Es-Mitigar Los Riesgos de Seguridad en La Periferia de La Red Eu-Wp-Mitigating-Risks

Informe / Seguridad
Mitigar los riesgos CONTENIDO:

de seguridad en la ++ Amenazas en la empresa
distribuida y estrategias para
periferia de la red obtener redes más seguras.

++ Tareas obligatorias en la
configuración de la red.
++ Información sobre la
Prácticas recomendadas para seguridad basada en la
nube, cumplimiento de las
las empresas distribuidas normas PCI y redes paralelas.
++ Dos métodos para aumentar
la seguridad.
Informe / Seguridad
CUANDO SE PRODUCE
UNA INFRACCIÓN DE LA
SEGURIDAD, EL 90% DEL
Cada año, los especialistas en relaciones públicas de al menos TIEMPO PROMEDIO DE LA
una de las grandes corporaciones trabajan a contrarreloj en un
intento de explicar a un público enfadado y asustado, con razón, RESOLUCIÓN SE EMPLEA
qué ha sucedido para que su empresa pusiese en riesgo los datos EN IDENTIFICAR EL
del cliente. Lo primero que se ve afectado de forma inmediata
es la reputación de la empresa que tiene como resultado una PROBLEMA.1
pérdida de la fidelidad de la marca ya que los clientes se llevan
sus negocios a otro sitio. Y, por supuesto, las infracciones de
seguridad tienen también muchas otras consecuencias. EN LOS MÁS DE
1300 INCIDENTES DE
Impactos potenciales de una infracción de datos:
VIOLACIONES DE DATOS
++ Costes legales EN 2013:
++ Pérdida de ingresos o de productividad debido a la falta de
disponibilidad de los recursos de producción
EL 91% DE LOS
++ Multas por violación de las normas de cumplimiento INCIDENTES SE
de privacidad
ORIGINARON EN EL
++ Multas por infracción del Estándar de Seguridad de Datos
para la Industria de Tarjeta de Pago EXTERIOR.
++ Pérdida de información patentada, competitiva o intelectual
++ Pérdida de beneficios futuros como consecuencia de la
EL 88% TARDÓ MINUTOS
incapacidad de demostrar un proceso de seguridad sólido EN AFECTAR
para clientes, proveedores y socios Y AFLORAR.
EL 85% TARDÓ SEMANAS

EN DETECTARSE.
EL 45% INCORPORÓ
MALWARE.2
Oficina
central
TODOS ESTOS
PORCENTAJES
HAN AUMENTADO
SIGNIFICATIVAMENTE
DESDE EL AÑO ANTERIOR.
Como puerta de enlace a Internet, las empresas

distribuidas en la periferia de la red son muy
vulnerables ante las amenazas de seguridad.
©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 2

Informe / Seguridad LAS EMPRESAS
CON SUCURSALES
O UBICACIONES
DISTRIBUIDAS DE
RIESGOS EN LA PERIFERIA PEQUEÑO TAMAÑO
SON LAS QUE ESTÁN EN
Las empresas con cientos o miles de ubicaciones se enfrentan
a grandes desafíos constantes para mantener la seguridad de la
SITUACIÓN DE MAYOR
red y se encuentran en una situación particular de alto riesgo RIESGO DE SUFRIR
de sufrir infracciones de datos. La periferia de la red, que es INFRACCIONES DE DATOS.
la zona más vulnerable, debe protegerse muy bien frente a las
vulnerabilidades, amenazas y ataques de programas maliciosos.
Los ciberdelincuentes ven en la periferia de la red un blanco fácil EL 80% DE LAS
puesto que las ubicaciones distribuidas suelen procesar datos
altamente sensibles (como las tarjetas de crédito), pero cuentan INFRACCIONES DE
con prácticas de seguridad no muy sólidas. DATOS DEL SECTOR
Los factores que contribuyen a la debilidad de la seguridad en la MINORISTA TUVO LUGAR
periferia de las redes de empresas distribuidas son: EN ESTABLECIMIENTOS
++ Falta de soporte de TI in situ. Las medidas de seguridad CON MENOS DE
como actualizaciones del firmware y aplicación de 100 TRABAJADORES.
políticas (reglas de firewall, listas de control de acceso,
configuraciones inalámbricas y VLAN) deben llevarse a cabo
de forma regular, pero, sin personal de TI in situ, se suelen EL 24% DE LOS ATAQUES
pasar por alto con facilidad. Incluso las sucursales con
soporte de TI in situ rara vez disponen de los conocimientos
AFECTÓ AL SECTOR DE LA
propios necesarios para implementar y mantener una INFORMACIÓN Y SERVICIOS
configuración compleja de la seguridad. PROFESIONALES.
++ Ausencia de concienciación de la seguridad por parte del
empleado. En la era del BYOD o “Trae tu propio dispositivo”, EL 34% DE LAS
los dispositivos de los empleados que acceden a la red
corporativa presentan vulnerabilidades a través de puntos INFRACCIONES DE DATOS
de acceso no autorizados, ataques de suplantación de la TUVIERON REPERCUSIÓN
identidad o fraude electrónico y otros ataques de ingeniería
social. Si no cuentan con la formación adecuada, los EN LAS ORGANIZACIONES
empleados pueden poner en riesgo a la empresa al abrir FINANCIERAS.
correos electrónicos o pulsar en enlaces que permiten la
entrada de programas maliciosos en su dispositivo y en la red.
EL 20% DE LOS ATAQUES
++ Acceso a la red de clientes y de terceros. Muchas empresas
interactúan con terceros que requieren acceso a Internet.
IBA DIRIGIDO AL SECTOR DE
Por ejemplo, un proveedor HVAC puede solicitar el uso FABRICACIÓN Y SECTORES
de la red de la empresa para supervisar y ajustar los RELACIONADOS.
valores de calefacción y aire. Los kioscos dentro de los
establecimientos necesitan acceso a la red para transmitir
datos, y los clientes necesitan WiFi para sus dispositivos EL 30% DE LAS
móviles mientras realizan las compras.
INFRACCIONES DE DATOS
Con tantos agentes que necesitan acceso a Internet e innumerables SE REALIZAN A TRAVÉS DE
riesgos derivados de las violaciones de la seguridad, las empresas
deben mantenerse alerta en el desarrollo, actualización y aplicación LOS DISPOSITIVOS DE LOS
de políticas de seguridad en la periferia de la red. USUARIOS.3

Informe / Seguridad
ARQUITECTURAS DE RED DE LA EMPRESA LA ARQUITECTURA

DISTRIBUIDA HUB-AND-SPOKE
MODELO HUB-AND-SPOKE: ACCESO CONTROLADO A UN UTILIZA VPN PARA
CENTRO DE DATOS CENTRALIZADO GARANTIZAR
“Hub-and-Spoke” es una arquitectura que aprovecha redes EL ACCESO
privadas virtuales (VPN) o puertas de enlace privadas en la nube.
Algunas redes privadas virtuales no utilizan codificación para CONTROLADO A UN
proteger la privacidad de los datos. Aunque algunas VPN suelen CENTRO DE DATOS
ofrecer seguridad, una red de solapamiento sin codificación no
encaja muy bien en la categorización de seguro o fiable. Las CENTRALIZADO.
redes VPN se deben configurar para actuar como puerta de
enlace a uno o más segmentos del entorno, aplicando requisitos
sólidos de autenticación, funciones de inspección de puntos
finales e integración con los escritorios virtuales, dispositivos de
propietario o tecnologías de puntos de venta.
Oficina
central
Establecimiento Conexiones a Internet no seguras
Red VPN segura

Informe / Seguridad
VENTAJAS CLAVE PARA EL ÉXITO

Seguridad. Para diversas ubicaciones remotas, una Proteja la arquitectura hub-and-spoke mediante
red VPN puede evitar el coste que supondría una aislamiento y segmentación. En el pasado muchas
conexión a Internet dedicada. El mantenimiento organizaciones utilizaban una arquitectura de
del establecimiento de una conexión LAN a firewall único o dual que dividía las redes en
través de una VPN de Internet es muy bajo en segmentos en las capas 3 y 4, limitando los rangos
comparación con las soluciones tradicionales de direcciones IP y los puertos del Protocolo de
de línea dedicada. Con una codificación y una control de transmisión (TCP) y del Protocolo de
autenticación adecuadas, la arquitectura VPN datagrama de usuario (UDP) que podían pasar a
constituye una solución altamente escalable y un segmento o a otro. Aunque esta arquitectura
rentable para la transmisión segura de los datos. de seguridad de la red sigue siendo todavía la
más común, cada vez más organizaciones están
Detección de amenazas. Los datos se pueden empezando a controlar el tráfico en las capas
analizar durante su transmisión por la red y superiores y a utilizar tecnologías emergentes que
utilizar para identificar amenazas o infracciones facilitan la captura, el análisis y el control del tráfico.
potenciales. La implantación de la misma Si desea obtener más información, consulte la
infraestructura de prevención de intrusos en el página 11, “Dos métodos para aumentar la seguridad”.
núcleo de la red de las sucursales minimiza las
posibilidades de errores de configuración en la
periferia de la red.
LA NUBE Y LOS SERVICIOS DE
Control. Las empresas encargadas de transmitir SEGURIDAD
o almacenar datos altamente sensibles
pueden sentirse más seguras al controlar la Muchas organizaciones quieren disfrutar del
implementación y el mantenimiento de la ahorro de costes y de los procesos eficaces de
arquitectura de seguridad. la nube, pero no quieren sacrificar los niveles
tradicionales de control y seguridad. Las
soluciones tradicionales de seguridad de redes
exigen el uso de hardware caro y con demasiadas
RIESGOS características, interfaces arcaicas de líneas de
comandos, cursos de formación intensiva de
Errores de planificación y configuración. El uso varios días, programas de certificación y manuales
de una VPN exige un alto nivel de planificación de 400 páginas.
y configuración además de una actualización
regular del firmware del router y de la aplicación Si la seguridad es demasiado compleja, aumentan
de políticas de seguridad. Las redes se deben las posibilidades de errores de configuración
configurar adecuadamente y mantener de y consecuencias no esperadas. Para aquellas
forma periódica. La existencia de segmentos empresas distribuidas con poco soporte de TI in
configurados de forma inadecuada puede crear situ o con ninguno, la seguridad basada en la nube
brechas en la seguridad en la red central, que los ofrece visibilidad, configuración y control de miles
hackers pueden aprovechar para acceder a los de dispositivos en cualquier punto del planeta. Lo
datos sensibles. ideal sería que las empresas distribuidas utilizaran
soluciones de seguridad que combinasen la
La seguridad física también es importante para inmediatez de la gestión local con la simplicidad y
impedir el robo del router/puerta de enlace de la el control centralizado de la nube.
periferia, que se puede utilizar para acceder a las
redes corporativas y a los datos sensibles.

Informe / Seguridad
VENTAJAS Tiempo de resolución. Para empresas con

organizaciones dotadas con el personal de TI
Escalabilidad y concentración. Aumentar el nivel necesario, los problemas relacionados con las
de la arquitectura de seguridad basada en la nube soluciones in situ se pueden abordar iniciando
se puede realizar de forma más sencilla y más sesión directamente en el dispositivo con el fin de
rentable, con menos planificación que la que exigen ofrecer soporte al proveedor con mayor rapidez.
las arquitecturas tradicionales basadas en hardware. Respecto a las soluciones basadas en la nube, el
Los procesos relacionados con la seguridad, las personal de TI debe abrir una incidencia y trabajar
respuestas a las amenazas, las actualizaciones y los externamente para solucionar los problemas, lo
parches de seguridad se pueden aplicar con mayor cual puede aumentar el tiempo de resolución.
rapidez a través de la arquitectura de aplicaciones
de seguridad basada en la nube. Personalización. Con el nivel adecuado de
presupuesto, recursos y tiempo, las soluciones
Gestión de amenazas. El tráfico web se in situ se pueden personalizar para cumplir las
puede autenticar, codificar y filtrar rápida y necesidades de seguridad específicas de una
dinámicamente con una latencia de casi cero. organización y ofrecer, al mismo tiempo, un
Los ataques externos de Internet se pueden conjunto sólido de soluciones. En las ofertas de
rechazar al tiempo que se detectan e impiden los seguridad basadas en la nube, el personal de TI
programas maliciosos locales. puede abordar las vulnerabilidades de la red pero,
a cambio, pierde un nivel de personalización en
Respuesta a las amenazas. A diferencia de favor de la velocidad y la escalabilidad.
muchas soluciones in situ, los registros de
sucesos y alertas se pueden filtrar de forma Uso compartido de recursos y errores de
dinámica a través de algoritmos basados en la aislamiento. En un modelo de seguridad basado
nube para obtener una supervisión más detallada en la nube, los clientes comparten los recursos del
y analítica aplicable. proveedor con otros clientes. Los proveedores de la
nube suelen implementar medidas de aislamiento
Enrutamiento del tráfico más flexible. Los para impedir un ataque de “abordaje al sistema
protocolos simplificados de seguridad y túneles anfitrión” o un ataque pívot (en el que un hacker
aprovecha las vulnerabilidades de un sistema
basados en la nube para proteger los datos en
operativo para obtener acceso a otro alojado en
transición se pueden configurar e implementar
el mismo hardware físico), pero siempre existe
entre los sitios remotos y las oficinas centrales el riesgo de que fallen estas medidas. Como los
corporativas con mucha mayor rapidez y sin el servicios en la nube se ofrecen a diversos clientes
coste de las cabeceras de hardware tradicionales. con distintos niveles de riesgo, es fundamental
la segmentación multitenencia (separación de los
Aislamiento de datos. Las empresas pueden aislar recursos del usuario por proveedor de nube).
los datos sensibles, como la información del
titular de la tarjeta, de las aplicaciones de blanco Además, es posible que el proveedor no pueda
frecuente como el correo electrónico. borrar completamente los datos del hardware, ya
que los clientes suelen compartir o reutilizar el
RIESGOS hardware que otros clientes utilizan.
Seguridad comprometida desde dentro. Si no se

Pérdida de control. En un modelo basado en la configuran con cuidado los permisos y roles de
nube, los datos y la información se almacenan usuario, un usuario podría suprimir o modificar
en un proveedor de terceros. Por ello, no es fácil sus datos dentro de la solución en la nube. Por
inspeccionar las prácticas del manejo de datos ejemplo, un empleado nuevo en la solución con
del proveedor. Y, aunque sucede pocas veces, acceso administrativo a la solución en la nube podría
siempre existe la posibilidad de que un empleado suprimir datos importantes mientras intenta conocer
deshonesto del proveedor de la nube comprometa la nueva solución o un empleado malintencionado
los datos. podría comprometer los datos deliberadamente.

Informe / Seguridad
Portabilidad de los datos. Puede resultar difícil, si no imposible,

trasladar datos si necesita cambiar de proveedor en la nube, a
menos que haya un acuerdo previo entre el proveedor y la empresa INCLUSO EMPRESAS
que especifique que la información es propiedad de la empresa.
QUE NO PROCESEN
PAGOS DE TARJETAS
CLAVES PARA EL ÉXITO DE CRÉDITO DEBERÍAN
Maximice y automatice los servicios en la nube con servicios CONSIDERAR LA
de gestión de amenazas. Además de implementar controles
y técnicas de aislamiento, las empresas distribuidas pueden
IMPLEMENTACIÓN
disminuir los costes y la complejidad de la red mediante la DE PCI DSS 3.0
reducción de su infraestructura hasta cierto punto y seguir
utilizando seguridad multicapa en todos los sitios. Los servicios
COMO BASE DE LA
de gestión de amenazas ofrecen una combinación de servicios SEGURIDAD GENERAL.
como protección contra malware, protección de correo electrónico
y antispam, filtrado de contenido, reglas de firewall de capa 3 y 4
MUCHOS ESTÁNDARES
tradicional, VPN y funciones de proxy web. DE SEGURIDAD PCI SE
Muchos de estos sistemas incluyen además seguridad basada
OCUPAN DE RIESGOS
en la nube, escalable y centralizada como oferta de servicio para GENERALES DE LA RED
aumentar y automatizar la inspección del tráfico y proporcionan
controles más estrictos de los sitios con herramientas de
FUERA DEL ÁMBITO
supervisión y personal limitado. DE LA SEGURIDAD DE
Para muchas empresas, el cumplimiento de la normativa es el
DATOS DEL TITULAR
motor principal de los cambios tanto en seguridad como en DE UNA TARJETA.
operaciones de TI en general. Cualquier tecnología o cambio
del diseño interno que pueda limitar o reducir el alcance del
entorno sujeto al cumplimiento puede ahorrar dinero y tiempo. El
aislamiento de sistemas, aplicaciones y segmentos de redes que
gestionan los datos de las tarjetas de pago, por ejemplo, puede
llegar muy lejos en el límite del alcance de las auditorías de las
normas PCI DSS versión 3.0.
Conexiones a Internet seguras
Conexión de red privada virtual
Oficina
central
Establecimiento

Informe / Seguridad
ESTRATEGIAS PARA UNA RED MÁS REDES Y DISPOSITIVOS SEGUROS

SEGURA FÍSICAMENTE
El estándar de seguridad PCI exige que los
APLICAR VISIBILIDAD DE DISPOSITIVOS, LA servidores, el equipo de redes y otros componentes
CLAVE DE TODA ESTRATEGIA DE SEGURIDAD del sistema de tarjetas de pago se mantengan en
una sala cerrada con llave y con control de acceso,
Con muchos dispositivos móviles nuevos uniéndose preferiblemente con un sistema de vídeovigilancia.4
a la red WLAN de la empresa, la visibilidad de las Esto disminuye el riesgo de robo de un dispositivo
aplicaciones móviles se está convirtiendo en un con acceso a la red por parte de un individuo no
aspecto central. Los administradores de la red autorizado. La seguridad física de los dispositivos
necesitan poder identificar, seguir y clasificar todos también impide que los ciberdelincuentes
los dispositivos que acceden a la red. La visibilidad ataquen dispositivos ajenos al router que podrían
de dispositivos proporciona al personal de TI supervisar para robar datos de la red.
inventario e inteligencia de seguridad en tiempo
real para la remediación activa al tiempo que
permite a los usuarios conectarse a la perfección
a la red sin interrupciones ni cambios en la EVALUACIONES PERIÓDICAS DE SEGURIDAD
experiencia del usuario final.
Durante una evaluación de la seguridad, un
Prácticas recomendadas para la aplicación de la asesor profesional “ataca” la red para identificar
visibilidad de dispositivos: y recomendar controles en torno a las debilidades
que encuentre en las arquitecturas de seguridad,
incluidas la seguridad física, la fortaleza de las
++ Utilice diversos criterios para identificar
claves del dispositivo, la configuración de la red y
dispositivos además de las direcciones MAC
las vulnerabilidades del dispositivo del cliente.
e IP (que pueden falsificarse) como Id. de
dispositivos e identificadores del sistema Las pruebas periódicas de penetración de la red o las
que usen convenciones de denominación evaluaciones de la seguridad son obligatorias para
específicas el cumplimiento de las normas PCI. El objetivo es
++ Aproveche al máximo las herramientas probar el acceso desde entornos de baja seguridad
de auditoría y cumplimiento para ofrecer a entornos de alta seguridad. Esta práctica evalúa
si los datos del titular de la tarjeta se han aislado
información adicional sobre riesgos y
de los otros segmentos de la red y comprueba que
vulnerabilidades
no exista conectividad entre las redes dentro del
++ Habilite alertas y acciones de cumplimiento ámbito y fuera del ámbito (redes que contienen
para dispositivos que intenten acceder a los datos de los titulares de las tarjetas y las que
la red no contienen estos datos). Las empresas con
un alto número de prestaciones o componentes
++ Realice auditorías de forma periódica y del sistema solo pueden evaluar una muestra
mantenga las topologías de redes (lógicas y del número total de componentes, aunque la
físicas) actualizadas y precisas muestra debe ser lo suficientemente grande para
ofrecer una garantía razonable de que todas las
++ Utilice un conjunto común de controles de prestaciones o componentes de la empresa se han
seguridad para la gestión de las políticas configurado siguiendo el proceso estándar. El asesor
de seguridad debe comprobar que los controles
++ Establezca prácticas recomendadas de
estandarizados y centralizados se han implementado
seguridad en relación con el control, riesgo y que funcionan de forma eficaz.5 El estándar de
y cumplimiento seguridad PCI recomienda realizar las pruebas de
++ Colabore y comuníquese con los equipos de penetración como mínimo una vez al año.
dentro de la organización de TI

Informe / Seguridad
ENSEÑAR A LOS EMPLEADOS A RECONOCER ATAQUES A

LA RED
LOS FRENTES DE
Desgraciadamente, no hay ningún firewall o programa antivirus AMENAZAS WEB Y DE
capaz de proteger la red a la perfección contra todos los tipos de
programas maliciosos. Por lo tanto, la empresa debe enseñar y CORREO ELECTRÓNICO
aplicar protocolos de seguridad de empleados. En particular, se debe CONSTITUYEN LA
formar a los empleados para que sean capaces de reconocer correos
electrónicos de suplantación de la identidad e informar de ellos. FUENTE DE ATAQUES
DE LA RED MÁS
Los empleados deben conocer las señales comunes de un correo
electrónico de suplantación de la identidad: SIGNIFICATIVA. EN
GENERAL, LOS ATAQUES
++ Se insta al empleado a hacer clic en enlaces, especialmente
en unos que no resultan familiares o que no encajan con la PROCEDENTES DE
dirección web supuesta del origen ACTIVIDADES EN LA
++ Se solicita de manera urgente que se proporcione WEB SON CINCO VECES
información, que se llame a un número de teléfono o que MÁS PROBABLES
se descarguen los archivos adjuntos
QUE LOS ATAQUES DE
++ Mala ortografía o gramática atípica CORREO ELECTRÓNICO.6
TAREAS OBLIGATORIAS EN LA CONFIGURACIÓN

DE LA RED
1. BLOQUEE LOS PUNTOS DE ENTRADA DEL ROUTER
++ Deshabilite Universal Plug & Play. No permita que usuarios

sin privilegios manipulen la configuración de la red.
++ Deshabilite los pings WAN. No permita que los hackers
sondeen las vulnerabilidades de seguridad.
++ Deshabilite la administración remota. No permita que los
intrusos puedan acceder a la interfaz de usuario del router.
++ Utilice filtrado MAC. Cree una lista de dispositivos que
tengan acceso exclusivo o ninguno a la red inalámbrica.
Aunque las direcciones MAC se pueden falsificar, crean una
barrera adicional para el ciberdelincuente.
++ Utilice las reglas de filtrado de IP. Restrinja el acceso
remoto a los sistemas de la red local.
++ No utilice direcciones IP WAN públicas a las que se puede
acceder en la periferia. De ser así, se deja la periferia de la
red abierta a los ataques.

Informe / Seguridad
2. CONFIGURE EL FIREWALL DE LA RED DOS MÉTODOS PARA AUMENTAR LA

PARA CUMPLIMIENTO DE LAS NORMAS PCI SEGURIDAD
Cinco controles para el cumplimiento PCI:
1. CREAR ZONAS DE SEGURIDAD MEDIANTE
++ Stateful Packet Inspection (Inspección LA SEGMENTACIÓN DE RED
superficial de paquetes - SPI). Supervisa el
tráfico saliente y entrante para garantizar La segmentación de red permite dividir la red en
que solo las respuestas válidas a las “zonas de seguridad” o segmentos separados por
solicitudes salientes puedan atravesar el un firewall. Los segmentos configurados de forma
firewall. adecuada separan las aplicaciones e impiden
el acceso a los datos sensibles. Un sistema de
++ Reglas de reenvío de puerto. Abre los punto de venta, por ejemplo, debe operar en un
puertos en el firewall de una manera segmento de la red separado de las aplicaciones
controlada para aplicaciones específicas. de terceros, correo electrónico de los empleados y
WiFi público.
++ Antisuplantación. Comprueba los
paquetes para protegerlos contra usuarios Esto limita la posibilidad de que los
malintencionados que falsifican la dirección ciberdelincuentes pasen de una aplicación a
de origen en los paquetes para ocultarse o otra, y permite que los administradores de
bien suplantar a otra persona. red gestionen la calidad del servicio (QoS) en
segmentos específicos, priorizando el uso del
++ Zona desmilitarizada. Mantiene la mayoría ancho de banda para aplicaciones fundamentales.
de los ordenadores detrás de un firewall, y
uno o varios se ejecutan fuera del firewall, Primeros pasos en la segmentación de red
o en la zona desmilitarizada (DMZ) con
el fin de añadir una capa de seguridad La segmentación de red es un proceso complejo y
adicional a la red de la empresa y que los requiere una supervisión meticulosa y constante.
ciberdelincuentes solo puedan acceder a Esta arquitectura, aunque es altamente segura
los ordenadores de la red dentro de la zona si se configura adecuadamente, puede dar lugar
desmilitarizada. a muchos errores en la configuración. Siga estos
tres pasos para empezar:
++ Firmware actualizado. Además de ser
una práctica de seguridad importante, es ++ Cree grupos de puertos Ethernet. La
necesario que el router y el firmware del agrupación lógica de puertos Ethernet
módem estén actualizados para poder permite la comunicación libre entre los
cumplir las normas PCI. ordenadores conectados físicamente a
los puertos Ethernet dentro de un grupo.
Puede deshabilitar uno o todos los SSID del
Aunque las prácticas mejoradas de implementación, router o incluso toda la radio WiFi.
mantenimiento y aplicación de la seguridad en la
red son estrategias importantes para reducir el ++ Utilice la infraestructura WPA2/Enterprise,
riesgo de violación de datos, recomendamos la RADIUS/TACACS+ y PKI. Esto proporciona
segmentación de la red o, incluso mejor, el uso de un repositorio central para usuarios o
redes paralelas específicas de una aplicación que dispositivos con permiso para acceder a la
garantice que las vulnerabilidades de seguridad de red y utiliza certificados para autenticar el
una aplicación no se puedan comprometer y dar servidor y el dispositivo.
paso a los datos de otras aplicaciones, como los
sistemas de puntos de venta.

Informe / Seguridad
++ Utilice una infraestructura PKI para Cada segmento debe tener su propia
conseguir mayor seguridad. configuración de dirección IP, modo de
enrutamiento, control de acceso e interfaces
++ Utilice autenticación de dos factores para (por ejemplo, SSID WiFi, grupos Ethernet y VLAN).
minimizar el robo de cuentas de usuario En la actualidad no existe ninguna herramienta
que utilizan empresas terceras. que supervise y busque automáticamente
vulnerabilidades dentro de una red segmentada
++ Cree y configure segmentos VLAN. o entre segmentos. Esta supervisión se debe
Una red VLAN permite la agrupación de realizar manualmente. Por esta razón, muchas
dispositivos. Después de crear una red empresas decidirán que el uso de redes paralelas
VLAN, seleccione los puertos LAN o los es una mejor solución, a nivel global, para
grupos Ethernet a los que el Id. de VLAN mantener seguros los datos sensibles.
debe corresponder.
Ilustr. 1. Creación de zonas seguras

mediante segmentación de red
Conexión segura a
Internet
SSID núm. 1 SSID núm. 2 SSID núm. 3 SSID núm. 4

“Empleado” “POS” “Proveedor” “Público”
Segmento Segmento de Segmento Segmento

de empleados dispositivos POS de proveedores público

Informe / Seguridad
2. APROVECHE LA SENCILLEZ DE LAS REDES PARALELAS
A diferencia de la segmentación de una sola red, la creación de varias redes paralelas

es una solución relativamente sencilla. Se asignan diferentes aplicaciones a redes
completamente separadas (“air gap”). Esta separación física de los datos impide que
los ciberdelincuentes puedan utilizar un dispositivo comprometido para acceder a otros
servidores y redes, incluidas las que contienen datos sensibles.
Por ejemplo, la empresa debería considerar alojar la WiFi de clientes, los dispositivos
de los empleados y los sistemas de punto de ventas en sus propias y respectivas redes.
Las empresas con redes paralelas esperan que empresas terceras como proveedores,
socios y kioscos, que necesiten acceso a Internet, traigan su propia red (“Bring Your
Own Network”). Como las empresas terceras traen su propia red paralela, la compañía
puede conservar el control de sus propias funciones de red, y reducir así el alcance
global del trabajo de mantener la seguridad de la red.
Las redes paralelas reducen significativamente la cantidad de tiempo y los

conocimientos necesarios para segmentar redes por aplicaciones, y limitan el alcance
del trabajo de mantenimiento del cumplimiento de las normas PCI en la red que se
utiliza para transmitir los datos de los titulares de las tarjetas.
Sala
de equipos Oficina
Área de clientes central
Sistema de
seguridad
WiFi de empleados
Smartphone del cliente
TI
Trastienda
Punto de venta Kiosco

de terceros
Red de empleados
Ilustr. 2. Redes paralelas administradas por una fuente

Informe / Seguridad
SOLUCIONES DE CRADLEPOINT Diseñado para la seguridad: Las características de

gestión permiten el cumplimiento de la seguridad
y el seguimiento de los dispositivos
DISEÑADAS PARA LA SEGURIDAD EN LA
PERIFERIA DE LA RED Las funciones analíticas y la interfaz de usuario de
Enterprise Cloud Manager ayudan a automatizar
Los dispositivos de router/firewall y el software de configuraciones de seguridad y listas de
gestión basado en la nube de Cradlepoint se han comprobación, como el cumplimiento de la versión 3.0
diseñado para mitigar los riesgos de seguridad y de las normas PCI DSS. Gracias a los servicios de
mantener el cumplimiento de las normas PCI para geovallado y de localización, las empresas pueden
empresas distribuidas que utilizan todos los tipos localizar físicamente y en tiempo real los dispositivos
de arquitecturas de red. Un número creciente de implementados mediante GPS, WiFi e información
empresas se está pasando a las redes paralelas basada en la ubicación. Las empresas pueden recibir
al descubrir que las soluciones 4G de Cradlepoint notificación del momento en que los dispositivos
permiten segmentar la red de forma más sencilla y abandonan su ubicación habitual, reduciendo así el
segura. Además, las redes paralelas suelen reducir riesgo de que los hackers puedan utilizar dispositivos
los costes indirectos de las empresas, incluida la robados para acceder a la red.
necesidad de configuraciones complejas de redes
sometidas al error humano, a auditorías complejas Enterprise Cloud Manager: Una solución alojada
del cumplimiento de las normas PCI y a los valores de forma segura
de la calidad del servicio (QoS) en general de las
aplicaciones específicas de la red. Enterprise Cloud Manager de Cradlepoint se aloja
en un recurso de almacenamiento de terceros
de alto nivel en un servidor seguro de nivel
ENTERPRISE CLOUD MANAGER PARA empresarial que ofrece redundancia de equipo,
alimentación ininterrumpida, varios canales de
CONTROL CENTRALIZADO Internet y servicio de respaldo y restauración.
Los servidores de Enterprise Cloud Manager
Escalabilidad masiva: Supervise y gestione miles presentan seguridad fortalecida, con servicios
de dispositivos implementados de forma remota innecesarios deshabilitados, permisos limitados
y registros supervisados. Los servidores están
Con Enterprise Cloud Manager, la plataforma de sujetos a control de gestión de parches que
aplicaciones y gestión de redes de Cradlepoint, mantiene actualizados los parches de seguridad y
los directivos de TI pueden implementar las versiones del software. Además, los servidores
rápidamente y gestionar de forma dinámica redes y las aplicaciones pasan evaluaciones de
en establecimientos distribuidos geográficamente vulnerabilidades y remediación de forma periódica.
y sucursales. Las soluciones de Cradlepoint se han
habilitado para la nube con el fin de ofrecer una Todas las configuraciones de clientes residen en
implementación rápida, una gestión dinámica y una este recurso físico seguro, con acceso limitado
inteligencia mejorada. Enterprise Cloud Manager solo a usuarios autorizados. Las contraseñas que
ofrece un panel de control fuera de banda que se almacenan dentro de las configuraciones tienen
separa los datos de gestión de la red de los datos de codificaciones Advanced Encryption Standard
usuario. Los datos de gestión (como configuración, (Estándar de codificación avanzada - AES). El
estadísticas y supervisión) se transmiten desde los recurso se supervisa y se registra de forma
dispositivos de Cradlepoint a la nube de Cradlepoint continuada y para acceder a él es necesaria una
mediante una conexión a Internet segura. Los datos autenticación de varios factores.
de usuario (navegación web, aplicaciones internas, Los registros de acceso están disponibles y se
etc.) no pasan por la nube sino que se transmiten pueden auditar.
directamente a su destino en la LAN o en la WAN.

Informe / Seguridad
Ilustr. 3. Enterprise Cloud Manager
Ilustr. 4. Lista de comprobación de cumplimiento PCI de

Enterprise Cloud Manager

Informe / Seguridad
Fácil de gestionar: Software de seguridad

integrado de más alto nivel
Gracias a una API RESTful, Cradlepoint ha

integrado en Enterprise Cloud Manager soluciones
de seguridad basadas en la nube para el
filtrado web y programas contra malware. Estas
soluciones de seguridad permiten al personal de
TI y de seguridad inspeccionar el tráfico web con
una latencia de casi cero.
Conectividad segura para funcionamiento

ininterrumpido
Ilustr. 5: Cradlepoint AER Series: Enrutamiento perimetral
Las soluciones de enrutamiento de CradlePoint se avanzado
han diseñado para que las empresas distribuidas
gestionen de manera inteligente la conectividad
inalámbrica y por cable convergente para obtener
una “experiencia de conexión” muy fiable en la
periferia. La función de red privada de LTE 4G del
router aprovecha la conexión de telefonía móvil
como extensión de la red privada sin que ello
aumente la vulnerabilidad de la red.
Seguridad en la periferia: Características de Ilustr. 6: Cradlepoint COR Series: Aplicaciones y transporte de la

hardware y software ampliables Internet de los objetos
Los dispositivos de Cradlepoint se han diseñado

para cumplir las normas PCI de protección de
activos con un firewall con estado, codificación
avanzada, segmentación de redes y soporte VLAN.
Los dispositivos de Cradlepoint también admiten
soluciones de red privada de solapamiento
independientemente del operador y opciones de
VPN avanzada.
Simplifique la configuración de seguridad con

puertos Ethernet y SSID WiFi que se pueden Ilustr. 7: Cradlepoint ARC Series: Específico de aplicación y
asignar individualmente a segmentos de red conmutación por error
específicos. La funcionalidad de prevención y
detección de intrusos examina los paquetes
en busca de ataques, programas maliciosos Fuentes
y ataques de denegación de servicio que se 1
Fuente: ZK Research Nov 2011
pueden bloquear de acuerdo con una política. 2
Fuente: Verizon 2014 Data Breach Investigations Report
Las aplicaciones se pueden identificar si su 3
4
Verizon 2014 Data Breach Investigation Report
PCI Security Standards Data Storage Dos and Don’ts,
comportamiento indica un ataque informático. https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf
5
PCI Security Standards 3.0, p.15.
6
FireEye Advanced Threat Report 2013
PARA OBTENER MÁS INFORMACIÓN, VISITE
CRADLEPOINT.COM O LLAME AL NÚMERO
DE TELÉFONO +1.855.813.3385.

Es-Mitigar Los Riesgos de Seguridad en La Periferia de La Red Eu-Wp-Mitigating-Risks

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Es-Mitigar Los Riesgos de Seguridad en La Periferia de La Red Eu-Wp-Mitigating-Risks

Transféré par

Droits d'auteur :

Formats disponibles

Informe / Seguridad

Mitigar los riesgos CONTENIDO:

periferia de la red obtener redes más seguras.

EL 85% TARDÓ SEMANAS

Como puerta de enlace a Internet, las empresas

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 2

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 3

ARQUITECTURAS DE RED DE LA EMPRESA LA ARQUITECTURA

Establecimiento Conexiones a Internet no seguras

Red VPN segura

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 4

VENTAJAS CLAVE PARA EL ÉXITO

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 5

VENTAJAS Tiempo de resolución. Para empresas con

Seguridad comprometida desde dentro. Si no se

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 6

Portabilidad de los datos. Puede resultar difícil, si no imposible,

Conexión de red privada virtual

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 7

ESTRATEGIAS PARA UNA RED MÁS REDES Y DISPOSITIVOS SEGUROS

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 8

ENSEÑAR A LOS EMPLEADOS A RECONOCER ATAQUES A

TAREAS OBLIGATORIAS EN LA CONFIGURACIÓN

1. BLOQUEE LOS PUNTOS DE ENTRADA DEL ROUTER

++ Deshabilite Universal Plug & Play. No permita que usuarios

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 9

2. CONFIGURE EL FIREWALL DE LA RED DOS MÉTODOS PARA AUMENTAR LA

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 10

Ilustr. 1. Creación de zonas seguras

SSID núm. 1 SSID núm. 2 SSID núm. 3 SSID núm. 4

Segmento Segmento de Segmento Segmento

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 11

2. APROVECHE LA SENCILLEZ DE LAS REDES PARALELAS

A diferencia de la segmentación de una sola red, la creación de varias redes paralelas

Las redes paralelas reducen significativamente la cantidad de tiempo y los

Punto de venta Kiosco

Ilustr. 2. Redes paralelas administradas por una fuente

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 12

SOLUCIONES DE CRADLEPOINT Diseñado para la seguridad: Las características de

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 13

Ilustr. 3. Enterprise Cloud Manager

Ilustr. 4. Lista de comprobación de cumplimiento PCI de

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 14

Fácil de gestionar: Software de seguridad

Gracias a una API RESTful, Cradlepoint ha

Conectividad segura para funcionamiento

Seguridad en la periferia: Características de Ilustr. 6: Cradlepoint COR Series: Aplicaciones y transporte de la

Los dispositivos de Cradlepoint se han diseñado

Simplifique la configuración de seguridad con

©2015 Cradlepoint. Todos los derechos reservados. | +1.855.813.3385 | cradlepoint.com 15

Vous aimerez peut-être aussi