Unidad Editorial: gestión del acceso de los dispositivos de

Unidad Editorial: gestión del acceso de los dispositivos de

P R O Y E C T O S
Unidad Editorial: gestión
del acceso de los dispositivos
de los usuarios a la red
Unidad Editorial es un grupo multimedia líder en el sector de la comunicación global
en España.Prácticamente todas las cabeceras de Unidad Editorial son punteras en
sus ámbitos informativos, destacando medios como El Mundo, Marca, Expansión,
Telva o Radio Marca. Dispone de casi medio centenar de medios de difusión, capaces de proporcionar información y entretenimiento a miles de hogares de todo el
planeta, gracias al aprovechamiento de las nuevas tecnologías de
la información. Dado el carácter de la organización y el sector en
el que se encuentra, se da la situación de tener que proteger un
entorno muy heterogéneo que hay que gestionar.
Mario Trotta Moreu
Esto se ve reflejado también en la casuística
asociada a los perfiles de las distintas personas
que trabajan para los medios, que es muy variada.
Así nos podemos encontrar redactores de base,
trabajadores administrativos, técnicos, diseñadores, colaboradores, consultores, corresponsales
destacados en el extranjero, enviados especiales,
fotógrafos, etc.
Todo esto complica la gestión de activos de
información de la compañía y el acceso a los mismos, por lo que es imprescindible contar con una
herramienta que permita gestionar el acceso de
los dispositivos de los usuarios a la
red de una manera dinámica, intuitiva,
sencilla y a la vez lo suficientemente
potente para proteger sus entornos
de trabajo.
¿Por qué ForeScoutCounterACT?
Factum IT, con la ayuda de Ingecom, proveedores de servicios de seguridad de Unidad
Editorial, recomendaron la utilización del producto
CounterACT y ayudaron a su adquisición, configuración y formación del personal.
En Unidad Editorial ya se habían evaluado otras
soluciones más tradicionales, pero con ésta, en
primer lugar vimos que su
implantación era extremadamente sencilla ya que no
Conclusiones
Objetivo
Probablemente el punto más
importante a tener en cuenta en el
gobierno de la seguridad es tener una
visibilidad completa de los activos a
proteger. “No podemos proteger lo que no podemos
ver” es un axioma en materia de seguridad de la
información que siempre se debe cumplir.
El primer objetivo por tanto es conocer qué
dispositivos autorizados y no autorizados se
están conectando a nuestra red. Otros objetivos
fundamentales y derivados del primero también
deben cumplirse de manera adecuada: saber qué
software están ejecutando esos equipos y si está
autorizado o no. El último punto mínimo a cubrir
sería saber si los dispositivos autorizados están
correctamente configurados de acuerdo al estándar
de la compañía.
Una vez que los dispositivos se encuentran
identificados, podremos admitirlos en alguna red de
producción, remediar una configuración no aceptada, restringir el acceso a determinados activos
de información, cambiarlos de red o directamente
deshabilitarlos.
54
Una vez puesto en marcha el appliance, se
realiza la detección en tiempo real de equipos
y permite tomar acciones incluso con los no
gestionados. Realiza un inventario muy completo,
que incluye además de los propios dispositivos,
sus aplicaciones, servicios, usuarios, periféricos
conectados y vulnerabilidades. Sobre este catálogo se realizará toda la gestión.
En base a lo detectado, se configuran políticas
sencillas de construir y que dan resultados de
manera instantánea. Servirán tanto para hacer
clasificaciones especiales como para llevar
acciones de control y remediación.
Pueden utilizarse una serie de combinaciones
software/hardware de los equipos para establecer si
se cumple con la política establecida por la empresa.
En tiempo real se estará haciendo una detección de
cambios en el software o en el dispositivo, que nos
llevarán a la aplicación de medidas en caso necesario. Estas medidas pueden ser alertas, acciones
de bloqueo, cambios en la asignación de Vlanes e
incluso podemos interactuar con el sistema operativo
finalizando procesos o ejecutando scripts.
También dispone de un portal de gestión de
invitados, donde podrán hacer un registro que les de
acceso a la red de la compañía evitando los tediosos
procesos de autorización más tradicionales.
Una de las funciones que destacan en este
producto es la capacidad de protección ante
amenazas de red con un sistema llamado ActiveResponse. Es capaz de analizar el tráfico que
está fluyendo por la red, identificando actividad
anómala o maliciosa, como puede ser la detección de gusanos de red. El sistema podrá actuar
según lo definamos en las políticas como un IPS,
bloqueando el tráfico no permitido.
necesita la implementación de 802.1X para todos los
dispositivos de la organización, ni obliga a la instalación de agentes. Permite que una vez conectado el
equipo y realizada la configuración inicial se empiece
automáticamente la detección y clasificación de los
distintos sistemas encontrados.
Otro punto muy importante para Unidad Editorial era no interferir con las tareas de producción
diaria, por lo que su configuración en modo fuera
de banda es la ideal. Posibilita realizar el proyecto
en distintas fases; inicialmente el equipo puede estar
monitorizando lo que va encontrando en la red, sin
llevar a cabo ninguna restricción ni cambio. Posteriormente se pueden ajustar las tareas automatizadas
de remediación y bloqueo de acceso de manera
paulatina. Muchas de las características deseadas
vienen implementadas por defecto en la solución,
como por ejemplo la identificación automática de
dispositivos, políticas básicas e informes.
La solución NAC ForeScout CounterACT es
cualitativamente distinta a lo que suelen aportar
fabricantes más tradicionales, ya que tiene ventajas que comienzan en el diseño de la arquitectura,
que aporta grandes beneficios en las fases de
despliegue e implementación. La visibilidad que
proporciona, cubre con creces los objetivos establecidos para el proyecto, aportando un control
en tiempo real de los dispositivos autorizados y
no autorizados conectados a la red corporativa,
incluyendo su software y configuraciones.
El sistema proporciona un catálogo muy variado de acciones a realizar sobre los sistemas que no
cumplan las políticas que permiten la adaptación a
un entorno muy cambiante y heterogéneo. La elección de la solución ha sido un acierto para Unidad
Editorial, porque ha permitido un despliegue muy
rápido de la solución con resultados inmediatos
en la protección de activos de la compañía, a la
vez que se ha conseguido una gran eficiencia con
la reducción del coste de operaciones y un apoyo
importante a los procesos de soporte. 
Mario Trotta Moreu
Responsable de Seguridad Informática
GRUPO UNIDAD EDITORIAL
NOVIEMBRE 2012 / Nº102 /
SiC