Todo sobre NAC
Network Access Control
La industria de las TIC trabaja intensamente en encontrar soluciones a un problema cada vez más crítico para todo tipo de organizaciones: garantizar que cualquiera que se conecte a la red corporativa sea no sólo identificado y autorizado apropiadamente, sino también que está usando un dispositivo seguro. Un objetivo que, bajo diversas denominaciones y enfoques, representa el cambio más significativo en la seguridad de redes desde la invención del cortafuegos.
Se denomine seguridad de extremo, control de admisiones o –como es conocida más generalmente– control de accesos a la red (Network Access Control- NAC), estas tecnologías marcan una nueva tendencia a la que se están adaptando todos los grandes fabricantes de soluciones de redes y seguridad. Todos quieren hacerse un hueco en este polémico, difuso y nada sencillo nuevo mundo. El simple hecho de la falta de acuerdo en la industria sobre la denominación de la categoría en la que incluir este clase de soluciones es un claro indicador de la confusión que reina en este mercado. Y no sólo respecto a los nombres. Existen diferentes ideas relativas a los estándares, funciones requeridas y enfoques tecnológicos sobre en qué tipo de dispositivo se deberían implementar estos productos.
Sobre lo que parece no haber disputa es que NAC es una tecnología que cada vez cobra más fuerza. Según Infonetics, se espera que el mercado de productos NAC se eleve a 3.900 millones de dólares en 2008, a partir de los 323 millones que alcanzó en 2005, cifras que marcan un incremento del ¡1.101%! en sólo tres años. Con tan altas tasas de crecimiento, aun en el caso de que las estimaciones de la consultora se muevan con un error del 50% –un elevado grado de error, sin duda–, estaríamos hablando de un aumento del 500%, que ilustra perfectamente el grado de interés que estas tecnologías generan en el mercado. Como afirma Infonetics en su estudio “Enforcing Network Access Control: Market Outlook and Worldwide Forecast”, publicado el pasado mes de enero, “a medida que aumenta la dependencia de las redes en las empresas, y la necesidad de garantizar el acceso abierto a ellas, así lo hace la concienciación sobre las vulnerabilidades de seguridad”.
Es comprensible, por tanto, que las empresas estén invirtiendo en productos que garanticen que los dispositivos están securizados apropiadamente antes y durante el acceso a la red, especialmente cuando entran en consideración otros múltiples factores:
Movilidad. Los trabajadores móviles siempre han representado un reto desde el punto de vista de las TIC. En un entorno en que, por ejemplo y como algo hoy habitual, los hoteles ofrecen conexiones a Internet de banda ancha, para estos trabajadores ahora es una exigencia poder acceder desde cualquier lugar a los recursos corporativos de las sedes centrales de sus empresas. Esto es así con independencia del tipo de dispositivo que estén utilizando, ya sea un portátil, un PDA, un teléfono móvil inteligente o incluso cualquier otro del que nada sepa el departamento de TIC.
Aunque estos dispositivos resultan de gran utilidad, en la práctica implican problemas de seguridad bien conocidos. Los laptops pueden ser infectados por virus o spyware que, una vez conectados a la red corporativa, acaban siendo diseminados entre los dispositivos del resto de usuarios. Los PDA y los móviles inteligentes, especialmente aquellos que no están autorizados explícitamente por el personal técnico, pueden estar parcial o totalmente desprotegidos, sin ningún software de seguridad instalado.
Protección interior. Uno de los requerimientos clave de cualquier organización de TIC es la disponibilidad, tanto de la red como de las aplicaciones que viajan por ella. Los productos NAC son una línea adicional de defensa más allá de los cortafuegos y los sistemas de detección y prevención de intrusiones (IDS/IPS), ya que proporcionan una fuerte defensa contra virus, gusanos y malware capaces potencialmente de inutilizar las redes, denegando el acceso a las aplicaciones.
La falta de disponibilidad se traduce en pérdida de productividad y, en muchos casos, pérdidas de ingresos, especialmente si fallan los sistemas de transacciones relacionados con los clientes. Pero, además, acarrea una pérdida financiera aún más directa, según The Yankee Group. En el informe “Developing a solid endpoint security policy for an increasingly borderless world”, publicado por la consultora en septiembre de 2005, se asegura que “la mayoría de los ataques contra la seguridad de las TI persiguen hoy beneficios económicos. El spyware, los ataques de denegación de servicio y los robos de identidades lanzados contra la información de clientes representan sólo algunos del número creciente de ataques con este objetivo financiero”.
La CSI/FBI Computer Crime and Security Survey correspondiente a 2005 confirma las conclusiones de The Yankee Group. De las 639 respuestas de los entrevistados que afirmaban ser capaces de valorar económicamente los daños sufridos por incidentes de seguridad, la pérdida media fue de 203.606 dólares. Aunque tal cifra es significativamente inferior a la correspondiente a 2004 (526.010 dólares), en ese año sólo 269 empresas fueron capaces de cuantificar sus pérdidas, menos de la mitad que en 2005. Por volumen, las pérdidas atribuidas a virus encabezaron la lista, con un total de más de 42 millones de dólares, por encima de los accesos no autorizados, con casi el 40%. Pero esta última categoría fue una de las dos cuyo valor por pérdidas económicas creció respecto del año anterior, pasando de 51.545 dólares en 2004 a 303.234 en 2005. La otra categoría, el robo de información, pasó en ese periodo de 168.529 a 355.552 dólares. Aunque los virus siguen liderando el ranking, está claro que las empresas deben protegerse de otros tipos de ataques con un objetivo más definido.
Finalmente, muchas empresas se enfrentan a obligaciones regulatorias que les obligan a mantener los sistemas fuertemente protegidos, como las que afectan a la protección y seguridad de datos personales en general y las que exigen medidas de protección sectoriales, como las relativas a la privacidad e intimidad de los pacientes de las firmas de sanidad o a la confidencialidad en las de servicios financieros, entre otros muchos ejemplos.
Múltiples tipos de usuarios. Al margen de las normas regulatorias, también los requerimientos de negocio están aumentando la necesidad de adoptar soluciones NAC efectivas. Las empresas cada vez más sienten la necesidad de abrir sus redes a socios comerciales y clientes, lo que supone serios retos de seguridad, pues, incluso cuando se trata de los propios empleados, no todos pueden ser tratados de igual forma. Así, las organizaciones necesitan un modo sencillo de garantizar a los diferentes grupos de usuarios el acceso a los recursos que ellos necesitan, aunque manteniéndoles fuera del alcance de los que no deben ver.
Los socios, invitados e incluso empleados con dispositivos personales representan otro problema. Estos dispositivos sin gestión ni control del departamento TIC a menudo se conectan directamente a la red obviando los controles perimetrales y sin garantías del estado de su software de seguridad. Por ello, es clave securizarlos a fin de mantener la accesibilidad y disponibilidad de la red.
Los clientes son otro grupo clave y sus requerimientos varían ampliamente de
Se denomine seguridad de extremo, control de admisiones o –como es conocida más generalmente– control de accesos a la red (Network Access Control- NAC), estas tecnologías marcan una nueva tendencia a la que se están adaptando todos los grandes fabricantes de soluciones de redes y seguridad. Todos quieren hacerse un hueco en este polémico, difuso y nada sencillo nuevo mundo. El simple hecho de la falta de acuerdo en la industria sobre la denominación de la categoría en la que incluir este clase de soluciones es un claro indicador de la confusión que reina en este mercado. Y no sólo respecto a los nombres. Existen diferentes ideas relativas a los estándares, funciones requeridas y enfoques tecnológicos sobre en qué tipo de dispositivo se deberían implementar estos productos.
Sobre lo que parece no haber disputa es que NAC es una tecnología que cada vez cobra más fuerza. Según Infonetics, se espera que el mercado de productos NAC se eleve a 3.900 millones de dólares en 2008, a partir de los 323 millones que alcanzó en 2005, cifras que marcan un incremento del ¡1.101%! en sólo tres años. Con tan altas tasas de crecimiento, aun en el caso de que las estimaciones de la consultora se muevan con un error del 50% –un elevado grado de error, sin duda–, estaríamos hablando de un aumento del 500%, que ilustra perfectamente el grado de interés que estas tecnologías generan en el mercado. Como afirma Infonetics en su estudio “Enforcing Network Access Control: Market Outlook and Worldwide Forecast”, publicado el pasado mes de enero, “a medida que aumenta la dependencia de las redes en las empresas, y la necesidad de garantizar el acceso abierto a ellas, así lo hace la concienciación sobre las vulnerabilidades de seguridad”.
Es comprensible, por tanto, que las empresas estén invirtiendo en productos que garanticen que los dispositivos están securizados apropiadamente antes y durante el acceso a la red, especialmente cuando entran en consideración otros múltiples factores:
Movilidad. Los trabajadores móviles siempre han representado un reto desde el punto de vista de las TIC. En un entorno en que, por ejemplo y como algo hoy habitual, los hoteles ofrecen conexiones a Internet de banda ancha, para estos trabajadores ahora es una exigencia poder acceder desde cualquier lugar a los recursos corporativos de las sedes centrales de sus empresas. Esto es así con independencia del tipo de dispositivo que estén utilizando, ya sea un portátil, un PDA, un teléfono móvil inteligente o incluso cualquier otro del que nada sepa el departamento de TIC.
Aunque estos dispositivos resultan de gran utilidad, en la práctica implican problemas de seguridad bien conocidos. Los laptops pueden ser infectados por virus o spyware que, una vez conectados a la red corporativa, acaban siendo diseminados entre los dispositivos del resto de usuarios. Los PDA y los móviles inteligentes, especialmente aquellos que no están autorizados explícitamente por el personal técnico, pueden estar parcial o totalmente desprotegidos, sin ningún software de seguridad instalado.
Protección interior. Uno de los requerimientos clave de cualquier organización de TIC es la disponibilidad, tanto de la red como de las aplicaciones que viajan por ella. Los productos NAC son una línea adicional de defensa más allá de los cortafuegos y los sistemas de detección y prevención de intrusiones (IDS/IPS), ya que proporcionan una fuerte defensa contra virus, gusanos y malware capaces potencialmente de inutilizar las redes, denegando el acceso a las aplicaciones.
La falta de disponibilidad se traduce en pérdida de productividad y, en muchos casos, pérdidas de ingresos, especialmente si fallan los sistemas de transacciones relacionados con los clientes. Pero, además, acarrea una pérdida financiera aún más directa, según The Yankee Group. En el informe “Developing a solid endpoint security policy for an increasingly borderless world”, publicado por la consultora en septiembre de 2005, se asegura que “la mayoría de los ataques contra la seguridad de las TI persiguen hoy beneficios económicos. El spyware, los ataques de denegación de servicio y los robos de identidades lanzados contra la información de clientes representan sólo algunos del número creciente de ataques con este objetivo financiero”.
La CSI/FBI Computer Crime and Security Survey correspondiente a 2005 confirma las conclusiones de The Yankee Group. De las 639 respuestas de los entrevistados que afirmaban ser capaces de valorar económicamente los daños sufridos por incidentes de seguridad, la pérdida media fue de 203.606 dólares. Aunque tal cifra es significativamente inferior a la correspondiente a 2004 (526.010 dólares), en ese año sólo 269 empresas fueron capaces de cuantificar sus pérdidas, menos de la mitad que en 2005. Por volumen, las pérdidas atribuidas a virus encabezaron la lista, con un total de más de 42 millones de dólares, por encima de los accesos no autorizados, con casi el 40%. Pero esta última categoría fue una de las dos cuyo valor por pérdidas económicas creció respecto del año anterior, pasando de 51.545 dólares en 2004 a 303.234 en 2005. La otra categoría, el robo de información, pasó en ese periodo de 168.529 a 355.552 dólares. Aunque los virus siguen liderando el ranking, está claro que las empresas deben protegerse de otros tipos de ataques con un objetivo más definido.
Finalmente, muchas empresas se enfrentan a obligaciones regulatorias que les obligan a mantener los sistemas fuertemente protegidos, como las que afectan a la protección y seguridad de datos personales en general y las que exigen medidas de protección sectoriales, como las relativas a la privacidad e intimidad de los pacientes de las firmas de sanidad o a la confidencialidad en las de servicios financieros, entre otros muchos ejemplos.
Múltiples tipos de usuarios. Al margen de las normas regulatorias, también los requerimientos de negocio están aumentando la necesidad de adoptar soluciones NAC efectivas. Las empresas cada vez más sienten la necesidad de abrir sus redes a socios comerciales y clientes, lo que supone serios retos de seguridad, pues, incluso cuando se trata de los propios empleados, no todos pueden ser tratados de igual forma. Así, las organizaciones necesitan un modo sencillo de garantizar a los diferentes grupos de usuarios el acceso a los recursos que ellos necesitan, aunque manteniéndoles fuera del alcance de los que no deben ver.
Los socios, invitados e incluso empleados con dispositivos personales representan otro problema. Estos dispositivos sin gestión ni control del departamento TIC a menudo se conectan directamente a la red obviando los controles perimetrales y sin garantías del estado de su software de seguridad. Por ello, es clave securizarlos a fin de mantener la accesibilidad y disponibilidad de la red.
Los clientes son otro grupo clave y sus requerimientos varían ampliamente de
