariales. El alinear la infraestructura de este modo, provee una manera excelente de ajustar el tamaño de los controles de seguridad de forma que los recursos de seguridad sean utilizados con eficacia. Esto también mejora la experiencia del usuario al permitir a los empleados escoger de un amplio rango de dispositivos, tales como teléfonos inteligentes, para actividades de bajo riesgo. El acceso a zonas es determinado por el resultado del cálculo de confianza y es controlado por los puntos de ejecución de políticas (PEPs). Los PEPs pueden incluir una variedad de controles, incluyendo firewalls, aplicaciones de proxies, detección de intrusos y sistemas de prevención, sistemas de autenticación, y sistemas de registro ( logging ). La comunicación entre zonas es muy restringida, monitoreada y controlada. Separamos las zonas al ubicarlas en LANs físicos diferentes o LANs virtuales (vlans); los PEPs controlan la comunicación entre zonas. Esto significa que si una zona está comprometida, podemos prevenir que el problema se propague a otras zonas o aumentar nuestras oportunidades de detección si no se ha propagado. Además, podemos usar los controles PEP tal como una aplicación de proxies para proveer los dispositivos y aplicaciones en zonas de menor confianza con acceso limitado y controlado a recursos específicos en zonas de mayor confianza cuando sea necesario. Nosotros anticipamos tres categorías primordiales de zonas de seguridad: de desconfianza, selectiva, y de confianza. Dentro de las zonas, hay múltiples sub-zonas. www.intel.com/it 5
IT@Intel White Paper Replanteamiento de la Seguridad de la Información para Mejorar la Agilidad del Negocio ZONAS DE DESCONFIANZA Estas zonas reciben datos y servicios (o las interfaces a ellos) que pueden ser expuestas a entidades de desconfianza. Esto nos permite ofrecer un amplio acceso a un conjunto limitado de los recursos de los dispositivos no administrados, tales como teléfonos inteligentes, sin aumentar el riesgo a recursos de alto valor ubicados en otras zonas. Las zonas de desconfianza pueden proveer acceso limitado a recursos de la empresa, tales como correos electrónicos y calendarios corporativos, o estos pueden simplemente proveer acceso a Internet. Consideramos estas zonas como " tanques de tiburones, con un alto riesgo de ataque y compromiso. Por consiguiente, nos enfocamos en controles de detección y corrección. Esto puede incluir un alto nivel de monitoreo para detectar una actividad sospechosa y capacidades de corrección tales como un como sistema de red basado en rechazo y eliminación dinámica de los privilegios de usuario. Nosotros anticipamos la necesidad de proveer acceso controlado a estas zonas a los recursos en zonas de mayor confianza. Por ejemplo, un empleado utilizando un teléfono inteligente se le puede permitir el acceso limitado y de sólo lectura a datos del cliente ubicados en una zona de confianza; o, los teléfonos inteligentes puede que necesiten el acceso a un servidor de directorio en una zona de confianza para enviar un correo electrónico. Nosotros esperamos proveer estos accesos controlados utilizando las aplicaciones de proxies. Estos controles PEP actúan como intermediarios seguros evaluando la solicitud desde el dispositivo, reuniendo la información desde el recurso en una zona de confianza, y pasándolo al dispositivo. ZONAS SELECTIVAS Las zonas selectivas proveen más protección que las zonas de desconfianza. Los ejemplos de servicios en estas zonas son las aplicaciones y datos consultados por los contratistas, socios de negocio, y empleados, utilizando dispositivos cliente que son administrados o que de algún modo proveen un nivel de confianza. Las zonas selectivas no contienen datos críticos o propiedad intelectual de Intel de alto valor. Varias sub-zonas selectivas tienen acceso a diferentes servicios o usuarios. Tal como en las zonas de desconfianza, las aplicaciones de proxies pueden ser utilizadas para tener acceso a recursos en las zonas selectivas cuando sea necesario. ZONAS DE CONFIANZA Las zonas de confianza albergan servicios, datos e infraestructura crítica de Intel. Están altamente aseguradas y bloqueadas. Los ejemplos de los servicios dentro de estas zonas son el acceso administrativo a servidores de centros de datos e infraestructura de red, redes y dispositivos de la fábrica, aplicaciones de planeamiento de recursos empresariales (ERP), y sistemas de ingeniería de diseño que contienen propiedad intelectual. Por consiguiente, sólo se puede permitir el acceso directo a estos recursos desde sistemas de confianza ubicados dentro de la red empresarial, y todo el acceso sería monitoreado de cerca para detectar comportamientos anómalos. Controles Equilibrados Durante la última década, la seguridad empresarial se ha enfocado mayormente en controles preventivos tales como firewalls o sistemas de prevención de intrusos. Este acercamiento ofrece beneficios claros: Es más económico prevenir un ataque que corregir los problemas después de que uno ha ocurrido, y es más fácil ver cuando el firewall ha prevenido exitosamente un intento de compromiso. Sin embargo, el nuevo modelo de seguridad requiere que equilibremos los controles preventivos con los controles de detección (monitoreo) y corrección, por varias razones. Primero, el enfoque del nuevo modelo es el permitir y controlar el acceso de una gama más amplia de usuarios y dispositivos, en lugar de impedir el acceso. En segundo lugar, el panorama de amenazas en constante cambio, hace necesario asumir que el compromiso se va a producir, todos los controles preventivos van eventualmente a fallar. Una vez que los atacantes han tenido acceso al medio ambiente, los controles preventivos que han pasado por alto no tienen ningún valor. Al aumentar el uso de controles de detección y al implementar controles correctivos más agresivos, podemos mitigar el riesgo de permitir un acceso más amplio. Estos controles también aumentan nuestra capacidad de sobrevivir y recuperarse de un ataque con éxito. Podemos utilizar la seguridad de la inteligencia de negocios (BI) análisis y correlación de los datos recopilados mediante el monitoreo para detectar y frustrar posibles ataques. Por ejemplo, la seguridad de BI puede detectar y prevenir situaciones anómalas, tales como un usuario que se conecta al parecer desde dos lugares diferentes al mismo tiempo. El equilibrio entre los controles preventivos, de detección, y correctivos van a variar, dependiendo de la zona de seguridad. Por ejemplo, en zonas de desconfianza, que permiten un acceso más amplio a recursos muy limitados y se mitiga el riesgo por una mayor utilización de controles de detección y corrección. La redundancia dentro de cada tipo de control se puede utilizar para proporcionar una protección adicional. Entre los posibles ejemplos de la utilización de controles de detección y preventivos incluyen los siguientes: Un empleado de Intel intenta enviar un documento clasificado a una dirección de correo electrónico que no es de Intel. El software de monitoreo detecta el intento, impide que el documento sea enviado fuera del firewall, y pregunta al empleado de Intel si realmente tiene la intención de hacer esto. Si el empleado confirma que esa era la intención, el documento puede ser transmitido o si el documento es muy sensible, una versión editada puede ser enviada. La utilización inadecuada de un documento ERM confidencial resulta en la revocación de acceso al documento. El sistema permite el acceso a documentos específicos, pero hace un seguimiento de la actividad. Un usuario puede descargar algunos documentos sin causar problemas. Sin embargo, si el usuario intenta descargar cientos de documentos, el sistema baja la velocidad de entrega (por ejemplo, sólo permite que 10 sean extraídos a la vez) y alerta al administrador del usuario. Si el administrador lo aprueba, el usuario tiene un acceso más rápido. La detección de un sistema infectado pone al sistema en una red de corrección, aislando el sistema y restringiendo el acceso a la información y aplicaciones empresariales. El sistema puede mantener cierta capacidad para acceder a activos de la empresa, pero toda la actividad es estrechamente registrada para permitir la respuesta a incidentes si es necesario. Cuando un sistema se encuentra en peligro, examinamos todas sus actividades recientes y las interacciones con otros sistemas. El monitoreo adicional de esos sistemas se activa automáticamente. 6 www.intel.com/it
Replanteamiento de la Seguridad de la Información para Mejorar la Agilidad del Negocio IT@Intel White Paper Usuarios y Datos: Los Nuevos Perímetros Con la proliferación de nuevos dispositivos, y las expectativas de los usuarios de que deben poder tener acceso a información desde cualquier lugar en cualquier momento, los límites tradicionales de seguridad de la red empresarial se están haciendo rápidamente más porosos. Esto significa que las defensas del perímetro de la red se vuelven cada vez menos eficaces por sí solas. Mientras que hay que continuar protegiendo el perímetro de la red donde tiene sentido, tenemos que complementar esto con un nuevo enfoque en los activos primarios que se están tratando de proteger: la propiedad intelectual de Intel, la infraestructura, otros datos críticos, y los sistemas. Para proteger estos activos, la nueva arquitectura amplía nuestras defensas en dos perímetros adicionales: los datos en sí mismos y los usuarios que tienen acceso a los datos. PERÍMETROS DE LOS DATOS Los datos importantes deben protegerse en todo momento cuando son creados, almacenados y transmitidos. Para ello, estamos implementando tecnologías tales como ERM y la prevención de fugas de datos (DLP), marca de agua y etiquetas de datos, e integrar la protección con los datos mismos. Por ejemplo, con el ERM, el creador de un documento puede definir con exactitud quién tiene derechos de acceso durante toda la vida del documento y puede revocar el acceso en cualquier momento. La Arquitectura de Seguridad en Acción: Un Día en la Vida de un Empleado de Intel Este ejemplo (ver la Figura 4) describe como la nueva arquitectura de seguridad permite a la fuerza de ventas de Intel tener acceso a la información que necesita el curso del día. Al mismo tiempo, la arquitectura protege la seguridad de Intel al ajustar dinámicamente el nivel de acceso provisto, basado en el dispositivo y ubicación del usuario, y por medio del monitoreo de comportamientos anómalos. 1. El empleado viaja al sitio del cliente. El empleado está utilizando un teléfono inteligente personal y se le permite el acceso sólo a los servicios en la zona de desconfianza. Desde aquí, el empleado puede ver información limitada del cliente, incluyendo ordenes recientes, extraída del sistema de planificación de recursos empresariales (ERP) en una zona de confianza pero sólo a través de una aplicación proxy del servidor, el cual protege la zona de confianza al actuar como un intermediario, evaluando la solicitud de información, accediendo al sistema ERP, y retransmitiendo la información al usuario. Si el teléfono inteligente solicita un número anormalmente grande de registros de clientes una indicación de que el teléfono inteligente puede haber sido robado accesos adicionales desde el teléfono inteligente son bloqueado. Para ayudar entender a la razón para el acceso anómalo, hay un mayor monitoreo de los intentos de los empleados de tener acceso al sistema desde cualquier dispositivo. 2. El empleado llega al sitio del cliente y se registra dentro de la red de Intel desde un computador portátil empresarial propiedad de Intel. Ya que el dispositivo es de mayor confianza, el empleado ahora tiene acceso a capacidades adicionales disponibles, tales como la posibilidad de ver precios y crear órdenes que son transmitidas por medio de una aplicación proxy al sistema ERP en la zona de confianza. 3. El empleado regresa a una oficina de Intel y se conecta a la red corporativa. Ahora el empleado está utilizando un dispositivo de confianza en una ubicación de confianza y tiene acceso directo al sistema ERP en una zona de confianza. PERÍMETROS DEL USUARIO Los usuarios pueden convertirse en riesgos de seguridad por una variedad de razones. A ellos se dirigen con más frecuencia los ataques de ingeniería social, y son más vulnerables a estos ataques debido a que su información personal es a menudo fácilmente disponible en los sitios de redes sociales. También pueden hacer clic en enlaces maliciosos en el correo electrónico, descargar un software malicioso, o almacenar datos en dispositivos portátiles que luego se pierden. Figura 4. Nuestra nueva arquitectura de seguridad provee la información que los empleados necesitan para hacer su trabajo mientras se protegen los activos de información de Intel. www.intel.com/it 7
Los controles de detección se pueden utilizar para fomentar un comportamiento más seguro; por ejemplo, alertar a los usuarios cuando tratan de enviar documentos clasificados fuera del firewall puede hacerlos más consciente de la seguridad en el futuro. También hemos encontrado que la combinación de capacitación, incentivos y otras actividades puede ayudar a inculcar la seguridad de la información y la protección de la privacidad en la cultura corporativa, y con éxito animar a los empleados a poseer la responsabilidad de proteger la empresa y la información personal. CONCLUSIÓN Nuestra arquitectura de seguridad empresarial está diseñada para satisfacer una amplia gama de necesidades en evolución, incluyendo nuevos modelos de uso y amenazas. Nuestro objetivo es permitir una adopción más rápida de nuevos servicios y capacidades al tiempo que mejora la supervivencia. Comenzamos la aplicación de esta arquitectura hace aproximadamente un año y un plan para impulsar la adopción a través de Intel en aproximadamente cinco años. Ya hemos visto algunos éxitos. La utilización de este enfoque nos ha permitido ofrecer soluciones a los casos de uso difíciles mientras que se reduce del riesgo de forma real. Por ejemplo, hemos implementado los controles equilibrados y zonas de confianza para permitir acceso a la red de los dispositivos de propiedad de los empleados. En algunos casos, los proyectos han visto disminuir sus gastos de seguridad mediante la adopción de este modelo. Anticipamos que la arquitectura va a ser muy útil para abordar los retos de seguridad de la computación en la nube. En un entorno de nube virtualizado, es difícil restringir de forma efectiva el acceso con controles de seguridad tradicionales tales como firewalls, lo que supone que las ubicaciones de los sistemas y los datos que contienen son estáticos. La nueva arquitectura, mediante el empleo de herramientas como el cálculo de la confianza, proporciona un control más dinámico y granular sobre el acceso a recursos específicos. Además, al aumentar la utilización de controles de detección y correctivos, somos capaces de mitigar las debilidades de los controles preventivos disponibles en la actualidad. Si bien no todas las tecnologías de seguridad necesarias para la plena aplicación de este modelo existen hoy en día, no creemos que ninguna de ellas esté fuera del alcance. Estamos fomentando activamente la investigación y el desarrollo de la tecnología para apoyar todas las capacidades necesarias, tales como el cálculo de la confianza. Al mismo tiempo, para lograr todos los beneficios de esta arquitectura, estamos trabajando para arraigarla en todos los aspectos de TI de Intel, desde el desarrollo a las operaciones. PARA MÁS INFORMACIÓN Mantenimiento de la Seguridad de la Información Mientras se Permite Dispositivos Personales Hand-Held dentro de la Empresa http://download.intel.com/it/pdf/maintaining- Info-Security-while-Allowing-Personal-Hand- Held-Devices-in-Enterprise.pdf ACRÓNIMOS BI DLP ERM ERP GPS PDP PEP TPM vlan business intelligence (Inteligencia de negocios) data leak prevention (Prevención de fuga de datos) enterprise rights management (Manejo de los derechos de la empresa) enterprise resource planning (Planificación de los recursos empresariales) global positioning system (Sistema de posicionamiento global) policy decision point (Punto de decisión de política) policy enforcement point (Puntos de ejecución de la política) trusted platform module (Módulo de plataforma de confianza) virtual LAN (LAN virtual) For more infromation on Intel IT best practices, visit www.intel.com/it. Este documento tiene sólo propósitos de información. ESTE DOCUMENTO SE PROVEE TAL CUAL SIN GARANTÍAS EN ABSOLUTO, INCLUYENDO CUALQUIER GARANTÍA DE COMERCIABILIDAD, NO CONTRAVENCIÓN, CONVENIENCIA PARA ALGÚN PROPÓSITO EN PARTICULAR, O CUALQUIER GARANTÍA QUE DE OTRO MODO SURJA DE CUALQUIER PROPUESTA, ESPECIFICACIÓN O MUESTRA. Intel rechaza toda responsabilidad, incluyendo la responsabilidad por contravención de cualquier derecho de propiedad, relacionado con el uso de información en esta especificación. No se otorga ninguna licencia, expresa o implícita, por exclusión o de otra forma, a cualquier derecho de propiedad intelectual en esto. Intel, el logotipo de Intel, Atom, Pentium, y Xeon de Intel son marcas registradas de Corporación Intel en los E.E.U.U. y otros países. * Otros nombres y marcas pueden ser reclamados como propiedad de otros. Copyright 2011 Intel Corporation. Todos los derechos reservados. Impreso en USA 0111/IPKA/KC/PDF Por favor Recicle 324166-001US