Para las empresas el eslabón más débil en temas relativos a ciberseguridad son los usuarios, seguido de las redes inalámbricas.
De éstas últimas vamos a ocuparnos en este post. A menudo, encontramos como este tipo de redes han sido mal configuradas, no cumplen con unos mínimos estándares de seguridad, por lo que carecen de un control de los accesos a la red (quien, cuando, a qué se conecta…).
Relacionado con ésto hablaremos de cómo configurar la wifi de invitados en nuestros negocios y de la importancia de utilizar hardware profesional en este tipo de entornos.
Los clientes, invitados o empleados que utilizan la red Wi-Fi representan un riesgo importante si acceden de forma ilimitada y sin supervisión.
Sin protección, las redes Wi-Fi de invitados son focos potenciales de ciberamenazas y robo de datos, por lo que suponen un riesgo para la continuidad del negocio y ponen en entredicho la imagen de la marca.
Cuando los usuarios se conectan a la red Wi-Fi, no tienen idea de estado de seguridad de sus dispositivos. Pueden tener buenas intenciones para navegar por nuestra red, sin embargo sus dispositivos pueden estar comprometidos por algún tipo de malware.
En resumen
La finalidad es un entorno WiFi controlado y seguro. Donde los usuarios y sus dispositivos no pongan en peligro la seguridad ni interfieran con el tráfico de la red.
Retos de las redes wi-fi en la empresa
Una red wifi más segura.
Infracciones de las políticas de uso aceptable
Los propios empleados pueden hacer un mal uso de las redes Wi-Fi de invitados desprotegidas y sin auditar para eludir las medidas de seguridad de la red corporativa.
A veces para acceder a contenido inapropiado, indeseable o incluso ilegal que no está permitido por la política de uso aceptable de la empresa. Ya sea por motivos de seguridad o porque afecten a la productividad.
La seguridad y la imagen de marca al traste
El responsable del negocio debe poner todos los medios a su alcance para que la navegación de los clientes, invitados o empleados sea lo más segura posible.
Si un invitado puede navegar libremente por Internet y entrar en páginas no seguras, puede infectar su dispositivo, pudiéndose producir una filtración de datos (que por ley han de notificarse antes de 72 horas).
En esta situación la imagen de marca indudablemente resultará perjudicada.
¿Quién va a confiar en una empresa cuya red Wi-Fi introdujo un ransomware en su equipo o filtró los datos de su tarjeta de crédito?
Algunas medidas a tomar son:
*Controlar o limitar la navegación en internet, ya sea a nivel de aplicaciones o de contenidos.
*Autenticar a los usuarios (invitados) a través de un portal cautivo
*Implantar un sistema que evite accesos no autorizados y suplantaciones de identidad.
Responsabilidad legal frente a mal uso de la red
Puede suceder que un usuario cometa un delito desde nuestra conexión. ¿Cómo evitamos que ésto suceda? ¿qué medios tenemos a nuestro alcance para cubrirnos las espaldas?
Es fundamental la monitorización, visibilidad y control en tiempo real de nuestra red wifi. Para ello el firewall es nuestro mejor aliado, puesto que nos permite configurar:
– Quién se conecta. Debemos mantener un Log de las conexiones por si alguien cometiera un delito informático desde nuestra red Wifi (pedofilia, ciberextorsión, robo de contraseñas y datos bancarios a portales de terceros, etc
– Cuándo se conecta. Podemos programar horarios para que los invitados accedan a contenido web.
– Cuánto tiempo estará conectado. Estableceremos las conexiones por tiempo limitado, de modo que la red no se sature con dispositivos no conectados.
– Qué ancho de banda ofrecemos. Debemos garantizar un ancho de banda y una conexión inalámbrica lo más rápida posible. Reservaremos eso sí, una parte importante del tráfico a nuestra red interna para garantizar la continuidad del negocio.
– Cuantas personas podrán estar conectadas al mismo tiempo. Para evitar caídas de servicio por saturación de los APs, en caso de acumulación o de alta densidad de clientes.
En resumen:
Lo ideal es autenticar y autorizar a cada dispositivo y usuario antes de acceder a las aplicaciones y los datos. Además que toda la actividad de la red quede reflejada en los registros para su posterior análisis.
Aspectos a configurar en nuestra red wifi para invitados
Segmentación de la red
La red interna debe estar totalmente separada de la red utilizada por los invitados. Si queremos ofrecer un acceso seguro del WiFi en nuestra empresa es necesario que los visitantes no tengan acceso accedan a recursos de la red interna (aquella que usan los empleados).
Debemos evitar que los invitados accedan a recursos de red (archivos, recursos compartidos, impresoras, etc) y datos confidenciales.
Podemos montar 2 redes inalámbricas independientes y no que no exista conexión entre ellas (con SSID diferentes, IPs en distintos rangos). Otra solución, si tenemos una única conexión a Internet, es utilizar un firewall de red y crear una VLAN separada para uso de invitados.
Por último, es imprescindible una solución de seguridad que proteja nuestros servidores y estaciones de trabajo de posibles infecciones por malware o ransomware. Así, en el caso de que nuestros sistemas se vean comprometidos evitaremos la propagación a otros dispositivos de la empresa.
Cambio de contraseñas y SSID predeterminados.
Esta es una de las prácticas de seguridad más básicas, pero precisamente por eso se suele obviar con mucha facilidad.
Es necesario cambiar la contraseña que viene por defecto en el router Wi-Fi. Elegir una contraseña segura y robusta (no vale una palabra normal que sea fácil de adivinar). Y cambiar la contraseña regularmente.
También es importante cambiar el SSID predeterminado de nuestra red WiFi. El SSID debe reflejar el nombre de la empresa para que los clientes identifiquen cuál es nuestra red.
Firmware actualizado.
Las actualizaciones de firmware corrigen vulnerabilidades que los hackers pueden explotar fácilmente para obtener acceso a nuestros dispositivos.
Una vez se cuelan en nuestra red estamos a merced de lo quieran hacer ¿y si entre sus propósitos está acceder a nuestros datos para extorsionarnos? ¿y si utilizan nuestros servidores para algún tipo de actividad delictiva???
Hay que establecer una política de actualizaciones para el firmware, con verificaciones mensuales para garantizar que todos los dispositivos se actualicen de forma periódica, rápida y correcta.
Cifrado de las comunicaciones inalámbricas.
Es necesario proteger las comunicaciones de nuestra red inalámbrica con un sistema de cifrado portente WPA2 / WPA3.
Es necesario actualizar el firmware del router o si eso no es posible, debe comprar un router moderno que admita el cifrado WPA3.
Filtrar el acceso a contenido web.
Aplicaremos controles que limiten el contenido web al que se puede acceder desde nuestra red WiFi.
Debe Controlar y/o bloquear el acceso a determinadas categorías de contenido web diferentes (pornografía, juegos de azar, citas, noticias y redes sociales, etc). También bloquearemos el acceso a sitios web comprometidos, sitios de phishing y otros sitios web maliciosos.
Uso de hardware profesional.
El rendimiento del router del operador puede quedarse corto y en la mayoría de los casos ofrece un control muy escaso sobre las posibilidades de gestión de la red.
Por ello, necesitamos contar con un punto de acceso profesional que nos permita controlar diferentes parámetros en nuestra red inalámbrica (cobertura y velocidad de conexión mejoradas, posibilidad de gestión para las diferentes redes segmentadas, autenticación de usuarios, etc).
¿Estas interesado en ofrecer conexión WiFi para tus invitados y a la vez asegurar la red interna de tu empresa?
El éxito en tu proyecto depende en gran medida del sistema que escojas para tu empresa.
tecnozero colabora con los principales fabricantes como Aruba, entre otros, para ofrecer soluciones wifi de tipo profesional, con amplias funcionalidades y un servicio de soporte de confianza.
Otros artículos de tecnozero:
