Una red Wireless pública sin contraseña, puertos USB desbloqueados y otros puntos de interconexión pueden permitirles a los usuarios acceder directamente al centro de nuestra red y, con ello, a nuestra información confidencial. Y esto no implica que aquellos que nos visiten sean espías, pero podrían estar transportando en sus dispositivos algún virus, de los que hablamos en la entrega anterior, y se transforme en una amenaza para nuestros propios sistemas.
“¿Cuál es la clave del Wi-Fi?”. Todos nosotros hemos escuchado esta frase alguna vez en bares, aeropuertos, restaurantes, hoteles o cualquier otro lugar que sea amigable con los clientes. Sin embargo, para las empresas se plantea un riesgo casi tan grande como el que afrontamos al darle la mano a alguien que acaba de estornudar: nunca sabemos que podemos contagiarnos si lo hacemos.
Haciendo una analogía con el propio cuerpo, la red de la empresa está protegida por “piel” (antivirus-firewalls), que funciona como defensa perimetral. Detrás de estos sistemas se encuentran los “órganos internos” (servers, equipos de respaldo, terminales de usuarios, etc.) y cualquier amenaza que logre entrar se diseminará rápidamente “enfermándolos”.
Amenazas internas
Es fácil echar toda la culpa a “personas ajenas a la organización”, sin embargo, muchas de las falencias de la protección de nuestra red vienen desde adentro, dado que nuestros empleados tienen un nivel de acceso mucho mayor que los clientes que nos visitan. Las terminales de usuario están directamente conectadas con la red interna y pueden infectar la red con sólo enviar un mail.
Anteriormente, la forma de propagación de un virus era mediante el reenvío de un correo a toda la lista de contactos del usuario afectado. Por eso, la gente de sistemas comenzó a repetir como un mantra: “no descarguen, y mucho menos ejecuten, archivos adjuntos si no son de fuentes confiables”. Gracias a los avances tecnológicos actuales es muy difícil que este tipo de ataque funcione, pero existen otros riesgos.
Los dispositivos USB vuelven vulnerable al sistema porque son bidireccionales, cuando se conecta un pen drive en una computadora pueden copiarse archivos confidenciales y también dejarse virus de los que el usuario no tiene conocimiento. Además, en muchos casos los programas se inician con la detección automática de dispositivos conectados, por lo que antes de analizar la amenaza esta ya logró propagarse internamente.
Buscando el equilibrio
Se plantea entonces el interrogante: ¿cómo puedo darle un buen servicio a mis clientes externos y un buen soporte a mis clientes internos sin hacer demasiado vulnerable a mi red? Necesitaremos utilizar algún programa que nos permita administrar políticas de uso o, directamente, contratar los servicios de un especialista para nos asesore.
Políticas: la configuración de segundo nivel
Los equipos de conectividad, terminales de usuario y hasta programas estándar vienen con una configuración “fácil”, lo que implica que cualquiera de nosotros podría, mediante algunos clics, poner a funcionar un equipo en su modo más básico. Pero como se podrán imaginar esto dejará muchos huecos en el perímetro y en la parte interna de nuestra red.
La configuración avanzada nos permite elegir lo que queremos o no queremos que pase dentro de nuestros equipos. Por ejemplo, para evitar problemas con los accesos de invitados lo que haremos será poner un Access point (punto de acceso) que esté conectado por fuera de nuestra red interna a internet. Entonces saldremos todos ganando: nuestros visitantes tendrán conexión y nosotros evitaremos problemas de seguridad por potenciales virus filtrados por sus dispositivos móviles.
Permisos de usuario
Es un axioma generalizado entre los que trabajamos en sistemas que la mayoría de las fallas de cualquier dispositivo electrónico no son por hardware ni software sino por el uso, ya que en muchos casos la inocencia o inexperiencia pone al usuario en situaciones potencialmente dañinas para la computadora, lo que obliga a un técnico a revisarla y se pierde tiempo y dinero.
Muchos han instalado o visto como se instala un sistema operativo, el secreto está en darle al usuario la menor cantidad de permisos posible para evitar la mayor cantidad de problemas.
Existen distintos niveles de jerarquías de usuario en los equipos. La más alta es “Administrador” y es la que nos muestra por defecto la primera vez que instalemos el sistema operativo. Este usuario puede realizar CUALQUIER cambio en el equipo (instalaciones, desinstalaciones, modificaciones, borrados), lo que lo convierte en un arma de doble filo para todos aquellos que no estén familiarizados con la mayoría de las funciones de la PC.
Existen otros dos niveles: usuario “limitado” y usuario “Invitado” que tienen permisos acotados a la sesión que están utilizando y no pueden realizar ningún cambio en la configuración del sistema. Incluso puede restringírseles el uso de dispositivos externos como cámaras, celulares, memorias USB y tener algunas carpetas bloqueadas para su vista. De esta forma, protegeremos nuestra red de posibles amenazas, cuidaremos que nadie traslade fuera de la empresa información confidencial y mejoraremos la productividad de los empleados.
Puertos: ¿qué son?
Para que las computadoras se comuniquen entre sí, ya sea en internet o intranet, se utilizan conexiones cableadas o inalámbricas. Los programas viajarán utilizando siempre el mismo puerto de entrada y salida, para garantizar la compatibilidad del sistema receptor. Supongamos entonces que buscamos evitar los riesgos que implica que los usuarios naveguen en la web. Si bloqueo internet los usuarios no podrán ver sus mails ni responderlos. Si no la bloqueo, seguirán navegando por sitios potencialmente peligrosos. ¿Cómo lo resolvemos? Con el bloqueo o la habilitación de puertos.
Un puerto es el canal de comunicación entre los mismos protocolos de dos o más máquinas. Funciona como una puerta de acceso, si la cierro ya nada entra ni nada sale. Entonces es posible bloquear internet (puerto 80) y no bloquear los mails (puerto 25). Sin embargo, como en la mayoría de las empresas es necesario el acceso a la web se sugiere la instalación de un firewall y la configuración de políticas, que pueden estar segmentadas de acuerdo a nuestras necesidades, por ejemplo: tipo de tráfico (internet), por página web (bloquear redes sociales) o por usuarios (todos los perfiles asociados a la parte comercial no podrán acceder a ninguna página web fuera de nuestra red interna).
Ventajas de la protección de la red
- Evitaremos que puedan llevarse información confidencial. Esto nos ahorraría la enorme pérdida que significaría que uno datos relevantes del negocio (lista de precios, base de datos de clientes o proveedores) pueda ser utilizado por empresas competidoras.
- Protegeremos nuestra red de amenazas externas que pueden ingresar por terminales o por la red.
- Asignando permisos de usuario lo más restrictivos posible lograremos mejorar la estabilidad de los programas preinstalados y la integridad de las computadoras, evitando reparaciones de último minuto o urgencias.
Consejos para la correcta selección de los elementos de seguridad en mi red
- ¿Cuándo lo hago? Cuánto antes, porque cada momento que pasa somos vulnerables a una amenaza interna o externa en nuestra red.
- ¿Puedo hacerlo solo? No, se sugiere que intervenga un especialista para darle una coherencia al sistema de seguridad perimetral y el sistema interno.
- ¿Hace falta actualizarse continuamente? Sí, porque las amenazas surgen a cada momento y se van modificando.
Sugerencia: Es necesario contactar a un especialista que integre una protección a nuestra red que involucre antivirus y firewalls que no impidan el normal funcionamiento de la compañía, pero que a su vez protejan de amenazas de seguridad que afecten la productividad. Se sugiere consultar a un experto para la configuración y la implementación de este tema.
TAGS: Gestión, Nube, Redundancia, Firewall, Antivirus, Protección, Seguridad, Información, Inversión.
POR: Mariano Chiesa.
Soy Mariano Chiesa, especialista en tecnología. Pasé toda mi vida rodeado de computadoras y trabajé en las empresas de informática más reconocidas. En 2012 co-fundé “Teleparking S.A.”, consultora dedicada al desarrollo de soluciones innovadoras para problemáticas comunes. Sigamos en contacto en ar.linkedin.com/in/marianochiesa.
