Consideraciones de Diseño: Seguridad y Manejabilidad

En los primeros tres blogs de esta serie “Pilares de la tierra”, he cubierto costo, escalabilidad y velocidad y disponibilidad. En este blog final de la serie cubriré dos consideraciones de diseño: seguridad y manejabilidad.

Es un asunto de cuándo, no si la red será atacada o no, y si ambas tanto la red misma como el personal de operaciones estarán listos para defenderse de estos ataques.

Seguridad

Debo confesar, nunca me ha gustado el área de la seguridad, ya que prefiero ver lo bueno en lugar de lo malo en las cosas. Pero, me guste o no, en el mundo real tenemos que lidiar con riesgos de seguridad, en lugar de pretender que somos avestruces y enterrar nuestras cabezas en la arena para evitar ver lo que nos rodea.

Tanto los recursos de red como la información del cliente deben ser protegidas para evitar pérdidas monetarias reales directas o indirecta, una reputación dañada, robo de propiedad intelectual y demandas legales. Los atacantes puede venir desde afuera de la compañía, y (suspiro) a veces desde adentro. Ellos sacan provecho de vulnerabilidades conocidas y también son muy buenos encontrando nuevas vulnerabilidades, interrumpiendo el tráfico normal de la red y causando cortes de servicio. Las consideraciones en materia de seguridad para diseñar las redes incluyen:

1. Cumplir con las políticas de seguridad establecidas de la compañía: Esas políticas definen roles y responsabilidad con respecto a la seguridad y cómo será adaptada por el personal de infosec, usuarios internos, partners y terceras personas. Ellas incluyen las pautas y prácticas de seguridad (administración de cuentas de usuarios, revisión de privilegios, contraseñas, manejo de información interna y de clientes), y acciones punitivas contra los infractores. Estas políticas deben ser evaluadas periódicamente, y debería haber entrenamiento periódico y auditorias de seguridad para asegurar que las políticas de seguridad son entendidas y seguidas consistentemente. No hay política de seguridad? Hmm...

2. Cumplir con políticas de la industria y regulaciones de seguridad: Algunas industrias tienen políticas específicas que las compañías deben cumplir; por ejemplo: los requerimientos de la Payment Card Industry (PCI) existen para todas las companias que estan relacionadas con la transmisión, procesamiento o almacenamiento de información de crédito y débito, y a su vez existen regulaciones para proveedores del área de la salud, como Health Insurance Portability and Accountability Act (HIPAA).

3. Conducir un análisis de riesgo: Donde es la red vulnerable a los ataques? Identifica riesgos asociados con los componentes de riesgo de tu cliente: equipos de core, distribución y acceso, servidores, administración de red y equipos de seguridad, PCs de usuarios (BYOD) e información para aplicar el nivel de seguridad apropiado.

4. Usa medias de seguridad preventivas: ¿cuáles son los mecanismos que usarías para prepararte para repeler esos ataques y cómo pueden los equipos de red ser protegidos de ellos? Tu diseño debe incluir seguridad física, seguridad de los equipos, tecnologías y características, incluyendo capa 2, capa 3, acceso remoto y características de seguridad de tunnelling. La seguridad no es estática y deberías estar informado sobre las últimas amenazas y seguir las recomendaciones de tu fabricante para prevenir ataques. Equilibra inversión en prevención (como seguros) y el costo de tener componentes de la red o información comprometidos. 

5. Usa medidas de seguridad reactivas: Tu diseño para la seguridad de la red debe incluir la habilidad de detectar violaciones de seguridad rápidamente. Cuando una violación es detectada, el equipo de infosec del cliente debe ser involucrado rápidamente para combinar diferentes tipos de respuestas como prevenir accesos adicionales, o aislar las funciones violadas (modularidad juega un papel allí) o incluso del sistema en su totalidad.

Manejabilidad

Una parte del diseño para la capacidad de administración es tener una red estándar, modular y replicable, para poder usar scripts para configurarla, y para incluir protocolos de monitoreo, exploraciones, servidores, y sistemas NMS (Network Management System - por sus siglas en Inglés) para monitorearla. Pero no puedes administrar lo que no puedes ver. Documenta la red, incluye una base que identifique el “comportamiento normal” de la misma, para que tu cliente pueda identificar rápidamente cuando la red no se está comportando de la forma correcta.

Este artículo concluye la serie Pilares de La Tierra. Espero que hayas encontrado interesante esta serie de blogs.

¿Incluyes consideraciones de seguridad en tus diseños de red? ¿Hay algún tema que quieras escuchar en mis próximos blogs? ¡Agrégalo al campo de comentarios!

pic-elopes3.PNG


Elaine Lopes es la Program Manager para las certificaciones CCDE y CCAr, y Team Lead para el equipo del programa CCIE,  Elaine es una apasionada acerca de cómo las vidas pueden cambiar para mejor a través de la educación y certificaciones.


Traductor voluntario del blog en Español: David Peñaloza

Versión original en Inglés: CCDE: The Pillars of the Earth - Part 4


A continuación, algunas maneras adicionales para integrarnos y mantener la conversación: