En nuestra vida diaria, la mayoría de nosotros estamos familiarizados de alguna forma con el control de acceso: hay que identificarse y cumplir ciertos requisitos para acceder a todo tipo de locales y servicios, desde clubes, discotecas o bibliotecas, hasta puertas de embarque de aeropuertos, salas de hospital y, ahora también, a la red corporativa. Pero ésta presenta retos especiales, porque tiene que acoger muchas plataformas operativas distintas, entre ellas un número creciente y variado de dispositivos móviles. Además, los usuarios necesitan acceder desde lugares y redes que van desde zonas inalámbricas abiertas (hotspots) hasta redes privadas virtuales (VPN) gestionadas con Secure Sockets Layer (SSL). En la sede corporativa, los invitados pueden necesitar conectarse a la red local (LAN) corporativa para acceder a Internet o a aplicaciones de correo electrónico basadas en la Web. Los protocolos de acceso también varían. En un mismo día de viaje, un empleado puede conectarse a través de redes de confianza y de otras que no lo son, con requisitos de acceso como software de conexión única a la Web, VPN con SSL o dispositivos de control de acceso local. De vuelta a la oficina, puede iniciar su sesión en la red corporativa sin saber que, al conectarse de una red a otra desde distintos puntos de acceso, ha recogido virus dañinos, gusanos, spyware u otros elementos peligrosos que irán a parar a la red corporativa y a las aplicaciones de su organización.
Riesgos del control de acceso
Las tecnologías de control de acceso tienen que afrontar estos problemas en un entorno en el que crecen constantemente los riesgos, amenazas y ataques de seguridad. Éstos incluyen objetos de red no identificados: más de las tres cuartas partes de las organizaciones empresariales ya ofrecen acceso a la red a personas de fuera de la empresa; en un próximo futuro, todas lo harán. Cualquier dispositivo puede transportar virus, gusanos u otros componentes dañinos que pueden colapsar o dañar gravemente la empresa, su red y sus aplicaciones. Los puntos vulnerables crean riesgos adicionales. La protección de la red exige reparar a tiempo y continuamente las vulnerabilidades que pueden convertirse en una pesadilla, teniendo en cuenta el creciente número de dispositivos móviles y de terceros que acceden a la red. La gestión automática de parches cubre este aspecto, como también lo hacen las políticas de seguridad que tratan problemas específicos de la gestión de parches. La vulnerabilidad de las redes abiertas propicia los ataques con programas maliciosos y, aunque los virus y gusanos han disminuido en los últimos años, los investigadores siguen estando preocupados por los rápidos y destructivos ‘supergusanos’ de última generación. Un dispositivo de usuario no seguro que se conecte a una red corporativa no protegida podría ser la causa raíz de la parálisis de la red y de la productividad. Incluso a usuarios de confianza, con dispositivos limpios y bien gestionados podría ocurrírseles examinar activos de red y buscar puntos débiles fuera de la legítima responsabilidad de su trabajo y de sus niveles de autorización.
Las grandes empresas y organizaciones suelen afrontar la seguridad de forma reactiva, añadiendo filtros de spam cuando sus redes ya están atascadas, protección anti-spyware cuando la lentitud de los dispositivos de los empleados es exasperante y así sucesivamente. Este enfoque puede retrasar el gasto, pero puede resultar más caro a largo plazo, exponiendo la organización y su red y aplicaciones a mayores niveles de amenazas y riesgos. Los métodos reactivos no funcionan con el control de acceso porque no hay una correlación punto a punto entre el problema y la solución, no hay una acción negativa concreta que necesite reacción. Las organizaciones tienen que anticiparse para afrontar su necesidad de controlar el acceso a la red y las aplicaciones. La protección del acceso a la red y a las aplicaciones depende de la identidad, del tipo de dispositivo, de la ubicación de la red, de la hora del día y de otros factores. Un enfoque anticipativo, omnipresente y protector puede ofrecer un acceso seguro a la red configurado para garantizar el control de acceso, la seguridad y las políticas de la empresa, con una combinación de:
Identidades y roles de los usuarios: Un enfoque omnipresente y anticipativo, pero también protector, del acceso a la red puede incluir la asociación de decisiones de acceso con los roles del usuario y las necesidades del negocio. Por ejemplo, aunque tanto el Director financiero como un auditor externo necesitan acceder a los sistemas financieros, el control de acceso a la red proactivo y omnipresente puede otorgar al Director financiero un acceso total, pero restringir el del auditor externo a determinadas subredes, direcciones IP, puertos y protocolos.
Políticas de empresa y de seguridad: Las políticas que definen puertos seguros, gestionan y priorizan amenazas y obligan a cumplir normas son fundamentales para proteger un acceso a la red que lo englobe todo. La clave del éxito es implantar políticas realistas que satisfagan las necesidades organizativas; limitarse a cerrar la puerta - física o electrónicamente - y esperar que esa acción controle el acceso a la red ya no es una opción viable y factible.
Alternativas para obligar al cumplimiento: La obligación de cumplir las normas también ha de adaptarse a los usuarios, políticas y tecnologías de red. Incluso los usuarios autorizados pueden recibir distintos niveles de acceso a la red o a las aplicaciones de la empresa en función del lugar del edificio o campus donde se encuentren; es decir si están fuera de su despacho.
Las empresas están presionadas para acelerar la implantación de aplicaciones con servicios que generen diferenciación y permitan un crecimiento sostenible. Las empresas innovadoras que consideran que la red es crítica para su éxito, pueden implementar un control de acceso eficaz como pieza fundamental para proteger su infraestructura de red de altas prestaciones. Este control de acceso ayuda a la empresa a poner en explotación su red como elemento facilitador, no como un mal necesario`’ que frena la productividad o presenta más riesgos que beneficios.