Blog

El perímetro de red y dos enfoques de seguridad antagónicos

El perímetro de sistemas y redes ha sido desde hace años el lugar donde se han librado las grandes batallas de seguridad TIC. Durante décadas, los equipos y sistemas de red se han situado detrás de un firewall y en esa frontera se han desplegado las baterías de defensa. Sin embargo, la evolución de estas prácticas ha llevado a cuestionar esta zona de seguridad como el lugar más idóneo para plantar cara a los ataques. Es lo que se conoce como estrategia del castillo. Sin embargo, con el advenimiento de los servicios web, la conectividad ubicua y el teletrabajo, se comienza a cuestionar el planteamiento.

Así, han surgido expertos que proponen sustituir este modelo clásico de defensa por otro que se olvide de estos escudos genéricos alrededor de los sistemas y que apueste por una defensa escalonada y en múltiples niveles, a las que se asigna distintas técnicas de encriptación y autenticación dinámica, en función de la relevancia de los datos.

Por eso, se habla de un concepto que se puede traducir (sin permiso de la RAE) como desperimetrización, o sustituir las defensas de estas fronteras. Esta idea, fue formulada por primera vez por Paul Simmonds, miembro del Jericho Forum, un grupo sin ánimo de lucro dedicado al “desarrollo de estándares abiertos para favorecer el intercambio de información segura y sin fronteras entre las organizaciones”, como reza su razón de ser.

Ya en 2004, Simmonds previó que una estrategia de seguridad perimetral reforzada sería imposible de mantener y, por eso, estaba en total desacuerdo con el desarrollo y expansión del modelo de negocio ágil.

En los primeros días de Internet, un administrador de red tardaba de uno a seis meses en poner en marcha una nueva sucursal u oficina en funcionamiento. Para ello, debía diseñar una extensión de la red de área amplia corporativa (WAN), negociar contratos con proveedores de servicios de telecomunicaciones e Internet (ISP), instalar una red de área local (LAN), configurar una red privada virtual (VPN) e instalar teléfonos y ordenadores de escritorio. Todo un despliegue.

En cambio, un modelo desperimetrado permite al mismo administrador hoy simplemente tener que conectar PCs de escritorio y teléfonos VoIP, a Internet. Este enfoque sigue el principio del privilegio mínimo (PoLP); es decir, los usuarios reciben autorización para acceder a partes concretas de los datos cifrados, dentro de la red de la empresa, en función de sus necesidades.

Este modelo además está estrechamente alineado con el principio de “confianza cero”. Articulado por primera vez en 2010 por John Kindervag, entonces analista principal de Forrester Research, este modelo de seguridad está basado en el control más estricto de cualquier interacción.

Esto da lugar una arquitectura de red que retiene el acceso hasta que el usuario, dispositivo, o incluso un paquete de datos concreto, hayan sido inspeccionados a fondo, y autenticados todos ellos. Se trata de otra forma de afrontar la seguridad que no todo el mundo comparte y que plantea cuellos de botella y retrasos en muchos casos no asumibles, pero que también encuentra seguidores que la están impulsando en diferentes circunstancias.