En plena reunión de los directivos de la empresa con un cliente, surge una pregunta que sólo uno de los desarrolladores puede responder. “Ahora sube, ya me respondió por Facebook”, comenta alguien. Y a nadie le parece anormal el uso de las redes sociales en horario de trabajo.
En muchas empresas el uso de la red y los equipos corporativos con fines recreativos se ha vuelto una prestación universal. Algunas áreas como Marketing o Publicidad requieren acceso abierto a servicios como Youtube, Facebook o Pinterest, y es probable que algunos directivos disfruten de esta disponibilidad como una deferencia a su jerarquía. Sin embargo, las empresas permiten el uso recreacional de la red en contra de su voluntad y sus intereses, lo consienten porque cada vez es más difícil para las herramientas convencionales bloquear de manera diferenciada el acceso a las aplicaciones recreativas sin afectar el funcionamiento de las que están vinculadas a las operaciones vitales de las compañías.
Durante los últimos años muchas aplicaciones que funcionan a través de la red han incorporado técnicas evasivas que les permiten eludir el firewall de las redes corporativas. Con mucha frecuencia se trata de servicios que de este modo agilizan el flujo de datos y hacen más eficientes las operaciones de la empresa, pero estas estrategias también son empleadas por las redes sociales, por juegos y por servicios de intercambio de archivos. Este uso de la red interna no sólo consume recursos de la empresa, también representa riesgos de gran magnitud. ¿Qué pueden hacer las empresas?
No sólo son bits
Las estadísticas revelan que las publicaciones de Facebook con más clics (likes y comentarios) son las que se publican entre la 1 y las 4 de la tarde, lo cual es revelador respecto de qué uso puede recibir la red de la empresa en horario de trabajo. El ancho de banda es un recurso valioso y limitado que garantiza la eficiencia de las operaciones; sin embargo, en una hora crítica, un par de empleados ociosos pueden ahogar la red interna con descargas de archivos y un video de Youtube y colapsar las aplicaciones productivas de la empresa.
El consumo de ancho de banda no es el único efecto negativo en las empresas. Los programas de intercambio de archivos (como los de torrents) son una puerta abierta a un sinfín de amenazas externas. Estos flujos no sólo exponen a los equipos a virus y otras formas de malware; en la red hay delincuentes que rutinariamente exploran los puntos débiles de aplicaciones como redes sociales y juegos en línea en busca de acceso a la información relevante de las empresas. De este modo, los inofensivos cinco minutos de ocio de un empleado pueden abrir las puertas de la empresa a catástrofes informáticas de grandes costos.
Filtrado tradicional y técnicas evasivas
El firewall convencional no supervisa a profundidad el flujo de información que circula hacia la red interna y desde ésta: primero lee el encabezado de cada paquete e identifica el puerto que tiene designado; mantiene abierto este último si se trata de un puerto válido y la identificación es correcta, de otro modo, lo cierra, además de que mantiene —para cualquier tráfico— cerrados los puertos que no están configurados como abiertos. De éste modo, las aplicaciones utilizarán el puerto 25 para el intercambio de correo electrónico vía SMTP y el 80 para el tráfico web… si todas las aplicaciones siguieran las mismas reglas. Desde hace varios años, muchas aplicaciones han desarrollado estrategias que les permiten burlar el filtrado de paquetes, mediante el uso de puertos no convencionales o a través de otras técnicas más sofisticadas. Con mucha frecuencia estos métodos hacen más eficientes y útiles aplicaciones necesarias para las operaciones de las empresas; pero otras aplicaciones como juegos, sistemas de chat o redes sociales también aprovechan estas técnicas de “accesibilidad” para evitar los filtros e intercambiar información con equipos alojados al interior de las redes protegidas.
El filtrado de contenido: un nuevo panorama
La generación más reciente de firewalls —conocida como next generation firewalls— basa su protección en un principio más eficaz: el filtrado de contenido, en el que la inspección va más allá de la revisión de las etiquetas de los paquetes e identifica el contenido de éstos. Este servicio ofrece, al menos, cuatro ventajas:
• Permite reconocer en el contenido de los paquetes amenazas informáticas y negarles de manera automática el acceso.
• Determina criterios de acceso a partir de la aplicación que generó el tráfico, sin importar las estrategias evasivas que ésta utilice.
• Genera información granular —es decir, detallada— del intercambio de la red con el exterior, no sólo del contenido de los paquetes, sino de los usuarios que participan en él.
• Permite establecer políticas de acceso basadas en diversos criterios: aplicaciones, áreas de trabajo, jerarquías, horarios y consumo de red, entre otros.
Este servicio ofrece a las empresas un entorno informático más seguro, pero también les abre la posibilidad de evitar que las aplicaciones recreativas consuman recursos de la red y el equipo de la empresa, y de propiciar la efectividad de sus empleados. El filtrado de contenidos permitiría organizar el acceso a la red de acuerdo con las necesidades de cada área y con las jerarquías del personal. También sería posible, por ejemplo, que la empresa ofrezca a los empleados que requieren trabajar más allá del horario estándar un entorno de red más relajado sin comprometer la seguridad de la red. Eso sí, ahora la empresa estará capacitada para registrar cada detalle de la actividad en la red de sus empleados.
Las siguientes preguntas te permitirán valorar la seguridad actual de tu empresa:
• ¿Utilizan tus empleados redes sociales o juegos en la red y el equipo de la empresa?
• ¿Cuáles son los requerimientos en tiempo y personal para hacer una inspección del uso del equipo de cómputo en tu empresa?
• ¿Has enfrentado crisis originadas por el uso indebido de la red?
• ¿Cuáles son las características del firewall de tu empresa
