Revisión de políticas y procedimientos de seguridad en red

En este epígrafe se va a definir qué serie de medidas se deben adoptar para gestionar y proteger la información y servicios presentes en la empresa, así mismo de la protección de los equipos de red y en general, cualquier sistema que esté involucrado en la red de la organización.

Primero debe realizarse un estudio del riesgo de la red y frente a todas posibles amenazas cuales serán la respuesta. Es decir, se deben evaluar las respuestas que se presentarán en caso de fallo y comprobar si son válidas.

También, hay que velar por la información de los datos manteniendo su integridad y no repudio. Por ello, son aconsejable las tareas de copias de seguridad periódicas.

Para las políticas y procedimientos de seguridad en red se va a seguir el esquema que recomienda Cisco subdividido en tres grandes categorías, pudendo resumirse de la siguiente manera:

1) Preparación:

Para la elaboración del documento de procedimientos y actuación segura frente ataques se debe realizar:

- Definición de roles y scope de cada departamento. Cada miembro del departamento debe conocer a la perfección qué tareas debe realizar al ser alcance de su departamento y cómo debe realizarlas, así como en caso de fallo a quién debe notificar.

Se recomienda usar un estado de prioridades de incidencias, por ejemplo en caso de fallar un dispositivo de nivel 3 o algún servidor importante debe notificarse como prioridad muy alta para que así sea evaluado de inmediato.

Por último, hay que realizar un acuerdo de políticas que será el que el usuario firme al trabajar en la organización así como sus datos almacenados (monitorización de la actividad, historial de contraseñas, entre otros).

- Establecimiento de los riesgos. Todo sistema está sujeto a fallos, por ello es tan importante que los dispositivos principales se encuentren redundados además, hay que crear una lista de niveles de riesgo, como por ejemplo:

89

o P0: Máxima prioridad, se da cuando un dispositivo importante dejar de operar con normalidad perdiéndose la conectividad o parte de la misma entre dos puntos geográficos. También puede darse cuando una línea de acceso a internet deja de ofrecer servicio. En este punto se incluirán: Niveles 3 de los core (routers, switch multinivel, firewall, servidores marcados como alta prioridad, líneas de acceso a internet).

o P1: Dispositivos de suma importancia y que a consecuencia de su bajo o nulo rendimiento están saturando la red perdiéndose la conectividad por momento o funciona de manera muy lenta. Este es el caso de cuando dos equipos core funcionan en modo de reparto de carga y uno de ellos se encuentra caído o saturado por algún motivo (daño en algún módulo de la memoria RAM por ejemplo).

o P2: Caída de algún dispositivo no core que está provocando la incomunicación de un grupo de usuarios. Suelen ser dispositivos de nivel 2 tales como switches de acceso o distribución. También se pueden incluir otros servidores que se hayan marcado como prioridad media. Además según la infraestructura se incluirán dispositivos como cajas VPN o balanceadores de la carga.

o P3: Servidores, equipos y configuraciones en dispositivos de red que aunque son urgentes su caída no provoca una pérdida del servicio. Son tareas que se deben de atender de inmediato si no existe una prioridad superior.

o P4: Configuración de algún dispositivo de red. Tareas como enrutamiento entre dos puntos, nateos de IP u otras configuraciones que sean necesarias para que algún usuario o equipo puedan realizar sus labores.

o P5: Configuraciones no urgente en los dispositivos de la electrónica de red, tales como apertura de un puerto. Son tareas que se deben realizar pero no son urgentes.

- Conocidos los riesgos se deben establecer los protocolos de respuesta. Qué ámbito pertenece a cada departamento y cómo se van a organizar los mecanismos de resolución de la misma. Todos los elementos que afecten a la red (routers, switches, WLC, AP, entre otros) serán parte del equipos de redes, los de seguridad (firewalls, temas de VPN, entre otros) el equipo de seguridad será el encargado de su mantenimiento. Los servidores del equipo de sistemas.

2) Prevención:

En este apartado de las políticas y procedimientos que dictan la seguridad del entorno de red, se debe especificar cuándo y cómo se van a tomar como válidas las peticiones de cambios que afecten a la red, ya que todo cambio en la misma puede influir negativamente.

Por otra parte, hay que dejar claramente especificado qué usuarios son lo que deben aprobar los cambios en los dispositivos. Generalmente los mánager de los proyectos es el responsable de aprobar los cambios que solicitan los usuarios, sin su aprobación la incidencia no debe ser abierta y mucho menos presentar posibles resoluciones para la misma.

Cuando se traten de dispositivos de uso global o de suma importancia no solo será necesario la aprobación del mánager del proyecto ya que ese cambio tiene un alcance internacional o a varias oficinas, sino que se escalará esa apertura de incidencia a un equipo que valore los riesgos, los cuales:

90

a) Reciben el informe de petición de cambio RFC (Request for Comments) formulado por algún miembro del equipo de redes. Será una plantilla de documento en el que se debe especificar los cambios a realizar, por quién, en qué fecha, cómo se realizarán y en caso de fallo cuál será el proceso de revertir los cambios (rollback).

b) Evalúan los riesgos de la implantación del mismo.

c) Dan respuesta en función de la prioridad, si aceptan la propuesta la incidencia queda abierta para trabajar en ella, en cualquier otro caso deben especificar porque no aceptan la RFC sugiriendo cambios que deben realizar el peticionario u otras soluciones alternativas con impactos menores.

Es de suma importancia que solo determinados usuarios sean los encargados de aprobar los cambios ya que ellos serán los responsables de lo que se solicite implantar. Así mismo como usar métodos como las RFC para la aprobación de cambios con impactos de gran alcance. Para ello, las organizaciones suelen montar lo que se denominan ServiceDesk que son plataformas, donde en función de tus roles en la organización y el departamento al que el usuario pertenezca, tendrá visible una serie de incidencias que se irá asignando y resolviendo, manteniendo un histórico de las tareas realizadas por el usuario así como el tiempo empleado. En la incidencia debe quedar constancia clara de los cambios que se solicitan, quién es el peticionario y quién, qué mánager, aprobó ese cambio.

3) Respuesta:

Producido el ataque o la intrusión en un sistema o la red el equipo de seguridad es quién debe valorar el daño actual y cómo aislar ese componente. Se producirá esta situación cuando todos los mecanismos de prevención (firewalls, IDS/IPS, AntiDDoS y demás servicios y elementos de la electrónica de red fallen).

Se deberán aislar los sistemas afectados, comprobando qué partes de la red se ven afectadas a consecuencia de esa intrusión. Comprobar los log de los sistemas para ver quién o cuándo se produjo esa intrusión, si alguien cambió alguna regla que permitiese el ataque o si sencillamente la red no estaba protegida para un determinado alcance, es decir, existía una brecha de seguridad que fue explotada. Se procederá a continuación, al intento de liberación de los equipos infectados, si los hay.

Por último se restaurará el estado de servicio, bien en ese mismo equipo si es posible o mediante alguna copia de seguridad en otro dispositivo. Por ello, es muy importante que los dispositivos más importantes y usados en la organización cuenten con sistemas de copias de seguridad periódicos. [65]