Un caso prácticos y cómo los CIO están tomando el control de los riesgos para la seguridad móvil, al mismo tiempo de brindar a los usuarios opciones en el uso de dispositivos móviles.
Escenario: Proteger datos sensibles en los dispositivos móviles
Sonya Christian, CIO de West Georgia Health
La rápida proliferación de nuevos e innovadores dispositivos móviles representa lo mejor y lo peor de los tiempos para los departamentos de TI. Por un lado, tenemos a usuarios finales realmente emocionados por la promesa de TI en sus vidas profesionales. Tenemos a doctores que pueden tener acceso a la información médica que pudieran necesitar desde un dispositivo que pueden llevar en el bolsillo de sus batas. Por otro lado, los dispositivos móviles significan que se tiene acceso a información protegida desde cualquier lugar, no sólo desde los sistemas en los escritorios. En TI, ya no queremos estar diciendo “no” todo el tiempo. Queremos adoptar la innovación en TI y hacerle la vida más sencilla a los usuarios finales. Pero, ¿cómo podemos integrar los dispositivos móviles más recientes y espectaculares a nuestro entorno sin aumentar considerablemente el riesgo para los datos?
Actualmente, utilizamos seguridad de doble capa, primero con nuestra autenticación de directorios activos de Citrix y después protegiendo las aplicaciones con una contraseña o NIP. A pesar de estas medidas técnicas, no podemos ejercer el mismo nivel de control en los dispositivos personales como lo haríamos con el equipo propiedad del hospital. Con esto en mente, ¿cómo podemos asegurar que los usuarios tomen las decisiones correctas sobre acceder y almacenar información sensible? ¿Y cómo debemos proteger los datos en los casos en que los usuarios tomen la opción incorrecta?
Sugerencia: Asegure las aplicaciones y la información
Neil Clover, CTO, ARUP
No soy tan ingenuo como para pensar que puedo anticipar las amenazas a seguridad que representan los dispositivos móviles; el espacio ya es demasiado grande, y está creciendo rápidamente. Pero la seguridad al nivel de los dispositivos es bastante costosa. Lo que hicimos fue atacarlo al nivel de las aplicaciones, teniendo cuidado de no interferir en la experiencia de los usuarios que hace a dispositivos como el iPhone tan populares.
Permitimos que los usuarios se conecten a las aplicaciones corporativas a través de Internet o, si es posible, de aplicaciones móviles. De hecho, decir “nosotros” es un poco deshonesto, ya que son los usuarios finales quienes hacen la mayoría del trabajo. Les enseñamos cómo conectar sus dispositivos y tuvieron acceso de acuerdo con los privilegios y permisos que les otorgamos a nivel de aplicaciones. No utilizamos Citrix porque agregaba una capa innecesaria de complejidad que molestaba a los usuarios.
Sin embargo, sí ejercimos un poco de control tras bambalinas. Si un usuario final trataba de conectarse a nuestro sistema, se le pedía registrar el dispositivo con nosotros y asignarle una contraseña. El registro nos dio el acceso a dónde, en caso de que el dispositivo fuera robado, podíamos realizar un borrado remoto del dispositivo y eliminar toda la información almacenada localmente. Además, rastreamos y controlamos el acceso a documentos específicos a través de nuestro sistema de administración de documentos, de modo que la información sensible estaba protegida mediante contraseñas incluso si el dispositivo estaba viajando a 80 km/hr en el asiento trasero de un taxi.
Sugerencia: Eduque a los usuarios sobre el riesgo personal
Lon Anderson, vicepresidente de TI Corporativo, ICF International
Para asegurar los dispositivos móviles, nuestras políticas para dispositivos y la protección de datos eran muy liberales y no muy diferentes a las que se aplicaban para las laptops. Estaba bastante consciente de la buena voluntad hacia TI que estos dispositivos tenían y no quería hacer nada que pudiera afectar negativamente la productividad de los usuarios. Para tener acceso a los sistemas corporativos, los usuarios registraban el dispositivo con TI y aceptaban la protección mediante una contraseña de acuerdo con los estándares corporativos, incluyendo software para poder hacer borrados remotos en el caso de los dispositivos robados. No tuvimos que sumar el monitoreo del tráfico Web o eliminar automáticamente las cookies. Asimismo, dependimos del conocimiento de lo usuarios sobre las amenazas potenciales para la seguridad.
Los usuarios finales no se comportan como nos gustaría que lo hicieran porque la amenaza es tan abstracta y las tácticas son bastante invasivas. No le temen a la intrusión a los datos corporativos tanto como a la pérdida de un número de tarjeta de crédito. Ya que los dispositivos móviles personales contienen mucha información personal, enfatizamos los riesgos que más probablemente los usuarios aceptarían o a los que reaccionarían: los personales. Si puedo convencer al usuario de un riesgo personal – en términos de la probabilidad de que suceda la brecha y el potencial impacto severo de que los datos sean robados o se pierdan – estarían más dispuestos a aceptar nuestros controles. Al proteger la información personal también se protege la información corporativa en el proceso.
