Seguritecnia 331

SEGURITECNIA 96 Junio 2007 CCTV y Control de Accesos ➠ Trazabilidad e integración con los sistemas de re- porting y paneles de control corporativos. Cual- quier planteamiento nuevo de seguridad que se rea- lice dentro de una organización debe poner la vista en los nuevos retos de trazabilidad, es decir, aunar la información recibida de los sistemas de TI inte- grando la red, la seguridad y la identidad. ferente e independiente, dotando a cada uno de ellos de una pol ítica de red propia, imprescindible para po- der realizar un control del estado final del dispositivo de forma personalizada, aún estando conectados en el mismo puerto físico. Pero la autenticación del usuario o equipo no es sufi- ciente. Cualquier equipo que se conecta a la red puede representar un pel igro para toda la infraestructura de TI si no cumple con los requerimientos de seguri- dad corporativa. Cada organización debe definir lo que considera un Sistema Final de Confianza, es decir, el nivel de vulnerabilidad (en términos de parches insta- lados, presencia de herramientas antivirus/ malware , definiciones de antivirus, aplicaciones en ejecución, etc.) por encima del cual un equipo se considera de “no confianza” y, por tanto, se le restringe el acceso a la red. Monitorización de acciones Por último es imprescindible la monitorización conti- nua de las acciones que están realizando los sistemas finales, la verificación y evaluación permanente del ni- vel de seguridad, y la capacidad de convertir eventos de seguridad en parámetros de trazabilidad, es decir, in- formación útil sobre la localización, identidad del ele- Es muy conveniente que la red sea capaz de autenticar múltiples usuarios o dispositivos conectados a un único puerto” Sin estos requisitos no es posible tener control de acceso a la red. De esta forma, la aproximación de ar- quitectura diverge radicalmente de las soluciones basa- das en aplicaciones puntuales residentes en appliances que se convierten en piezas simples desde el punto de vista de la gestión y la funcionalidad, fuera de los pla- nes de consolidación de red y seguridad de cualquier organización. Por ello, un control de acceso eficaz se basa en tres piezas fundamentales: autenticación, chequeo de siste- mas finales y respuesta dinámica a intrusiones. Autenticación en la red La autenticación en la red es el elemento fundamental. Gracias a ella, la red va a ser capaz de detectar dónde, cuándo y cómo los sistemas finales están accediendo, verificando la identidad de los dispositivos que se in- tentan conectar. Así se podrá conf igurar de forma dinámica, en el punto donde se están presentando las credenciales de autenticación, un entorno de red adaptado a la identi- dad del dispositivo. En este punto y a través de una po- lítica personalizada, se controlará el nivel de acceso y la forma de tratar el tráfico de dicho dispositivo en fun- ción de su identidad y su estado. Es muy conveniente que la red sea capaz de autenticar múltiples usuarios o dispositivos conectados a un único puerto, ya que cada vez más nos encontramos con redes que incluyen tele- fonía IP, en las que el teléfono IP y el usuario están co- nectados al mismo puerto físico. De esta forma, cada uno de los dispositivos será iden- tificado en el control de acceso como un dispositivo di- La capacidad de conectar más de un dispositivo diferente a un puerto permite corregir la amenaza actuando sobre la política del sistema final que está creando la inseguridad operativa” mento IP que está produciendo la amenaza y correc- ción automática de la amenaza allí donde se encuentre físicamente el dispositivo. La capacidad de conectar más de un dispositivo di- ferente a un puerto permite corregir la amenaza ac- tuando sobre la pol ít ica del sistema f inal que está creando la inseguridad operativa en la organización y no sobre el puerto físico donde está conectado. De esta forma, si tuviéramos un puerto al que está conectado simultáneamente un teléfono IP y un PC, podríamos poner en cuarentena al PC, sin afectar al tráfico de te- lefonía.