¡AHÍ VIENEN!

Le guste o no a la empresa, el personal cargará datos sensibles en sus teléfonos inteligentes. He aquí cómo mantenerse seguros. Por Sean Ginevan

 

“¿Tiene su empresa alguna política de seguridad en cuanto a acceso a datos mediante dispositivos móviles?” Es la pregunta que la publicación hermana InformationWeek hizo a sus lectores el verano pasado, y a menos que las cosas hayan mejorado considerablemente desde entonces, lo más probable es que la mayoría de las organizaciones sigan sin tenerla. El problema estriba en que los empleados usan sus smartphones en el trabajo, sea que exista un equipo de seguridad o no. En la encuesta citada, que data de julio, 82% de los dueños de teléfonos inteligentes dijo usar su dispositivo para leer e-mail del negocio; 80%, para navegar por los sitios Web de la corporación, y 61%, para accesar datos de la empresa.

Y no hay razón para pensar que los gerentes suprimirán dicha tendencia: 74% de los usuarios apuntó que paga sus propias facturas celulares, mientras que 65% compró el smartphone con su propio dinero, lo cual significa más productividad con poco o ningún gasto para la compañía. Entonces, ¿qué es lo que no acaba de cuadrar?

Muchas cosas, en realidad. Si bien tener empleados móviles incrementa la productividad, el riesgo para la seguridad crece dramáticamente sin la participación del área IT. Con todo, sólo 31% de los lectores encuestados por InformationWeek dijo que dicho departamento soporta teléfonos celulares y PDA. Y es que cuando la empresa no es propietaria de los dispositivos, no puede regular lo que los usuarios compran. Soportar una mezcolanza de sistemas es una pesadilla. Así que hay que superar esta tendencia. Quienes no lo hacen acaban encontrándose en una posición insostenible. Si bien la organización quizá no posea los activos físicos, de todos modos es propietaria de los datos que los usuarios finales almacenan en sus teléfonos. En cuanto la información de la empresa aterriza en un teléfono inteligente, se convierte en un activo del negocio que requiere ser asegurado.

Los CIO tienen dos opciones: congelar los dispositivos móviles, impidiendo la instalación de programas de sincronización, como ActiveSync, y el acceso a los servidores de la empresa desde dispositivos móviles, o cerrar los puertos USB de las PC de la empresa. Desde luego, los empleados perderán el tiempo tratando de saltarse estos obstáculos. Una mejor ruta es instalar la mezcla correcta de políticas y de obligatoriedad tecnológica para mantener salvos los datos, sin perder de vista los beneficios de la movilidad.

 

 

PRIMERO LO PRIMERO. La encripción móvil ha avanzado mucho, pero la tecnología es sólo parte de todo el asunto. A la hora de la subasta había más de 3,300 BlackBerrys en uso enlistados en eBay. Si uno de ellos hubiera cargado con datos sensibles, nada podría haber hecho la tecnología. Es preciso definir una política corporativa que cubra la selección de los dispositivos, su entrega, despliegue, uso, mantenimiento, recuperación y deshecho. Es preciso resistir la tentación de tratar de diferente manera los dispositivos de los ejecutivos. Una empresa es tan segura cuanto lo es su nexo más débil, y un teléfono inteligente tiene más probabilidad de perderse que una laptop. Los ejecutivos no son más inmunes que los demás y pueden transportar datos más sensibles.

Al redactar la política de la compañía es necesario comenzar con medidas básicas de protección de los datos, como la encripción, reforzar las contraseñas y garantizar que los datos se puedan borrar a distancia en caso de que se pierdan o sean robados; la mayoría de los sistemas de entrega de e-mail, de manejo de los dispositivos y de seguridad tienen esta característica. Entre las políticas más específicas están: imponer el uso de redes privadas virtuales (VPN) y obligar a los usuarios a que instalen antivirus, firewalls u otro software de seguridad.

 

Las políticas de seguridad no son estáticas; es preciso actualizarlas periódicamente para hacer frente a los cambios en las necesidades del negocio y a medida que se implementan las tecnologías más recientes. Asimismo, hay que inculcar a los usuarios que la pérdida de un dispositivo tiene más costo que la simple perdida del dispositivo físico.

 

¿Implementar políticas de uso significa que las empresas son las que deben proporcionar los dispositivos? Quizá. Es más fácil implementar políticas y desplegar software de seguridad cuando la empresa es la propietaria del dispositivo físico. Desde luego, existe una razón para que el departamento IT no insista en entregar los dispositivos móviles: el mercado de los smartphones está impulsado por los consumidores, lo cual significa que los ciclos de modernización del hardware son acelerados. Los fabricantes de seguridad y gestión móviles se desempeñan bien en la venta de los dispositivos más populares, pero las capacidades de seguridad de hardware avanzado, como el cierre de cámaras o la capacidad de inhabilitar las ranuras de las tarjetas SD (seguridad digital), no están generalizadas. Si los empleados pueden almacenar datos en sus propios dispositivos, la mejor solución es contrarrestar esa opción emitiendo (y actualizando continuamente) un menú de hardware soportado por el proveedor de seguridad móvil al que recurre la empresa.

 

En este terreno hay que decir que proponerse evitar las trampas del despliegue de dispositivos móviles exige ciertas inversiones fuertes, por lo que es preciso determinar cuántas amenazas merodean en la empresa.

 

Por tanto, no hay que perder de vista el riesgo. La primera tarea es prevenir la pérdida de datos, y vaya que son muchos los datos que puede llegar a contener cada dispositivo. Los teléfonos inteligentes, a pesar de su soporte de conexiones celulares, a menudo mantienen los datos de la empresa en caché, por lo que pueden ser accesibles incluso si el usuario está fuera de la cobertura o requiere operar el dispositivo con la radio apagada, como en un avión. Por lo general, el e-mail quedará almacenado y los navegadores Web pueden conservar copias locales de los sitios Web de la empresa. Las aplicaciones de las empresas abarcan toda la gama, desde actuar sólo como una capa de presentación para el acceso a sistemas de bases de datos, hasta utilizar formas para mantener en caché incluso secciones enteras de bases de datos, dependiendo de cómo haya sido creada la aplicación.

La primera línea de defensa es la encripción, sea de carpetas o de todo el dispositivo, incluido el almacenamiento removible, como las tarjetas SD. Aquí puede haber ciertos tips: encriptar todo el almacenamiento del dispositivo garantiza que no se pierda dato alguno, pero puede perjudicar el desempeño; encriptar ciertas carpetas deja el desempeño intacto, pero exige una continua clasificación de los activos para asegurar que se encriptan los datos correctos. Dado que la velocidad de los dispositivos va en aumento y dado también que los usuarios pueden almacenar datos sensibles inadvertidamente en carpetas no encriptadas, lo mejor es la encripción de todo el disco.

 

Mucho se ha hablado de la necesidad de protección contra virus en los dispostivos móviles. Los grandes del ramo, como Kaspersky, MacAfee, Symantec y Trend Micro, tienen cierta protección contra virus móviles en sus portafolios. Hasta ahora, sin embargo, la mayor parte del software malicioso y virus que andan sueltos dan razón a los conceptos a los que apunta la plataforma Symbian, dados ciertos ataques a Windows Mobile. Pero iPhone, de Apple, puede ser el heraldo de lo que viene. Muchos de los esfuerzos por “abrir” el iPhone para instalar aplicaciones de terceros o permitir que el dispositivo corra en otras telefónicas se han logrado mediante fallas clásicas, como los ataques de irrupción de búfer. Si bien hasta ahora Apple ha sido diligente en parchar, ha habido acciones demostrables que ponen de manifiesto cómo los mismos métodos usados para abrir el iPhone se pueden emplear para trastornar el dispositivo.

 

“Lo que me preocupa es lo fácil que resulta enviar software malicioso a un dispositivo móvil; algo tan sencillo como tomar un BlackBerry y descargar un tono de llamada puede ser un vehículo potencial”, afirma David Brown, consultor de Forsythe Solutions Group, firma de servicios profesionales de IT.

 

La palabra clave es “potencial”. Hasta ahora no ha habido una penetración como la descrita por Brown, ni nada que se acerque al impacto de los gusanos Blaster o Código Rojo, que haya tenido lugar en una plataforma móvil. En algunos casos, los dispositivos móviles han gozado de seguridad gracias a la oscuridad; el panorama de sistemas operativos fragmentados también ayuda. Sin embargo, a medida que los smartphones estén cada vez más conectados a las redes y a los escritorios de las empresas, se volverán más seguros, y los atacantes centrarán su visión en los dispositivos móviles como la senda de menos resistencia a los datos. Quizá no se requiera todavía protección contra virus móviles, pero vale la pena evaluar si convendrá un despliegue de aquí a 12 o 18 meses, en particular si el perfil de los teléfonos inteligentes crece en la empresa.

 

ENFOQUE HOLÍSTICO. El número de productos dirigidos a fortalecer los problemas de seguridad móvil de las empresas pueden parecer abrumadores, y hay muchos jugadores establecidos en este campo. Para hacerse una idea de lo que estas suites pueden hacer, la publicación hemana InformationWeek probó algunas ofertas en su laboratorio: el Smartphone Security Management Software, de Trust Digital (que forma sociedad con GuardianEdge -certificado por el equipo de General Services Administration Data At Rest Tiger Team para seguridad de las laptops- y ha conseguido varios contratos tanto del gobierno como de la iniciativa privada) y el Mobile Security 5.0, de Trend Micro.

 

Ambas opciones contienen una variedad de métodos para asegurar los dispositivos móviles. La característica más interesante es el modelo de aplicaciones confiables de SSMS. Más que una simple lista blanca o negra para definir qué se puede o no correr en una aplicación, Trust Digital puede determinar qué aplicaciones pueden funcionar con ciertos tipos de datos. Por ejemplo, es posible especificar que sólo Word (Microsoft) puede accesar documentos de Word, lo cual puede resultar útil para protegerse contra maldosos. Uno de los principales diferenciadores entre Trust Digital y Trend Micro es que TMMS 5.0 se maneja desde la misma consola que el producto de seguridad de escritorio de Trend Micro.

 

Los modelos de encripción tanto de Trend Micro como de Trust Digital son buenos. Las empresas pueden definir las claves de encripción, que quedan limitadas a un dispositivo individual o a una base grupal, de modo que un usuario no puede tener encriptada su memoria con una sola clave de encripción; o sea, mientras que una tarjeta SD es encriptada con una clave compartida, también puede ser pasada a otros usuarios. Trend Micro y Trust Digital también incluyen características limitadas, como cierre de hardware y borrado vía remota. Trust Digital añade capacidades de distribución de software, pero por tratarse de un producto enfocado en la seguridad carece de algunas de las características avanzadas de inventario y de reporteo que se encuentran en otros sistemas de gestión de dispositivos móviles.

 

 

 APLICACIONES MÓVILES

¿Emplea su empresa actualmente aplicaciones móviles/inalámbricas que suponen comunicaciones a través de una red inalámbrica para accesar los datos de la compañía?

 

No       30%

Sí         70%

Fuente: Encuesta en línea de InformationWeek a 405 lectores en Estados Unidos

 

CINCO PASOS PARA MANTENER SEGUROS LOS DATOS MÓVILES

• 1. ESTABLECER UNA POLÍTICA que defina qué datos pueden ser llevados fuera de la compañía. No excluir a los ejecutivos.
• 2. ENCRIPTAR LOS DATOS que vayan a abandonar el edificio de la empresa. Muchas suites de gestión de movilidad disponen de capacidades de encripción.
• 3. ESTAR LISTOS PARA AÑADIR PROTECCIÓN contra software malicioso si las plataformas soportadas se vuelven vulnerables a nuevas penetraciones dirigidas contra dispositivos móviles.
• 4. NO PERDER DE VISTA LOS AVANCES EN BIOMÉTRICA para teléfonos inteligentes.
• 5. SI NO DESEA TOMAR EN CUENTA ESTOS PASOS, entonces considere cerrar las PC de la empresa para que los usuarios no instalen software de sincronización. Sin sincronización no habrá datos sensibles en los dispositivos móviles.

No hay artículos relacionados