¿Qué es la seguridad empresarial?

    La seguridad empresarial es una cuestión multifacética que incluye tanto los secretos empresariales internos o de propiedad reservada de una organización como los datos de los empleados y los clientes relacionados con las leyes de privacidad. Cada vez se da más importancia a la seguridad empresarial, ya que algunas grandes compañías internacionales (Facebook, Yahoo!, Target, Home Depot y Equifax, por ejemplo) se han enfrentado a grandes multas e intervenciones de la administración pública con motivo de la pérdida de datos confidenciales de los clientes a manos de los hackers. Las corporaciones empresariales americanas y europeas que se preocupaban más por proteger su código de propiedad reservada o sus secretos comerciales frente a la competencia y los falsificadores ahora se enfrentan a nuevas leyes de privacidad de los datos que pueden sancionarles económicamente si hacen un uso indebido de los datos de los consumidores o los pierden. La transición a la dependencia de la infraestructura de nube para respaldar los procesos empresariales presenta nuevos desafíos para la seguridad corporativa en el entorno de TI.

    En la práctica, la seguridad empresarial se orienta al centro de datos, la red y las operaciones de los servidores web, pero teóricamente empieza por los recursos humanos. Según algunos investigadores especializados en seguridad, la ingeniería social es la causa principal de hasta dos tercios de todos los ataques con éxito de hackers. En los ataques de ingeniería social, los atacantes aprovechan las debilidades existentes en la naturaleza humana, la integridad de los empleados o la credulidad personal para obtener acceso a una red o recursos de datos. Los ataques de suplantación de identidad a través de correo electrónico empujan a los empleados a hacer clic en enlaces que descargan e instalan programas maliciosos. En los ataques de suplantación de identidad por voz o VoIP, los hackers aprovechan las conversaciones telefónicas con varios empleados para obtener información privilegiada (contraseñas, por ejemplo) que pone en peligro la seguridad de la red. La suplantación de identidad por SMS, la suplantación de identidad dirigida, los ataques por provocación y los ataques de abrevadero son todas técnicas de ataques relacionadas que están basadas en procesos de ingeniería social. Estos vectores de ataque pueden poner en peligro hasta a los sistemas de seguridad de red más sólidos, y solo se pueden contrarrestar mediante una mayor concienciación de los empleados con formación, investigación y cribados.

    Los ataques informáticos automatizados se basan en scripts y se dirigen a recursos del centro de datos, como pueden ser los servidores web y las aplicaciones en línea. Estos ataques se perpetran de forma continua a través de puntos de entrada como pantallas de inicio de sesión, formularios de contacto, consultas de búsqueda en bases de datos y procesos de administración de back-end. Algunos ejemplos habituales de ataques de bots a scripts son los ataques de inyección de MySQL y el aprovechamiento de las vulnerabilidades de scripts entre sitios. La capacidad de enviar código a un servidor a través de formularios no protegidos puede provocar la pérdida de una base de datos completa, incluida toda la información de las tablas, las contraseñas y los datos financieros confidenciales de los clientes. Los ataques de inyección de código son diferentes al descifrado de contraseñas, que puede proporcionar al hacker acceso completo al sistema de administración o la capacidad de establecer puertas traseras a un servidor a través de FTP y la línea de comandos. Los hackers que logran su objetivo suelen pasar de 30 a 90 días inspeccionando un sistema de red comprometido con acceso interno antes de iniciar el proceso de transferencia de información de la base de datos o de instalar código remoto malicioso.

    Aspectos generales sobre la seguridad de VMware

    VER AHORA

    Informe de amenazas sobre la respuesta global a incidentes: Manipulación de la realidad

    DESCARGAR AHORA

    ¿Qué importancia tiene la seguridad empresarial?

    Para ilustrar la importancia de la seguridad empresarial, se puede observar el cometido que tiene el cifrado en las comunicaciones por Internet. Cuando se envía un correo electrónico o se introduce una contraseña de usuario para iniciar sesión en un sitio web, los datos se transfieren de punto a punto a través de una serie de canales de terceros. A menos que estuvieran cifrados, usuarios malintencionados con acceso no autorizado podrían interceptarlos y leerlos. La amenaza incluye agentes no autorizados que utilizan software de detección de paquetes instalado en la red de telecomunicaciones, el proveedor de servicios de Internet (ISP) o los canales wifi locales. Aunque el valor de la información enviada a través de estas conexiones puede variar, ninguna empresa u organización compleja de otro tipo estaría dispuesta a que sus secretos comerciales, las comunicaciones con los clientes y las conversaciones internas las supervisaran terceros con intenciones maliciosas en canales abiertos. La posibilidad de acceder a contraseñas e información de inicio de sesión no cifradas puede poner en peligro no solo cuentas y datos individuales, sino también toda la red corporativa en caso de que un intruso obtenga acceso al centro de datos.
    Como consecuencia, ahora la mayoría de los sitios web y las aplicaciones móviles aplican el cifrado HTTPS a través de certificados SSL/TLS en los distintos canales de comunicación de los usuarios. Los centros de datos han adoptado características de seguridad de nivel militar que incluyen datos biométricos, sistemas de acceso monitorizado y supervisión ininterrumpida de las instalaciones para evitar el acceso físico no autorizado. Los programas de formación para profesionales de TI pueden intensificar el estado de alerta ante signos de ataques de ingeniería social. Incluso cuando el acceso físico se somete al control más estricto, las corporaciones empresariales siguen enfrentándose a ataques informáticos procedentes de los confines del mundo, en los que puede estar involucrado hasta el Estado de regímenes como Rusia, China, Irán y Corea del Norte.
    Los ataques informáticos patrocinados por el Estado pueden tener como objetivo secretos del sector militar relacionados con la ingeniería en los programas de armamento, la aeronáutica o la investigación avanzada en otros sectores confidenciales. Los ataques informáticos patrocinados por el Estado también pueden dirigirse a empresas de medios de comunicación, como el ataque de Corea del Norte al estudio cinematográfico Sony, para llevar a cabo actividades propagandísticas o intentar poner en peligro el comportamiento corrupto de los funcionarios públicos a través de filtraciones de comunicaciones personales.
    A un nivel muy superior, los equipos de ataques informáticos patrocinados por el Estado o los hackers publicitarios que buscan llamar la atención pueden centrarse en perpetrar ataques de alto impacto equivalentes a actos terroristas o capaces de provocar la pérdida de vidas humanas, como si se librara una ciberguerra. El virus Stuxnet es tan solo un ejemplo de los efectos del espionaje industrial y los ataques informáticos de las agencias de inteligencia. Estos grupos, así como los hackers delictivos o que buscan publicidad, pueden atacar la infraestructura social esencial, como las centrales eléctricas, las telecomunicaciones o la producción industrial, con intención de provocar colapsos o daños físicos en las instalaciones a fin de que cunda el pánico y el caos. Por el contrario, los hackers delictivos suelen intentar robar información de tarjetas de crédito, datos de acceso a cuentas bancarias y criptomonedas para obtener beneficios económicos personales. En la Internet oscura ya se pueden comprar millones de números de tarjetas de crédito a precios tan bajos como un dólar por tarjeta. Los ataques informáticos que tienen como objetivo la información personal de los consumidores pueden dar lugar a robos de identidad, cargos fraudulentos o malversación de fondos. A las autoridades les resulta difícil detectar o detener estos ataques sin una prohibición generalizada por parte de los organismos encargados de hacer cumplir la ley o las agencias internacionales.

    Arquitectura de la seguridad empresarial

    La arquitectura de la seguridad empresarial debe centrarse en el acceso físico, la ingeniería social y los ataques de bots a scripts. Al mismo tiempo, debe proteger los sistemas de introducción de contraseñas frente a posibles descifrados y los canales con intervención de los usuarios frente a la inyección remota de código. El cortafuegos de red se considera la principal barrera contra los ataques informáticos maliciosos. En la actualidad, la mayoría de los paquetes de software de cortafuegos de red incluyen la capacidad de analizar los datos de los paquetes en tiempo real para buscar posibles virus, gusanos y programas maliciosos y de secuestro. El problema del análisis antivirus es que se trata de un enfoque de seguridad retroactiva que depende de organismos profesionales para identificar los programas maliciosos antes de que puedan detectarse. En los ataques de día cero, el código vulnerable que los expertos en seguridad nunca han detectado o clasificado se utiliza para penetrar en una red, una plataforma de software, un dispositivo de firmware o un sistema operativo. Dado que las empresas no pueden defenderse de los ataques de día cero de antemano, necesitan implementar políticas de seguridad multinivel que aíslen y repriman las amenazas de forma eficaz después de que, inevitablemente, ocurran.

    Usar cifrado en las transferencias de datos y establecer configuraciones de cortafuegos para el acceso de usuarios autorizados son los dos aspectos más básicos de la seguridad empresarial, aparte de la aplicación de restricciones al acceso físico. En la actualidad, la mayoría de las plataformas con sistemas de inicio de sesión de usuario incluyen procedimientos que limitan a cinco o más el número de veces que un usuario puede introducir una contraseña incorrecta para evitar ataques de descifrado. Los intentos de inicio de sesión no identificados que se producen repetidamente desde una única dirección IP se pueden mitigar mediante el bloqueo de IP. El software de cortafuegos se integra con el análisis antivirus, que compara las transmisiones de paquetes de datos con firmas de programas maliciosos conocidos en tiempo real para identificar archivos dañinos y evitar la instalación accidental de virus, gusanos y troyanos a través de descargas o ataques de suplantación de identidad. Se pueden instalar cortafuegos de aplicaciones web (WAF), que añaden una capa adicional de protección a los formularios web para evitar la creación de scripts entre sitios y los ataques de inyección de MySQL. La instalación de software antivirus de proveedores como Symantec, McAfee, Trend Micro, Kaspersky, Bitdefender, etc. es un aspecto esencial de la seguridad empresarial actual. Muchas empresas también utilizan los servicios de una red de distribución de contenido (CDN) para reconocer y prevenir los ataques de denegación distribuida de servicio (DDoS) en el entorno de producción.

    Prácticas recomendadas fundamentales en materia de seguridad empresarial

    El paradigma que se aplica en la actualidad a las prácticas recomendadas en materia de seguridad empresarial consiste en aplicar todos los métodos disponibles en el sector: seguridad física, cortafuegos, cifrado, protección contra el fraude, detección de intrusiones, WAF, antivirus, etc. Aun así, se espera que los hackers sigan encontrando la manera de penetrar en los sistemas, poner en peligro el hardware y robar datos. Según los principios de reducción máxima de daños, el objetivo debe ser detectar e identificar las intrusiones en el menor tiempo posible y, al mismo tiempo, crear sistemas que aíslen más los datos para evitar la propagación de los ataques de vectores. La microsegmentación es una buena manera de proteger cada máquina virtual de una red empresarial a través del aislamiento, que evita el desplazamiento lateral de una intrusión a otras instalaciones desde un único punto de entrada. El modelo de zona desmilitarizada (DMZ) está relacionado con los cortafuegos, las vallas y los fosos. Separa los procesos web de una LAN mediante un mayor aislamiento reforzado por los servidores perimetrales proxy en el anillo de defensa exterior. El almacén de datos de VMware vSAN se utiliza para el cifrado de bases de datos empresariales, mientras que VMcrypt Encryption se utiliza para el almacenamiento, los archivos y las copias de seguridad.

    El aumento de poder administrativo es otro problema fundamental que no se puede pasar por alto en las prácticas de seguridad empresarial. Los permisos de superusuario y de administración deben controlarse más estrechamente y detectarse al instante cuando los implementan usuarios no autorizados. La supervisión de red en tiempo real incluye cada vez más técnicas de análisis con aprendizaje automático e inteligencia artificial para detectar mejor las intrusiones, las transferencias de datos confidenciales no autorizadas y los problemas de aumento del poder administrativo. Dado que las plataformas de software sin parches y los sistemas operativos de servidor web son las principales causas de las redes en peligro y las vulneraciones de datos, las empresas deben estar especialmente atentas a la hora de aplicar las actualizaciones necesarias con carácter inmediato en el entorno de producción. Las actualizaciones de seguridad automatizadas mejoran en gran medida la velocidad de respuesta a la hora de aplicar parches esenciales. Es posible instalar un antivirus sin agente en el hipervisor y configurarlo para aplicar automáticamente respuestas de seguridad a los ataques con intrusiones o programas maliciosos sin intervención humana, lo que mejora el tiempo de respuesta en los centros de datos de nube con millones de máquinas virtuales ejecutándose de forma simultánea y en paralelo.

    Recomendamos