Mejore la ciberseguridad de su empresa con segmentación de red

Una red abierta y sin segmentación es un regalo para los invasores. Al usar la segmentación de red, puede restringir el acceso y limitar los posibles daños causados por ataques cibernéticos.

Por Josh Kass, gerente de Productos de Seguridad de Red e Inalámbricos, Rockwell Automation

Siempre que un invasor encuentra un punto de entrada vulnerable en la red, se siente como un "niño en una tienda de juguetes", puesto que puede tener acceso fácil a una gran parte de esa red y, potencialmente, a cualquier dispositivo conectado a ella –desde diseños o recetas de productos, hasta controles de máquinas e, incluso, las finanzas de la empresa.

Y no son solamente las amenazas externas las que representan un riesgo en una red no segmentada. Las amenazas internas, derivadas de un empleado insatisfecho o de un error humano que ocasionó, por ejemplo, una alteración incorrecta en el sistema, también pueden causar estragos cuando no hay límites de red o limitaciones de acceso.

Es por eso que la segmentación de red debe formar parte de la estrategia de seguridad industrial de todas las empresas.

La segmentación separa la red de su empresa en varias redes menores y permite establecer zonas de confianza. Esto puede ayudar a limitar el acceso contra amenazas externas a la seguridad y a contener cualquier daño causado por ellas.

Asimismo, puede ayudar a proporcionar acceso solo a los datos, activos o aplicaciones que los empleados y socios de negocios de hecho necesiten.

Las LAN o VLAN virtuales se asocian más comúnmente a la segmentación de la red. Estas redes son dominios de transmisión que existen dentro de una red conmutada. Estas permiten que usted segmente su red de forma lógica –por función, aplicación u organización–, en vez de físicamente.

Las VLAN pueden proteger dispositivos y datos de dos formas. La primera consiste en bloquear dispositivos en determinadas VLAN e impedir que se comuniquen con dispositivos en otras VLAN. La segunda, usar un conmutador o router de capa 3, con funciones de seguridad y de filtrado, para ayudar a proteger las comunicaciones de los dispositivos que conversan entre sí a través de las VLAN. 

Sin embargo, aunque las VLAN sean una parte importante de la segmentación, son apenas una de las soluciones. Usted debe usar, también, otros métodos de segmentación, en diferentes niveles de su arquitectura de red.

Un ejemplo de ello es el uso de una zona desmilitarizada industrial (IDMZ). Esta crea una barrera entre las zonas corporativa y de fabricación o industrial. Todo el tráfico entre las dos zonas finaliza en esa barrera, lo que permite, además, que los datos sean compartidos de forma segura.

Otros métodos de segmentación a ser considerados incluyen listas de control de acceso (ACL), firewalls, redes virtuales privadas (VPN), limitadores de tráfico unidireccionales y servicios de protección y detección de invasión (IPS/IDS).

Al implementar la segmentación de red, considere cómo se aplicará en la organización como un todo. 

Algunas empresas crean firewalls desarrollados para fines específicos en cada instalación. Sin embargo, eso puede generar "islas" de seguridad. Diferentes locaciones tendrán firewalls distintos, lo que dificulta la implementación coherente o gestión centralizada.

Es también importante pensar en la segmentación teniendo en cuenta las necesidades de su empresa a largo plazo.

Las soluciones de seguridad desarrolladas con un propósito específico son, en general, rígidas. Estas pueden atender las necesidades de su empresa hoy, pero, no son flexibles ni pueden evolucionar con sus negocios para atender las necesidades futuras de la operación o las necesidades de seguridad. Las soluciones que se desarrollan para fines específicos también tienden a depender del conocimiento específico de un pequeño número de profesionales, quienes, al salir de la empresa, pueden llevarse consigo conocimientos vitales de seguridad o de mantenimiento.

Las soluciones utilizadas para implementar la segmentación de red deben ser lo suficientemente flexibles para que crezcan junto con sus operaciones. Además, deben estar estandarizadas de forma que los profesionales responsables de la red puedan utilizarlas y hacer el mantenimiento en cualquier instalación.

La segmentación de redes es un concepto de TI bien conocido, pero todavía no se ha establecido totalmente en el mundo industrial. Las industrias que ya comenzaron a implementar la segmentación están descubriendo los desafíos que surgen al aplicarla en una empresa totalmente conectada, así como al gestionar datos segmentados y escalonar su crecimiento para seguir el aumento de las operaciones de producción.

Si está inseguro sobre por dónde debe comenzar o cuál método de segmentación debe implementar, existen recursos disponibles de forma gratuita que lo pueden ayudar. 

Las guías de diseño de CPwE (Converged Plantwide Ethernet) son un buen comienzo. Asimismo, las guías sobre temas como zonas desmilitarizadas industriales (IDMZ), firewalls industriales y consideraciones sobre redes pueden ayudarlo a implementar la segmentación usando las tecnologías más recientes y las mejores prácticas del sector.

Estas guías se desarrollan y prueban en conjunto con Rockwell Automation y Cisco^® y forman una base para otros productos y servicios, a fin de ayudarlo a segmentar y proteger la red de su empresa.