Seguridad Perimetral y SASE para Grupo Empresarial

El Reto de la Seguridad Moderna

Contexto Organizacional

El grupo empresarial enfrentaba los desafíos típicos de la transformación digital acelerada:

Complejidad Operativa:

• 50+ sociedades con IT parcialmente independiente
• 15,000 empleados distribuidos geográficamente
• 340+ aplicaciones SaaS en uso
• 45 aplicaciones web propias críticas
• 67% de trabajo híbrido/remoto

Limitaciones del Modelo Tradicional:

• VPN centralizada saturada (latencia > 200ms)
• Firewall perimetral sin visibilidad cloud
• WAF legacy con reglas desactualizadas
• Sin control de aplicaciones SaaS (shadow IT)
• DLP fragmentado por herramienta

Arquitectura SASE Implementada

Componentes de la Plataforma

┌─────────────────────────────────────────────────────────────┐
│                    SASE Platform (Netskope)                  │
├─────────────────────────────────────────────────────────────┤
│  ┌──────────┐  ┌──────────┐  ┌──────────┐  ┌──────────┐   │
│  │   SWG    │  │   CASB   │  │   ZTNA   │  │   DLP    │   │
│  │ Secure   │  │  Cloud   │  │  Zero    │  │  Data    │   │
│  │ Web GW   │  │  Access  │  │  Trust   │  │  Loss    │   │
│  └──────────┘  └──────────┘  └──────────┘  └──────────┘   │
├─────────────────────────────────────────────────────────────┤
│                    Análisis Unificado                        │
│     Threat Intelligence │ Behavioral Analytics │ ML         │
├─────────────────────────────────────────────────────────────┤
│                    Single Pass Architecture                  │
│            Inspección única - Decisión unificada            │
└─────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│                    WAF (Aplicaciones Propias)                │
│     OWASP Top 10 │ Bot Protection │ Rate Limiting           │
└─────────────────────────────────────────────────────────────┘

Secure Web Gateway (SWG)

Funcionalidades Implementadas:

• Inspección SSL/TLS completa
• Categorización de URLs en tiempo real
• Protección contra malware y phishing
• Control de ancho de banda por aplicación
• Políticas por usuario/grupo/ubicación

Políticas Configuradas:

swg_policies:
  - name: "Bloqueo Categorías Alto Riesgo"
    categories:
      - malware
      - phishing
      - command_and_control
      - cryptomining
    action: block
    logging: detailed

  - name: "Control Productividad"
    categories:
      - social_media
      - streaming
    action: coach
    bandwidth_limit: 5mbps
    schedule: business_hours

  - name: "Permitir Herramientas Trabajo"
    applications:
      - microsoft_365
      - google_workspace
      - slack
    action: allow
    ssl_inspection: true
    dlp_scan: true

Cloud Access Security Broker (CASB)

Descubrimiento de Shadow IT:

Categoría	Apps Descubiertas	Apps Sancionadas	Riesgo Alto
Storage	67	3	12
Collaboration	89	5	8
Development	45	12	6
Marketing	34	8	4
Finance	23	4	7
Total	258	32	37

Controles CASB Implementados:

• Inline protection para apps sancionadas
• API integration con M365 y Google
• Instance awareness (corp vs personal)
• Threat protection en cloud storage
• Compliance scanning de datos en cloud

Zero Trust Network Access (ZTNA)

Reemplazo de VPN:

Aspecto	VPN Tradicional	ZTNA Netskope
Modelo	Network-centric	Application-centric
Acceso	Red completa	Solo apps autorizadas
Autenticación	Una vez	Continua
Visibilidad	Limitada	Completa
Escalabilidad	Cuello de botella	Cloud-native
Latencia	> 200ms	< 50ms

Aplicaciones Publicadas:

• 45 aplicaciones internas
• Acceso condicional por riesgo
• Integración con IdP (Azure AD)
• Device posture verification
• Session recording para apps críticas

Data Loss Prevention (DLP)

Políticas de Protección de Datos:

1. Datos Personales (GDPR/LOPDGDD)

   • Detección de NIFs, emails, teléfonos
   • Bloqueo de exfiltración a cloud personal
   • Alertas a DPO

2. Información Financiera

   • Números de cuenta, tarjetas
   • Datos de nóminas y facturación
   • Restricción de compartición externa

3. Propiedad Intelectual

   • Código fuente detectado
   • Documentos confidenciales marcados
   • Control de destinos permitidos

Resultados DLP:

• 12,000+ intentos de exfiltración bloqueados/mes
• 234 incidentes de datos investigados
• 0 brechas de datos confirmadas
• 89% reducción en datos en cloud no autorizado

WAF para Aplicaciones Web

Arquitectura de Protección

Aplicaciones Protegidas:

• Portal de clientes (B2C)
• Plataforma de empleados (B2E)
• APIs de integración (B2B)
• Aplicaciones legacy modernizadas

Protección OWASP Top 10

Controles por Vulnerabilidad:

OWASP	Vulnerabilidad	Control WAF
A01	Broken Access Control	Rate limiting, session validation
A02	Cryptographic Failures	SSL enforcement, cipher suites
A03	Injection	SQL/XSS/Command injection rules
A04	Insecure Design	Input validation, schema enforcement
A05	Security Misconfiguration	Security headers, error handling
A06	Vulnerable Components	Virtual patching
A07	Authentication Failures	Brute force protection, MFA
A08	Integrity Failures	Request signing, CSRF protection
A09	Logging Failures	Comprehensive logging
A10	SSRF	URL validation, allowlisting

Bot Management

Tipos de Bots Detectados:

Bot Category         | Monthly Volume | Action
─────────────────────┼────────────────┼──────────
Credential Stuffing  | 234,000        | Block + Alert
Web Scraping         | 156,000        | CAPTCHA
Inventory Hoarding   | 12,000         | Rate Limit
Vulnerability Scans  | 89,000         | Block + Hunt
API Abuse            | 45,000         | Rate Limit
Good Bots (SEO)      | 890,000        | Allow

Resultados de Protección:

• 99.7% de bots maliciosos bloqueados
• Tiempo de respuesta: < 5 segundos
• False positive rate: < 0.1%
• Zero downtime por ataques

Resultados del Proyecto

Mejora en Visibilidad

Antes vs Después:

• Visibilidad de tráfico cloud: 0% → 100%
• Aplicaciones SaaS inventariadas: 32 → 258
• Cobertura DLP: 15% → 98%
• Usuarios con protección ZTNA: 0% → 100%

Reducción de Riesgos

Métricas de Seguridad:

• Shadow IT de alto riesgo: -78%
• Intentos de exfiltración: 12,000 bloqueados/mes
• Ataques web bloqueados: 500,000/mes
• Malware detectado: 2,340 instancias/mes

Experiencia de Usuario

Mejoras Operacionales:

• Latencia de acceso: 200ms → 50ms
• Tickets VPN: -89%
• Tiempo de onboarding: 2 días → 2 horas
• Satisfacción usuarios: 3.2 → 4.6/5

ROI del Proyecto

Costes Evitados (Año 1):

• Infraestructura VPN: €180K
• Incidentes de seguridad: €340K estimado
• Productividad recuperada: €450K
• Consolidación de herramientas: €120K

Operación y Monitorización

SOC Integration

Alertas Configuradas:

• Exfiltración de datos: Prioridad Alta
• Acceso a apps riesgo alto: Prioridad Media
• Anomalías de comportamiento: Prioridad Media
• Nuevas apps descubiertas: Prioridad Baja

Dashboards Operacionales:

• Postura de seguridad global
• Tendencias de shadow IT
• Efectividad de políticas DLP
• Estado de amenazas web

Mejora Continua

Proceso Establecido:

1. Revisión semanal de nuevas apps
2. Análisis mensual de políticas
3. Tuning trimestral de reglas WAF
4. Revisión anual de arquitectura

Este proyecto transformó el modelo de seguridad de la organización, pasando de un enfoque perimetral reactivo a una arquitectura SASE proactiva que protege datos y usuarios independientemente de su ubicación, habilitando el trabajo híbrido seguro y la adopción cloud controlada.