Estrategias de Seguridad: Segmentación de Redes

Switch_industrial_stratix

Recientemente hablamos en nuestro blog sobre la naturaleza de las amenazas de seguridad en las industrias, y comenzamos a analizar los pasos de una estrategia de seguridad completa, partiendo con el inventario de activos. Como ninguna medida existe en un contexto aislado, hoy continuamos nuestro recorrido dando una mirada a otra estrategia de seguridad: la Segmentación de Redes.

¿Qué es la Segmentación de Redes?

La segmentación es una forma de organizar la arquitectura de una red, en la cual es dividida en componentes más pequeños o subredes con diferentes niveles de accesibilidad y conexión, establecidos según los criterios determinados por una administración centralizada que tiene la habilidad de monitorear el tráfico y el acceso en los distintos niveles/segmentos.

Además de poder gestionar de forma más efectiva el acceso de usuarios, la segmentación permite, por un lado, contener las intrusiones a un espacio limitado protegiendo al resto de elementos más sensibles del ataque, y por otro, evitar la expansión de fallos que puedan afectar equipos o procesos importantes ligados a la producción, con las repercusiones económicas que esto puede traer, o incluso el peligro que puede representar sobre los operadores.

En su sitio dedicado a segmentación de redes, nuestro partner Cisco describe la segmentación con un ejemplo práctico: imaginemos un banco con numerosas sucursales. La política de seguridad del banco está diseñada para impedir que los empleados de las sucursales accedan a los reportes financieros de la oficina central. La segmentación de redes divide cada área y evita que las personas no autorizadas accedan a la información financiera, liberando dicho segmento de la red de tráfico no deseado, y potencialmente peligroso, y mejorando su rendimiento, limitando el acceso a solo las personas que necesitan utilizarla.

Por usar un ejemplo más visual, pensemos en un submarino dividido en distintos compartimentos. En caso de un incidente donde comienza a entrar agua, el submarino tiene la capacidad de contener la falla a un solo espacio bien delimitado, protegiendo el resto de la infraestructura de fallos y salvaguardando a los marinos.

Beneficios de seguridad en redes que aporta la segmentación

Considerando que el enfoque es el de ciberseguridad, el primer beneficio a destacar es que, efectivamente, la segmentación de redes contribuye a la seguridad de las  instalaciones al limitar el espacio de acción de un ataque y mitigando el nivel de daño que puede causar. Igualmente, segmentar la red permite dar particular énfasis a la protección de los activos más vitales, limitando su tráfico a las funciones propias que contribuyen a su mejor desempeño.

En el rubro de atención especial, otro beneficio de la segmentación es que permite agrupar los componentes de redes que realizan tareas que deben cumplir con estándares de seguridad u operacionales ajustados a normativas, reduciendo el costo y alcance de las medidas que se deben tomar para cumplirlas, como puede ser el caso de sistemas que manejan información confidencial.

Por otro lado, y como mencionamos antes, la organización del tráfico en espacios limitados a las tareas y funciones propias de cada usuario mejora el rendimiento general de cada subcomponente de la red, liberándola de tráfico no deseado que puede ralentizar el flujo de datos.

Implementando la Segmentación de Redes

Hay dos formas de implementar un proceso de segmentación de redes, a nivel físico o a nivel lógico. Como se deduce de su nombre, la segmentación física se realiza a través de dispositivos como firewalls (físicos o virtuales) que divide la red en subredes y controlan el tráfico de entrada y salida a cada uno de estos elementos. Una de las ventajas de este sistema es que es más sencillo acoplarlo a la arquitectura de la red existente, dejando a criterio del administrador qué parámetros elegir para subdividir la red.

La segmentación lógica puede crear subredes a través de dos métodos: Redes de Área Locales Virtuales o esquemas de direccionamiento de red. En el caso más simple de las VLAN, es una etiqueta la que redirige el tráfico hacia la red correcta, mientras que los redireccionamientos, la creación de un identificador único para cada dispositivo de la red, requieren algo más de desarrollo. En cualquier caso, las segmentaciones lógicas tienen la ventaja de no requerir instalación de equipos adicionales y de poder integrar automatización que facilite la configuración de las redes.

Mejores prácticas de seguridad para Segmentación de Redes

Según la empresa de seguridad, Packetlabs, entre las mejores prácticas asociada a la segmentación de redes se incluyen:

  • Restringir el acceso de terceros creando puntos de acceso para ellos, y de esta forma limitar los problemas en caso que la seguridad de los terceros sea vulnerada.
  • Combinar recursos de red similares en bases de datos individuales ayuda a los administradores a implementar políticas de seguridad más de forma más sencilla.
  • Restringir el tráfico con controles de acceso granulares, brindando solo el acceso mínimo requerido a cada espacio para completar una tarea.
  • Auditoría constante de las redes para identificar posibles debilidades en el sistema.
  • Monitoreo de la actividad entre las redes internas y externas, identificando patrones de tráfico inusuales que alerten sobre actividades inusuales.

PRECISION es redes

Nuestra labor en PRECISION es brindarte las herramientas más efectivas para afrontar los retos de tu industria. Productos como ISA3000 o Cisco Identity Service Engine te ofrecen soluciones de infraestructura y software para la mejor protección de los distintos segmentos de tu red industrial, creando un sistema más seguro y robusto.

Visita nuestra página web o suscríbete a nuestro blog para conocer más sobre nuestros productos, soluciones y servicios. 

¡No te pierdas nada!
Suscríbete a nuestro blog y mantente al día sobre nuestros productos, soluciones y servicios.