Sin cables, pero con orden
Gestión y seguridad de la fuerza móvil
La generalización de los móviles en la empresa está obligando a los responsables de TI ha tener que moverse por territorios inexplorados. El uso laboral de teléfonos móviles, smartphones, blackberries, PDA y todo tipo de dispositivos mejora la productividad y agiliza el flujo de información, pero expone la seguridad corporativa a nuevos riesgos.
Calcula IDC que en 2009 habrá 878 millones de trabajadores accediendo a las redes corporativas por medio de un amplio conjunto de dispositivos móviles. Una estimación que supone un crecimiento del 20% anual del número de empleados que introducen y descargan desde sus terminales móviles datos, voz y vídeo relacionados con información de clientes, datos financieros e incluso propiedad intelectual. Una mezcla sensible y explosiva si no se securiza adecuadamente.
De momento, según los resultados de un estudio de IDC realizado para Nokia, ya en 2006 había en España más de 45.000 usuarios que accedían por el móvil al correo electrónico y 230.000 que se conectaban a Internet del mismo modo. Las aplicaciones más sofisticadas, como acceso a sistemas de fuerzas de ventan, ERP o CRM, con alrededor de 40.000 usuarios, prácticamente sólo estaban presentes el año pasado en algunos grandes proyectos de sectores muy verticales, aunque se espera que esa cifra se duplique en 2007 y los años sucesivos. Aún tendremos que esperar para ver la implantación de la movilidad en áreas como gestión de inventario, automatización de la cadena de suministros, el acceso a las intranets corporativas y otros desarrollos relacionados con el marketing, pero, en cualquier caso, el uso actual de estas tecnologías ya está encendiendo el piloto rojo en muchos departamentos de TI, donde todavía es frecuente la carencia de una estrategia global de gestión y protección de los datos que fluyen por este tipo de dispositivos. Por lo general, no cuentan con medidas apropiadas de seguridad de la red para hacer frente a esta nueva forma de hacer negocio; ni siquiera encriptación o autenticación. Y esto pone a sus organizaciones en una situación precaria.
Planificación
Uno de los mayores problemas a los que se están enfrentando los departamentos de TI es el hecho de que los dispositivos móviles corporativos se encuentran en muchos casos bajo la única responsabilidad de sus usuarios. Los trabajadores están introduciendo en la empresa todo tipo de terminales para acceder sin cables a su email, lista de contactos, calendario y aplicaciones de negocio, canalizando así información por la telefonía móvil y sincronizándola con las aplicaciones disponibles en las mesas de trabajo. Estas herramientas pueden parecer inofensivas, pero si con ellas se manejan datos de misión crítica y llegan a perderse o ser robados, la empresa y su reputación se verá en peligro.
Hasta ahora, sin embargo, pese a los evidentes retos que supone la tecnología móvil para la empresa, muchos responsables de TI ignoran el problema, excusándose en la falta de tiempo, de presupuesto o de recursos. Pero la pérdida o filtración de información sensible es un riesgo lo suficientemente crítico para empezar a considerarlo. Como lo es la necesidad del cumplimiento normativo, que obliga a los departamentos de TI a garantizar la custodia de los datos corporativos.
Un gran problema hasta ahora es que en la empresa la seguridad de los móviles estaba separada del resto de las estrategias de de TI, cuando la política de seguridad corporativa debe ser global. Al fin y al cabo, el dispositivo móvil es un elemento más de la empresa, como lo es el ordenador. Los responsables de TI y los directivos corporativos que son conscientes del riesgo deben integrar la gestión de dispositivos y la seguridad de todos los factores que abarca la movilidad en su estrategia de red global.
¿Qué? ¿Para qué?
Pero ¿por dónde empezar? Lo primero será determinar qué dispositivos se están usando en la empresa. No es extraño que el departamento de TI desconozca que el departamento de ventas, por ejemplo, utiliza smartphones para que los comerciales puedan acceder a sus listas de llamadas mientras viajan, o que los directivos se estén comunicando entre sí mediante Blackberries. Conviene, por tanto, hablar con los responsables de todas las unidades de negocio para identificar las herramientas móviles que se están usando realmente para acceder a la red.
En segundo lugar, tras saber qué dispositivos se utilizan en la empresa, hay que conocer cómo se están usando. ¿Están descargando exclusivamente información estática, como nombres y direcciones? ¿Acceden remotamente a los ordenadores de sobremesas? ¿Introducen y extraen datos de la red? En cualquiera de los casos, estas prácticas suponen un riesgo de exposición a virus y de vulnerabilidad ante los hackers.
Una vez obtenida información sobre cómo los dispositivos interactúan con la red, conviene reunirse con los responsables de la compañía para determinar el nivel de gestión y seguridad de los terminales y usuarios. Si se determina que, pese a su riesgo potencial, no es posible renunciar al valor que la movilidad aporta al negocio, habrá que asumir directamente la compra, distribución, gestión y mantenimiento de todos los terminales móviles que se utilicen en la empresa. Aunque esto pueda representar una enorme apuesta en cuanto a recursos financieros y mano de obra, la pérdida de datos o de infiltración en la red podría ser aún más costosa.
Una de las medidas iniciales es evaluar quién necesita verdaderamente acceso móvil y a qué recursos. Es posible, por ejemplo, limitar las áreas a las que los usuarios puedan acceder mediante dispositivos móviles. Por ejemplo, aunque podría estar perfectamente justificado que el equipo de ventas acceda a las listas de llamadas de sus clientes, podría no ser aconsejable que el personal administrativo pueda acceder a información contable desde sus móviles. Al fin y al cabo, los usuarios no son los dueños de los datos, sino la empresa, y esta es la máxima responsable de su seguridad.
Pero la asignación de derechos de acceso no se puede decidir desde la torre de marfil en que a veces se convierten los departamentos de TI. Es preciso consultar con todas las unidades de negocio para evaluar el binomio productividad/riesgo de cada actividad en concreto. En un primer momento, se puede pensar que exponer al acceso móvil determinados recursos es un riesgo demasiado elevado, pero sólo los responsables de cada unidad tienen el conocimiento adecuado para probar que una prohibición en tal sentido afectará adversamente al negocio. Por ejemplo, si un usuario viaja con mucha frecuencia, denegarle el acceso a información relevante para su trabajo por problemas de seguridad podría acabar por reducir su productividad global.
Control de accesos
Hay muchas maneras de gestionar y securizar los dispositivos móviles sin prohibirlos en su totalidad. La primera y más importante consiste en borrar datos remotamente y desde una localización central de un dispositivo cuando es robado o se extravía, una posibilidad que hoy ofrecen muchos paquetes disponibles en el mercado. También es de gran utilidad disponer de mecanismos que permitan extraer datos de los dispositivos para almacenarlos en la red corporativa. De este modo, si han de ser reparados o si sus usuarios se van de la empresa sin devolverlo
Calcula IDC que en 2009 habrá 878 millones de trabajadores accediendo a las redes corporativas por medio de un amplio conjunto de dispositivos móviles. Una estimación que supone un crecimiento del 20% anual del número de empleados que introducen y descargan desde sus terminales móviles datos, voz y vídeo relacionados con información de clientes, datos financieros e incluso propiedad intelectual. Una mezcla sensible y explosiva si no se securiza adecuadamente.
De momento, según los resultados de un estudio de IDC realizado para Nokia, ya en 2006 había en España más de 45.000 usuarios que accedían por el móvil al correo electrónico y 230.000 que se conectaban a Internet del mismo modo. Las aplicaciones más sofisticadas, como acceso a sistemas de fuerzas de ventan, ERP o CRM, con alrededor de 40.000 usuarios, prácticamente sólo estaban presentes el año pasado en algunos grandes proyectos de sectores muy verticales, aunque se espera que esa cifra se duplique en 2007 y los años sucesivos. Aún tendremos que esperar para ver la implantación de la movilidad en áreas como gestión de inventario, automatización de la cadena de suministros, el acceso a las intranets corporativas y otros desarrollos relacionados con el marketing, pero, en cualquier caso, el uso actual de estas tecnologías ya está encendiendo el piloto rojo en muchos departamentos de TI, donde todavía es frecuente la carencia de una estrategia global de gestión y protección de los datos que fluyen por este tipo de dispositivos. Por lo general, no cuentan con medidas apropiadas de seguridad de la red para hacer frente a esta nueva forma de hacer negocio; ni siquiera encriptación o autenticación. Y esto pone a sus organizaciones en una situación precaria.
Planificación
Uno de los mayores problemas a los que se están enfrentando los departamentos de TI es el hecho de que los dispositivos móviles corporativos se encuentran en muchos casos bajo la única responsabilidad de sus usuarios. Los trabajadores están introduciendo en la empresa todo tipo de terminales para acceder sin cables a su email, lista de contactos, calendario y aplicaciones de negocio, canalizando así información por la telefonía móvil y sincronizándola con las aplicaciones disponibles en las mesas de trabajo. Estas herramientas pueden parecer inofensivas, pero si con ellas se manejan datos de misión crítica y llegan a perderse o ser robados, la empresa y su reputación se verá en peligro.
Hasta ahora, sin embargo, pese a los evidentes retos que supone la tecnología móvil para la empresa, muchos responsables de TI ignoran el problema, excusándose en la falta de tiempo, de presupuesto o de recursos. Pero la pérdida o filtración de información sensible es un riesgo lo suficientemente crítico para empezar a considerarlo. Como lo es la necesidad del cumplimiento normativo, que obliga a los departamentos de TI a garantizar la custodia de los datos corporativos.
Un gran problema hasta ahora es que en la empresa la seguridad de los móviles estaba separada del resto de las estrategias de de TI, cuando la política de seguridad corporativa debe ser global. Al fin y al cabo, el dispositivo móvil es un elemento más de la empresa, como lo es el ordenador. Los responsables de TI y los directivos corporativos que son conscientes del riesgo deben integrar la gestión de dispositivos y la seguridad de todos los factores que abarca la movilidad en su estrategia de red global.
¿Qué? ¿Para qué?
Pero ¿por dónde empezar? Lo primero será determinar qué dispositivos se están usando en la empresa. No es extraño que el departamento de TI desconozca que el departamento de ventas, por ejemplo, utiliza smartphones para que los comerciales puedan acceder a sus listas de llamadas mientras viajan, o que los directivos se estén comunicando entre sí mediante Blackberries. Conviene, por tanto, hablar con los responsables de todas las unidades de negocio para identificar las herramientas móviles que se están usando realmente para acceder a la red.
En segundo lugar, tras saber qué dispositivos se utilizan en la empresa, hay que conocer cómo se están usando. ¿Están descargando exclusivamente información estática, como nombres y direcciones? ¿Acceden remotamente a los ordenadores de sobremesas? ¿Introducen y extraen datos de la red? En cualquiera de los casos, estas prácticas suponen un riesgo de exposición a virus y de vulnerabilidad ante los hackers.
Una vez obtenida información sobre cómo los dispositivos interactúan con la red, conviene reunirse con los responsables de la compañía para determinar el nivel de gestión y seguridad de los terminales y usuarios. Si se determina que, pese a su riesgo potencial, no es posible renunciar al valor que la movilidad aporta al negocio, habrá que asumir directamente la compra, distribución, gestión y mantenimiento de todos los terminales móviles que se utilicen en la empresa. Aunque esto pueda representar una enorme apuesta en cuanto a recursos financieros y mano de obra, la pérdida de datos o de infiltración en la red podría ser aún más costosa.
Una de las medidas iniciales es evaluar quién necesita verdaderamente acceso móvil y a qué recursos. Es posible, por ejemplo, limitar las áreas a las que los usuarios puedan acceder mediante dispositivos móviles. Por ejemplo, aunque podría estar perfectamente justificado que el equipo de ventas acceda a las listas de llamadas de sus clientes, podría no ser aconsejable que el personal administrativo pueda acceder a información contable desde sus móviles. Al fin y al cabo, los usuarios no son los dueños de los datos, sino la empresa, y esta es la máxima responsable de su seguridad.
Pero la asignación de derechos de acceso no se puede decidir desde la torre de marfil en que a veces se convierten los departamentos de TI. Es preciso consultar con todas las unidades de negocio para evaluar el binomio productividad/riesgo de cada actividad en concreto. En un primer momento, se puede pensar que exponer al acceso móvil determinados recursos es un riesgo demasiado elevado, pero sólo los responsables de cada unidad tienen el conocimiento adecuado para probar que una prohibición en tal sentido afectará adversamente al negocio. Por ejemplo, si un usuario viaja con mucha frecuencia, denegarle el acceso a información relevante para su trabajo por problemas de seguridad podría acabar por reducir su productividad global.
Control de accesos
Hay muchas maneras de gestionar y securizar los dispositivos móviles sin prohibirlos en su totalidad. La primera y más importante consiste en borrar datos remotamente y desde una localización central de un dispositivo cuando es robado o se extravía, una posibilidad que hoy ofrecen muchos paquetes disponibles en el mercado. También es de gran utilidad disponer de mecanismos que permitan extraer datos de los dispositivos para almacenarlos en la red corporativa. De este modo, si han de ser reparados o si sus usuarios se van de la empresa sin devolverlo
