A pesar de la creciente tendencia que permite el uso de dispositivos móviles personales en las empresas, pocas organizaciones están llevando una gestión adecuada de estos dispositivos en la red. He aquí algunas recomendaciones.
En aras de la productividad, las empresas han abierto canales de comunicación y acceso a sus redes y a la información de sus servidores para los ejecutivos y el personal que necesita trabajar constantemente fuera de la oficina, ya sea por viajes de negocio o por ser asignados a proyectos en instalaciones del cliente, entre otras cosas.
En un principio, la empresa entregaba al usuario un equipo portátil configurado con las políticas y controles de seguridad de la organización. En caso de fallas o virus, el empleado acudía siempre al área de TI. Pero la evolución de la tecnología ha permitido que hoy en día los empleados posean dispositivos móviles mucho más ligeros y portables, y en algunos casos hasta más potentes. Sin embargo, por tratarse de dispositivos pertenecientes al usuario, el tema de la implementación de controles y la privacidad de la información se complica.
Las fronteras entre lo permitido y lo prohibido por las políticas se tornan difusas; la descarga de aplicaciones, el tipo de antivirus implementado, la frecuencia en la instalación de actualizaciones y el uso que se le de al dispositivo escapa de las manos del personal de TI, quien de todas maneras debe asegurarse de que la información corporativa estará protegida. ¿Qué tipo de controles deben implementar sin violentar la privacidad del usuario en su propio móvil?
Esta no es una pregunta que deba quedarse en el aire ante la alarmante cifra de pérdida de datos sensibles que han experimentado las empresas por no implementar medidas de seguridad a la par que implementan BYOD (Bring Your Own Device). Un estudio de Unisys indica que 51% de las empresas encuestadas perdieron datos corporativos durante los últimos 12 meses debido al uso inseguro de dispositivos móviles.
De acuerdo con Unisys, en 2010 un 44% de los trabajadores aseguraba que el portátil, smartphone o tablet se había convertido en la herramienta más crítica para su trabajo. En 2011 ese porcentaje subió hasta un 53% y en 2012 alcanzó 65%. Sin embargo, la adopción de medidas de seguridad para móviles BYOD no ha crecido de la misma manera.
La consumerización y los retos de seguridad
Una encuesta realizada por Fortinet entre más de 3,800 usuarios de dispositivos móviles confirma que la adopción de BYOD va en crecimiento. Casi tres cuartas partes (74%) de los encuestados ya utilizan este esquema, considerado por 55% de los respondientes como un “derecho laboral”, más que un “privilegio”.
De acuerdo con Fortinet, 42% de los encuestados reconoce los riesgos de seguridad, pero ello no impide que traten de eludir las políticas corporativas. De hecho, más de un tercio de los encuestados (36%) admitieron que han violado o violarían la política corporativa que prohíbe el uso de dispositivos personales para propósitos de trabajo. Además, la mayoría (66%) de los encuestados considera que es su responsabilidad la seguridad de los dispositivos; es decir, que la gente de TI no se meta.
Y al parecer, de hecho, no se están metiendo mucho aún. Otra encuesta, realizada por Software AG, indica que casi dos tercios de las empresas no tienen definida una estrategia de movilidad que abarque a toda la empresa, y casi un 40% ni siquiera consideran elaborar próximamente su estrategia. Esto, a pesar de que 73% de los encuestados confirmaron que sus organizaciones ya tienen o planean implementar BYOD.
Estos datos confirman los de un estudio de Symantec, el cual mostró que 60% de las empresas no tenían una política BYOD, pero más de 90% de los empleados pueden utilizar sus propios dispositivos en el trabajo.
Los móviles personales se están conectando a la red corporativa, manejan datos y sustraen información. Por ello es imperativo que el área de TI extienda las fronteras de la protección de los datos empresariales a través de la gestión de dispositivos móviles, o Mobile Device Management (MDM). La clave es proporcionar un servicio que ofrezca soporte a los dispositivos de los empleados, bajo responsabilidad individual, así como a los equipos de la empresa.
Medidas de control
Existen muchos métodos para aplicar políticas y controles de seguridad a los dispositivos móviles personales, dependiendo del tipo de empresa y los recursos del personal de TI. Aquí les dejamos algunas sugerencias.
De acuerdo con Serdar Yegulalp, autor de varios artículos sobre TI en diversas publicaciones, existen tres enfoques recomendados. El primero se denomina “contenedor” o “caja de arena” y consiste en establecer políticas para limitar lo que entra o sale, de tal manera que si algún dispositivo no está registrado dentro de un grupo con permisos para transmitir video, por ejemplo, simplemente no podrá enviar la señal a un proyector.
El segundo enfoque utiliza un esquema de virtualización que permite manejar dos perfiles: el del trabajador, con sus permisos específicos, y el del dispositivo, cuyos permisos pueden ser distintos a los que se han asignado al empleado. Finalmente, Yegulalp propone el “encapsulamiento de aplicaciones”, que consiste en implementar políticas para aplicaciones específicas, independientemente de los permisos asignados al usuario o equipo móvil.
Por su parte, Unisys recomienda utilizar siempre un código PIN para acceder a los móviles, tanto al momento de encenderlo como después de que han estado en modo de espera. La activación de un modo de borrado remoto es fundamental, así como el uso de contraseñas seguras para acceder a aplicaciones y servicios, sugiere la empresa.
Algunos mecanismos de control requieren del soporte de los fabricantes o proveedores de servicio, como la opción de borrado remoto de datos, pero ya no se puede pensar en dispositivos personales que no incluyan medidas de control y protección de la información. No importa qué tanto se orienten hacia el uso personal, los equipos móviles deben ser pensados para trabajar amigablemente con los esquemas empresariales.
Y mientras eso sucede, los departamentos de TI deben asegurarse de que su información corporativa estará protegida.
10 consejos de seguridad ante la práctica BYOD
Para hacer frente a los riesgos de seguridad que implica la consumerización, LabTech Software aconseja:
1. Contar con políticas que definan con exactitud la situación de los dispositivos BYOD en las organizaciones.
2. Especificar qué dispositivos móviles están permitidos.
3. Establecer una política estricta respecto de las contraseñas de seguridad que aplique a todos los dispositivos conectados a la red.
4. Definir políticas de seguridad especialmente claras en relación los dispositivos BYOD incluso a nivel contractual con los empleados.
5. Dejar bien claro quién es el dueño de las aplicaciones y los datos corporativos.
6. Especificar qué aplicaciones están autorizadas y cuáles están prohibidas.
7. Establecer políticas de uso de la red empresarial para todos los dispositivos móviles, ya sean corporativos o en formato BYOD.
8. Dejar en claro que la empresa puede suspender el acceso en caso de detectar actividad no autorizada.
9. Desarrollar una estrategia que asegure la información y accesos cuando un empleado deje la empresa.
10.Utilizar una herramienta para el monitoreo remoto de su red.
