Unidad Editorial: gestión del acceso de los dispositivos de
Transcripción
Unidad Editorial: gestión del acceso de los dispositivos de
P R O Y E C T O S Unidad Editorial: gestión del acceso de los dispositivos de los usuarios a la red Unidad Editorial es un grupo multimedia líder en el sector de la comunicación global en España.Prácticamente todas las cabeceras de Unidad Editorial son punteras en sus ámbitos informativos, destacando medios como El Mundo, Marca, Expansión, Telva o Radio Marca. Dispone de casi medio centenar de medios de difusión, capaces de proporcionar información y entretenimiento a miles de hogares de todo el planeta, gracias al aprovechamiento de las nuevas tecnologías de la información. Dado el carácter de la organización y el sector en el que se encuentra, se da la situación de tener que proteger un entorno muy heterogéneo que hay que gestionar. Mario Trotta Moreu Esto se ve reflejado también en la casuística asociada a los perfiles de las distintas personas que trabajan para los medios, que es muy variada. Así nos podemos encontrar redactores de base, trabajadores administrativos, técnicos, diseñadores, colaboradores, consultores, corresponsales destacados en el extranjero, enviados especiales, fotógrafos, etc. Todo esto complica la gestión de activos de información de la compañía y el acceso a los mismos, por lo que es imprescindible contar con una herramienta que permita gestionar el acceso de los dispositivos de los usuarios a la red de una manera dinámica, intuitiva, sencilla y a la vez lo suficientemente potente para proteger sus entornos de trabajo. ¿Por qué ForeScoutCounterACT? Factum IT, con la ayuda de Ingecom, proveedores de servicios de seguridad de Unidad Editorial, recomendaron la utilización del producto CounterACT y ayudaron a su adquisición, configuración y formación del personal. En Unidad Editorial ya se habían evaluado otras soluciones más tradicionales, pero con ésta, en primer lugar vimos que su implantación era extremadamente sencilla ya que no Conclusiones Objetivo Probablemente el punto más importante a tener en cuenta en el gobierno de la seguridad es tener una visibilidad completa de los activos a proteger. “No podemos proteger lo que no podemos ver” es un axioma en materia de seguridad de la información que siempre se debe cumplir. El primer objetivo por tanto es conocer qué dispositivos autorizados y no autorizados se están conectando a nuestra red. Otros objetivos fundamentales y derivados del primero también deben cumplirse de manera adecuada: saber qué software están ejecutando esos equipos y si está autorizado o no. El último punto mínimo a cubrir sería saber si los dispositivos autorizados están correctamente configurados de acuerdo al estándar de la compañía. Una vez que los dispositivos se encuentran identificados, podremos admitirlos en alguna red de producción, remediar una configuración no aceptada, restringir el acceso a determinados activos de información, cambiarlos de red o directamente deshabilitarlos. 54 Una vez puesto en marcha el appliance, se realiza la detección en tiempo real de equipos y permite tomar acciones incluso con los no gestionados. Realiza un inventario muy completo, que incluye además de los propios dispositivos, sus aplicaciones, servicios, usuarios, periféricos conectados y vulnerabilidades. Sobre este catálogo se realizará toda la gestión. En base a lo detectado, se configuran políticas sencillas de construir y que dan resultados de manera instantánea. Servirán tanto para hacer clasificaciones especiales como para llevar acciones de control y remediación. Pueden utilizarse una serie de combinaciones software/hardware de los equipos para establecer si se cumple con la política establecida por la empresa. En tiempo real se estará haciendo una detección de cambios en el software o en el dispositivo, que nos llevarán a la aplicación de medidas en caso necesario. Estas medidas pueden ser alertas, acciones de bloqueo, cambios en la asignación de Vlanes e incluso podemos interactuar con el sistema operativo finalizando procesos o ejecutando scripts. También dispone de un portal de gestión de invitados, donde podrán hacer un registro que les de acceso a la red de la compañía evitando los tediosos procesos de autorización más tradicionales. Una de las funciones que destacan en este producto es la capacidad de protección ante amenazas de red con un sistema llamado ActiveResponse. Es capaz de analizar el tráfico que está fluyendo por la red, identificando actividad anómala o maliciosa, como puede ser la detección de gusanos de red. El sistema podrá actuar según lo definamos en las políticas como un IPS, bloqueando el tráfico no permitido. necesita la implementación de 802.1X para todos los dispositivos de la organización, ni obliga a la instalación de agentes. Permite que una vez conectado el equipo y realizada la configuración inicial se empiece automáticamente la detección y clasificación de los distintos sistemas encontrados. Otro punto muy importante para Unidad Editorial era no interferir con las tareas de producción diaria, por lo que su configuración en modo fuera de banda es la ideal. Posibilita realizar el proyecto en distintas fases; inicialmente el equipo puede estar monitorizando lo que va encontrando en la red, sin llevar a cabo ninguna restricción ni cambio. Posteriormente se pueden ajustar las tareas automatizadas de remediación y bloqueo de acceso de manera paulatina. Muchas de las características deseadas vienen implementadas por defecto en la solución, como por ejemplo la identificación automática de dispositivos, políticas básicas e informes. La solución NAC ForeScout CounterACT es cualitativamente distinta a lo que suelen aportar fabricantes más tradicionales, ya que tiene ventajas que comienzan en el diseño de la arquitectura, que aporta grandes beneficios en las fases de despliegue e implementación. La visibilidad que proporciona, cubre con creces los objetivos establecidos para el proyecto, aportando un control en tiempo real de los dispositivos autorizados y no autorizados conectados a la red corporativa, incluyendo su software y configuraciones. El sistema proporciona un catálogo muy variado de acciones a realizar sobre los sistemas que no cumplan las políticas que permiten la adaptación a un entorno muy cambiante y heterogéneo. La elección de la solución ha sido un acierto para Unidad Editorial, porque ha permitido un despliegue muy rápido de la solución con resultados inmediatos en la protección de activos de la compañía, a la vez que se ha conseguido una gran eficiencia con la reducción del coste de operaciones y un apoyo importante a los procesos de soporte. Mario Trotta Moreu Responsable de Seguridad Informática GRUPO UNIDAD EDITORIAL NOVIEMBRE 2012 / Nº102 / SiC