Bienvenidos de nuevo a la Serie de Arquitectura de Ciberseguridad. En los videos anteriores, hablé sobre los fundamentos de la ciberseguridad. Y en el último video, comenzamos una serie de siete partes sobre los diferentes dominios de la ciberseguridad. En particular, la última vez hablamos sobre la gestión de identidad y acceso, que mencioné que es el nuevo perímetro. Bueno, todas esas cosas, por ejemplo, la autenticación multifactorial que hacemos en el espacio de IAM, depende de que tengamos una plataforma confiable de la que proviene. No importará cuán fuerte sea la biometría, si proviene de un dispositivo con jailbreak. Entonces, necesito poder asegurarlo para asegurarme de que ese punto final sea seguro y confiable. Así que hoy vamos a hablar sobre la seguridad de puntos finales. Primero, ¿qué es un punto final? ¿Qué quiero decir con eso? Bueno, implica muchas cosas diferentes, como se ve aquí. Por ejemplo, desde una perspectiva de hardware, implica diferentes plataformas. Podría ser un servidor, aunque muchas veces las personas lo omiten y asumen que eso es algo que se encarga el grupo de servidores. Bueno, puede ser, pero de hecho, quiero pensar en esto en términos mucho más holísticos. Quiero ver el servidor como una plataforma informática, el sistema de escritorio de alguien, un sistema portátil que tiene un dispositivo móvil. Y de hecho, también debemos considerar IoT, es decir, el Internet de las cosas. Todo eso que ahora está adquiriendo capacidades informáticas incorporadas que antes no consideraríamos un dispositivo informático. Aquí lo representamos como una cámara, pero podría ser muchas otras cosas. Podrían ser electrodomésticos, por ejemplo. Entonces, todos estos son las plataformas de hardware que de hecho están en nuestros sistemas; están en nuestras redes y, en algunos casos, estamos ingresando a la red corporativa desde ellos. Otra cosa a considerar. Mientras a lo largo de este eje, tenemos diferentes plataformas de hardware variables, tenemos también este tipo de continua entre el uso empresarial de estos dispositivos y el uso personal. Y de hecho, les diré que hay algunas personas que tienen servidores en sus hogares y hay muchas personas, por supuesto, que tienen dispositivos móviles que usan para trabajar, para los negocios. Entonces, la idea de que hay una distinción entre lo empresarial y lo personal, diría que eso es en gran medida una ficción en la actualidad. Las personas están usando todos estos dispositivos en todos los casos. Y nuevamente, los electrodomésticos del hogar en la red doméstica, que luego se conecta a la red corporativa. Entonces, todos estos son parte del alcance que debemos considerar como arquitectos. Me gusta este término «holístico». Quiero seguir manteniendo una visión holística y considerar todos los puntos finales que existen. Porque de hecho, lo otro que cada uno de estos está haciendo es contribuir a nuestra superficie de ataque. Este tipo malo, cada una de estas plataformas representa otra forma en que él puede ingresar y potencialmente atacarnos. Cada una de estas tendrá diferentes vulnerabilidades, y algunas de ellas, como estos dispositivos, tal vez los controlamos y dejamos que los niños jueguen con ellos. A este tipo le encantará eso. Hace que sea aún más fácil para él atacar el crecimiento del perímetro. El crecimiento de la superficie de ataque está creando muchos desafíos para nosotros. Y esto lo estoy analizando estrictamente desde un punto de vista de hardware. También hay una vista de software de todo esto, y eso es a través de estos diferentes dispositivos. Tengo muchos sistemas operativos diferentes con los que lidiar. Tenemos Windows, MacOS, Linux, Unix, tenemos mainframes, tenemos dispositivos móviles, tenemos todo tipo de otros y algunos de estos dispositivos IoT, ¿quién sabe qué tipo de sistema operativo se ejecuta en ellos? Cada uno de ellos crea más complejidad. Y más complejidad, recuerda, la complejidad es el enemigo de la seguridad. Todo este desorden de los puntos finales es la razón por la cual necesitamos controles. Okay, acabo de hablar de qué es un punto final. Ahora vamos a hablar sobre qué controles de seguridad necesitamos implementar en esos puntos finales para hacerlos seguros. Entonces, hablemos de los sistemas de gestión de puntos finales y cómo operamos estas cosas. La práctica típica es que tenemos a esta persona aquí que inicia sesión en una consola que luego gestiona los servidores. En un mundo perfecto, al menos tenemos todos los servidores gestionados juntos. En muchos casos eso ni siquiera ocurre. Luego tenemos otro administrador que inicia sesión en un sistema diferente para gestionar todos los equipos de escritorio y portátiles. A veces, se ejecutan diferentes sistemas operativos y, por lo tanto, diferentes herramientas, etc. ¡Otro más! Luego tenemos otro administrador aquí que utiliza su sistema de gestión de dispositivos móviles para lidiar con los teléfonos móviles, tabletas, etc. Y cuando se trata de IoT, bueno, en la mayoría de los casos no tenemos nada. Por lo tanto, no hay nada aquí gestionándolos en absoluto, lo cual es todo un problema en sí mismo. Pero pueden ver lo que ha sucedido aquí. Tenemos múltiples administradores gestionando diferentes tipos de cosas. Y lo bueno es que al menos son expertos en esos dominios particulares. Pero no es la forma más eficiente y no es la forma más sencilla. Y nuevamente, la complejidad es el enemigo de la seguridad. Si quiero implementar una sola política de seguridad en todos estos dispositivos, con algunos cambios aquí y allá, pero entiendes la idea, me gustaría poder hacerlo desde una sola consola. Podría tener lógicamente a un administrador que haga esto en todas estas diferentes plataformas para poder implementar políticas y parches que luego se implementen en toda la infraestructura y recibir información y alertas sobre todos estos sistemas diferentes en una consola. Es mucho más eficiente. No necesito necesariamente tanta experiencia en un dominio porque tengo todo esto en un solo sistema y tengo la capacidad de controlarlo todo. La visibilidad y el control son fundamentales para la seguridad. Si puedo hacer ambas cosas, entonces tengo alguna posibilidad. Por lo tanto, esta sería la mejor práctica, integrar todo esto en un Sistema de Gestión de Seguridad de Puntos Finales holístico, como mencioné en la sección anterior. Ahora he hablado de políticas. ¿Qué podrían ser estas políticas? ¿Cuáles son las cosas que estoy tratando de hacer cumplir aquí? Echemos un vistazo a algunos de esos controles. Por una parte, me gustaría que el sistema pueda consultar aquí y decirme cuáles son todos los diferentes sistemas que tengo. Puede que conozca todos ellos. Tal vez no. Me gustaría poder descubrir los que no conozco y los que sí. Me gustaría saber cuál es el nivel de hardware, cuál es el nivel de software de estos. De hecho, muchas organizaciones tendrán una política de seguridad particular, que es esta siguiente parte que dicta qué tipos de hardware y software permitiremos en la organización en los sistemas de TI. Por ejemplo, una de las cosas que podría decir es que para los niveles de software, voy a permitir la versión actual N y la versión N menos uno. En otras palabras, la versión actual del paquete de software aceptado y tal vez una versión anterior, pero dos versiones anteriores no. Es posible que te falten muchas actualizaciones de seguridad y necesitamos que las instales. Entonces te vamos a desconectar de los datos sensibles porque ahora tienes un sistema demasiado antiguo para que podamos protegerlo. Esa es una política de seguridad típica que podríamos hacer cumplir. Otras cosas que podríamos hacer cumplir serían políticas de contraseñas. Así que diré que en estos dispositivos necesitas una contraseña de cierta longitud, fortaleza, fecha de vencimiento, etc. Es una manera de controlarlo en muchos sistemas diferentes. Ya mencioné el parcheo. Los sistemas solo son tan buenos como el software más reciente. Y si tienen software antiguo nuevamente, desde una perspectiva del sistema operativo, podría ser la versión N menos uno, pero otras cosas podrían ser que acabamos de lanzar un nuevo parche en una aplicación. Necesito que se apliquen todos esos parches porque lo más probable es que haya correcciones de seguridad en ellos que si no las aplicamos, los tipos malos puedan aprovechar. Otras cosas, una política de encriptación. Es posible que desee que cualquiera de estos dispositivos que puedan contener datos, que probablemente sean todos ellos, tenga algún tipo de política de encriptación para asegurarme de que si se pierde o se roba el dispositivo, nadie pueda obtener información de él porque todos los datos que hay en él están encriptados. ¿Capacidad de borrado remoto? Una vez más, en el caso de que este dispositivo móvil desaparezca, alguien lo pierde, lo roban, algo así, sería genial si pudiera borrar automáticamente todos los datos que hay en este dispositivo y tal vez hacer lo mismo con algunos de estos otros también. Si veo que han desaparecido, quiero poder eliminar todos los datos de manera remota. Seguimiento de ubicación. En caso de que quiera encontrar uno de estos dispositivos, si se ha ido. Ahora, algunas organizaciones pueden elegir no activar eso porque estos pueden ser dispositivos personales que se usan. Eso es comprensible. Pero la capacidad existe, ciertamente para los dispositivos corporativos, de poder rastrear sus ubicaciones. Antivirus o detección y respuesta de puntos finales. Para asegurarme de que no tengo malware en estos sistemas. Y finalmente, ¿cuál es mi política para deshacerme de estos dispositivos? Estas cosas no duran para siempre. La batería comienza a agotarse aquí. Necesitamos actualizar laptops de alguien, algo así. ¿Cómo vamos a deshacernos del dispositivo de una manera que no exponga nuestra información? Nuestros controles de seguridad también deben tener en cuenta todas estas cosas. Okay, ahora hemos cubierto qué son los puntos finales y qué controles necesitamos implementar en ellos. Ahora, veamos BYOD. Bueno, ¿qué quiero decir con BYOD? Significa «bring your own device» o trae tu propio dispositivo. Pero déjenme decirles que es más complicado que eso porque muchas personas han descubierto cómo traer sus propias tecnologías de la información. E incluso algunas personas están trayendo su propia nube. Así que realmente tenemos toda una colección de siglas con las que tenemos que lidiar. Y el punto final es solo parte de esto cuando se trata de estos programas de «bring your own». Les diré que realmente hay dos tipos de organizaciones en este aspecto. Están aquellas que tienen un programa bien definido. Están aquellas que tienen un programa mal definido. Y luego hay otro grupo que afirma que no está permitido. Les diré que su programa es en realidad un programa no autorizado. Regresa y se reduce simplemente a ser uno mal definido. Por lo tanto, no hay realmente una tercera categoría. Todos son o un programa bien definido cuando se trata de estas cosas o un programa mal definido. Entonces, ¿cómo sería si tuviéramos un programa bien definido? Porque obviamente esto no cumplirá con nuestras necesidades de seguridad. Si la organización de seguridad dice «no», el usuario final dirá «cómo» y lo hará de esta manera. Es mejor si lo definimos de antemano de esta manera para ellos. ¿Cuáles son algunos de los elementos que se incluirían en esto? En primer lugar, el consentimiento, especialmente si la persona está trayendo su propio dispositivo que podría tener sus propios datos. Es su propiedad. Entonces, necesitamos asegurarnos de que comprendan cuáles son las reglas. ¿Cuáles son las cosas que vamos a poner en su sistema? ¿Cuáles son las cosas que es probable que hagamos con su sistema o a su sistema, por así decirlo? Entonces, tenemos que obtener el consentimiento del usuario final que es propietario de esto. Y les diremos, por ejemplo: «Oh sí, vamos a monitorear cierto uso o no.». Su política debería indicar si están monitoreando su uso o no y bajo qué condiciones podrían hacerlo. Vamos a ver cómo están usando su sistema. Vamos a ver y ver si lo están utilizando. Pueden ser solo las cosas corporativas que están haciendo y monitorear solo eso. Y luego también podríamos querer reservarnos el derecho de borrar de forma remota el dispositivo y eliminar todos los datos corporativos. Ahora bien, podemos hacer un borrado selectivo para que solo se eliminen los datos corporativos y no todos los datos personales. Así que si esta persona tiene un teléfono móvil y ha tomado fotos familiares durante sus vacaciones, esas cosas no desaparecen. Pero todos los datos corporativos desaparecen. Si informan que el dispositivo se ha perdido o ha sido robado o si abandonan la organización. Entonces necesito ese tipo de capacidad. También podría especificar qué niveles de software se requieren. Como mencioné en la sección anterior, la versión actual, la N, y la N menos uno. Pero también podría llegar a ciertas aplicaciones y decir que hay ciertas aplicaciones que se requieren, ciertas cosas que deben estar en su sistema. Si es un dispositivo móvil, puede haber diferentes cosas que se requieran que si fuera, digamos, un dispositivo de escritorio donde tal vez voy a requerir antivirus que no requeriría en un dispositivo móvil. Hay otras cosas que podría decir. Hay algunas aplicaciones que nunca debes tener. No queremos que tengas esto en tu dispositivo y vamos a verificarlo y si lo vemos allí, te denunciaremos o eliminaremos nuestros datos de tu sistema, porque creemos que estas aplicaciones van a hacer que nuestros datos sean vulnerables o nos expondrán a ciertos otros tipos de amenazas. Luego, desde una perspectiva de hardware, una organización muy bien puede decir: solo vamos a admitir que traigas tu dispositivo, pero debe tener una configuración de hardware determinada. No podemos admitir cada dispositivo que alguien pueda idear. Entonces, vamos a decir «Este es el tipo de escritorio, portátil, dispositivo móvil que admitiremos. Solo admitiremos esos y no más.». Pero necesitamos poder especificar qué es eso, así como los servicios que utilizarán estos dispositivos. La nube es un buen ejemplo. Así que podría usar solo servicios autorizados. Si quiero compartir archivos, entonces las organizaciones pueden decir que tienen un programa de intercambio de archivos basado en la nube y todos deben usar eso. No uses estos otros. Y vamos a realizar un seguimiento y asegurarnos de que eso es lo que estás usando, por ejemplo. Entonces, esos son ejemplos. Nuevamente, es mejor no decir «no». Es mejor decir «cómo». Y si puedo decir «cómo» en este tipo de cosas, puedo guiar a los usuarios para que hagan lo correcto. Siempre recuerda que si hacemos más fácil hacer lo incorrecto que hacer lo correcto, los usuarios básicamente harán lo incorrecto. Entonces, queremos facilitar y habilitar eso. Okay, hemos hablado de la seguridad de puntos finales y hemos cubierto eso. En el próximo video, hablaremos sobre la seguridad de la red. En caso de que te hayas perdido alguno de los videos de la serie, échale un vistazo aquí. Y si quieres asegurarte de no perderte ninguno en el futuro, asegúrate de hacer clic en suscribirte y notificar para que te notifiquen cuando salga el próximo video.
Tabla de Contenido
Aquí tienes un resumen de la información presentada en este artículo:
| Sección | Tema |
|---|---|
| 1 | Definición de puntos finales y su importancia |
| 2 | Controles de seguridad para puntos finales |
| 3 | Implementación de programas BYOD |
Preguntas Frecuentes
Aquí tienes algunas preguntas frecuentes sobre la seguridad de puntos finales:
1. ¿Qué es un punto final?
Un punto final es un dispositivo o una entidad que se conecta a una red y representa una puerta de entrada potencial para amenazas y ataques informáticos.
2. ¿Cuál es la importancia de la seguridad de puntos finales?
La seguridad de puntos finales es crucial porque los dispositivos y las plataformas que forman parte de una red pueden ser vulnerables a ataques. La protección de estos puntos finales garantiza la seguridad de los datos y la integridad de la red.
3. ¿Cuáles son algunos controles de seguridad comunes para puntos finales?
Algunos controles de seguridad comunes para puntos finales incluyen la autenticación multifactor, la encriptación de datos, el monitoreo de actividades, la aplicación de parches y actualizaciones, y la implementación de políticas de seguridad.
4. ¿Qué es BYOD y cómo se puede implementar de manera segura?
BYOD significa «bring your own device» (trae tu propio dispositivo) y se refiere a la práctica de permitir que los empleados utilicen sus propios dispositivos en entornos corporativos. Para implementar BYOD de manera segura, es importante establecer políticas y controles claros, como el consentimiento del usuario, la monitorización de uso, la capacidad de borrado remoto y la especificación de requisitos de hardware y software.
Espero que este artículo te haya brindado una comprensión más clara de la seguridad de puntos finales y la importancia de implementar controles efectivos. En el próximo video, exploraremos el tema de la seguridad de la red. No te lo pierdas. ¡Hasta la próxima!
Si te interesa obtener más información sobre temas relacionados, te invito a revisar nuestros artículos relacionados en nuestro blog Todoforti.net.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!