Móviles pero seguros: No hay ventajas sin inconvenientes

El crecimiento de la movilidad en la empresa, alimentado por la aparición de nuevos dispositivos que dan a los empleados acceso a Internet y a las aplicaciones corporativas desde cualquier lugar, provoca en muchos casos auténticas pesadillas a los responsables de seguridad corporativa.

Dado que los dispositivos móviles tienden a disminuir su tamaño físico, aumentando al mismo tiempo sus capacidades lógicas, los empleados tienen cada vez más fácil transportar con ellos grandes cantidades de valiosa información corporativa allá donde vayan. Los teléfonos celulares multiuso de hoy en día pueden almacenar hasta 2 GB de datos en una tarjeta extraíble miniSD (Secure Digital). Además, los iPhones, los BlackBerrys y los laptops, cada vez más habituales entre los trabajadores, no dejan de constituir soportes igualmente móviles, cargables con datos corporativos y susceptibles de ser extraviados e incluso robados.
Todos estos dispositivos móviles representan las nuevas fronteras de las redes corporativas, eso sí, unas fronteras más difusas, cambiantes e impredecibles que nunca. Si tenemos en cuenta además que los controles de seguridad de tales dispositivos suelen ser un desastre, el reto adquiere proporciones más que peligrosas. La seguridad TI empresarial no ha sabido mantenerse ni mucho menos a la altura de las nuevas circunstancias.
Entre los principales motivos de la actual indefensión de las redes empresariales cabe destacar la excesiva facilidad para utilizar e infiltrar configuraciones por defecto sobre los dispositivos móviles, así como el hecho de que la mayoría de sistemas de archivos móviles no estén aislados, de forma que, cuando un área resulta afectada, la totalidad del dispositivo queda comprometida. La situación se agrava aún más por la dificultad de administrar e imponer parches de seguridad sobre la generalmente heterogénea miríada de terminales móviles existente en muchas empresas.
Antes de desarrollar una estrategia corporativa de seguridad móvil, hay que tener presente que existen dos áreas diferentes a las que pueden dirigirse las amenazas móviles: los datos y los accesos. En consecuencia, conviene prestar especial atención, por una parte, a la protección de los datos almacenados en el dispositivo y, por otra, a la prevención de accesos Web maliciosos a las redes corporativas a través de los dispositivos móviles, en caso, por ejemplo, de robo intencionado. Ambos aspectos exigen un enfoque diferenciado.
Uno de los objetivos más compartidos de la industria es la reducción del tamaño de los móviles. Esto puede ser una ventaja en muchos sentidos, pero dado que se trata de terminales cada vez más pequeños, es probable que ni siquiera dispongan de la potencia de procesamiento u otros recursos necesarios para proteger los datos. Los teléfonos celulares, por ejemplo, carecen de la potencia de procesamiento suficiente para soportar herramientas de encriptación efectivas, hasta el punto de que las soluciones de software de cifrado para estos terminales pueden llegar a tardar hasta 10 minutos en codificar los datos. Algo que, precisamente, entra en conflicto con lo que generalmente se pretende ofrecer a la fuerza de trabajo móvil: facilidad de uso, comunicación en tiempo real y rendimiento.

 Quizá haya quien considere innecesaria la aplicación de técnicas de encriptación si no se transportan datos personales. Puede pensarse que existen pocas probabilidades de que un laptop, PDA o teléfono celular perdido caiga finalmente en manos de algún competidor que pueda utilizar en su propio beneficio la información sensible corporativa. Sin embargo, tal probabilidad aumenta de forma exponencial si la pérdida se produce en determinadas circunstancias; por ejemplo, en una feria sectorial o en una conferencia de negocio. Si alguien extravía su disco duro o su disco flash en tales lugares, las posibilidades de que alguien lo recoja y decida aprovechar la ocasión para conseguir información de su competidor no son demasiado remotas. Las empresas y los trabajadores que transportan móviles deben ser conscientes de que en tales casos estarán perdiendo activos. Por tanto, resulta esencial que los protejan para que nadie más pueda leerlos. También deben estar seguros de que existe copia de la información en algún lugar siempre bajo su control.

Prácticas y funcionalidades básicas
La mayoría de los analistas de seguridad coinciden en recomendar algunas prácticas de seguridad más o menos básicas para proteger los dispositivos móviles de los empleados de robos, hackers y pérdidas. En primer lugar, el departamento TI debería controlar siempre la información que atraviesa las fronteras físicas de la empresa; es decir, la naturaleza de los datos que de ella salen. Según IDC, ha de empezarse tratando estos dispositivos móviles de la misma manera en que se trataría a un PC. En realidad, es lo que son. Y, por tanto, resulta imprescindible gestionarlos como tales. Nadie cuestionaría que la seguridad constituye una de las partes esenciales de la gestión de los ordenadores.
Un enfoque adecuado en este punto pasará por centralizar una estrategia de seguridad móvil, coherente con la estrategia de seguridad corporativa global e integrada con ella. También resultará imprescindible identificar a qué información se está accediendo desde los móviles, etiquetarla según los casos como sensible o “no clasificada” y después controlar en consecuencia su difusión. Además, es conveniente controlar acciones como los archivos adjuntos desde equipos del exterior o el uso de dispositivos que no se atengan a los estándares corporativos. Para las comunicaciones B2B, de empresa a empresa, es recomendable el uso de VPN u otros tipos de mecanismos de seguridad adicionales.
Además de controlar los accesos según tipos de información, la mayoría de las empresas debería exigir tres capacidades esenciales en su software de seguridad móvil: autenticación, encriptación y funcionalidades de limpiado y bloqueo que permitan inutilizar el dispositivo remotamente. Por ejemplo, si se cuenta con algún tipo de contraseña para el encendido, la persona que robe o encuentre el dispositivo no podrá tener acceso a él. Es un buen paso para empezar.
Aunque también es recomendable añadir las capacidades de borrar o bloquear los dispositivos en remoto, a menos que tales acciones sean llevadas a cabo rápidamente, la persona en cuyas manos cayera eventualmente el móvil podría evitar su eficacia simplemente extrayendo la bater&iacut

Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital