“Todo vale” no vale, parte 2: ¿Cómo escoger una solución de gestión de activos TI sin comprometer la seguridad de la información?

Hace unos meses, hemos contado en el blog de Proactivanet cómo a propósito de la emergencia sanitaria, algunas empresas flexibilizaron sus controles de seguridad informática para promover el teletrabajo y seguir funcionando con normalidad. El artículo finaliza dejándonos muy en claro que “no todo vale con tal de mantener la operación” ya que al relajar estos controles (ej. permitir que equipos domésticos se conecten a la VPN corporativa), abrimos la puerta a múltiples brechas de seguridad que comprometen la continuidad operativa del negocio. Ahora que estamos en la nueva normalidad y que no pocas organizaciones están planeando la capacidad TI necesaria para 2021 a través del inventario de sus activos, de lo que también estoy profundamente convencido es que “todo vale, no vale”.
Si queremos disponer de un inventario completo y actualizado de nuestro parque TI para tomar decisiones como ¿cuáles son los servidores que debo renovar por obsolescencia? o ¿cuántos desktop/notebook debo adquirir para el próximo año?, no necesitamos entrar en conflicto con los controles de seguridad establecidos ni mucho menos interrumpir la operación diaria de nuestros usuarios. Aprovechando que estamos en el mes de la seguridad en Proactivanet, te doy algunos consejos para escoger una solución de inventario y gestión de activos TI sin comprometer la seguridad tanto de la información como la del negocio.
¿Cómo elegir una solución de gestión de activos?
- Elige soluciones que no requieran instalar nada en los equipos a inventariar. Ya que no solamente debemos hacernos cargo de los requisitos de hardware para poder tomar el inventario (el espacio en disco, la memoria,…) sino que además podemos encontrarnos con otros requisitos de software necesarios para lo que vamos a instalar y donde puede haber vulnerabilidades a explotar (ej. versiones más antiguas de .NET Framework o de Internet Explorer).
- Si en algún caso dentro del parque TI, no queda más opción que instalar un software para realizar la toma de inventario, evitar que se soliciten privilegios sobre los equipos (ej. cuentas de administrador, acceso a C$ y ADMIN$ en equipos Windows). Un atacante puede “engañar” al sistema operativo haciéndole creer que está utilizando una cuenta de usuario válida (aquella con privilegios) para acceder desde el equipo inventariado a otros equipos de la red corporativa.
- No comprometas la seguridad de la red al usar puertos de comunicación no estándar, a través de los cuales envía la información del equipo a inventariar. Mantener abiertos puertos que no se usan regularmente constituye un riesgo de seguridad y además obliga tanto a realizar configuraciones adicionales en los firewall (ya que estos puertos vienen bloqueados por defecto) como en la red donde está el usuario (lo cual se pone más complejo si está en casa, debiendo en muchos casos solicitar apoyo del proveedor de Internet). Un puerto estándar y al mismo tiempo seguro es el puerto 443 HTTPS, que es usado por todas las páginas Web y que permite cifrar la comunicación entre dos extremos.
Espero que estos consejos sean de utilidad y recuerda una vez más que cuando se trata de la seguridad de la información y de la de nuestro negocio “todo vale, no vale”.
Un saludo,
Director de Formación de Consultores de Proctivanet


5 beneficios de integrar ITAM y Ciberseguridad en una sola herramienta

¿Buscando una herramienta ITAM/ITSM? Gartner, GigaOm y Quadrant Knowledge te ayudan a decidir
