No hay duda del potencial de los dispositivos móviles para mejorar la eficiencia y reducir los costos de los empleados de todo tipo de industrias. Tampoco puede dudarse del potencial de las vulnerabilidades de la seguridad que presentan los dispositivos móviles. Estos siete tipos le ayudarán a asegurar su entorno móvil sin agregar carga a su personal.
Los expertos en seguridad de la información le tienen apego al lenguaje que utilizan para explorar y explicar las amenazas que rutinariamente enfrentan las compañías y las organizaciones. Una noción particularmente interesante de este léxico es la de una “superficie de ataque”, que identifica un punto potencial de ataque en la información o los recursos financieros, en la propiedad intelectual o en la capacidad de hacer negocios.
Ya que un ataque exitoso trae consigo la posibilidad de tener una pérdida financiera, infracciones legales o regulatorias, o dañar la reputación, las mejores prácticas para lidiar con las superficies de ataque significan limitar la exposición a un acceso no deseado o no invitado, endureciéndolas contra los ataques e imponiendo lo que a menudo se denomina “defensa a profundidad”. Ésta requiere crear múltiples capas de protección alrededor de algo valioso; si una capa se traspasa, no se le da automáticamente a los chicos malos las llaves de la caja fuerte con el tesoro.
Todo esto hace relevante la seguridad para los dispositivos móviles. Cuanto más empleados y contratistas utilicen dispositivos móviles para tener acceso a los sistemas organizacionales, las aplicaciones y los datos, más importante es proteger dicho acceso. Además, es esencial evitar que los dispositivos que supuestamente aumentan la productividad y contribuyen con los ingresos abran un medio no autorizado para tener acceso a la información y otros activos; esto los convierte en un peligro y en una posible grieta por donde se escapará el dinero.
Dado que los dispositivos móviles son prácticamente blancos en movimiento utilizados fuera del perímetro de la organización – y por tanto, también fuera de sus firewalls, de la gestión de amenazas, del filtrado de spam y contenido y de otras herramientas utilizadas para mantener a raya a los malhechores – es vital aplicar una serie de mejores prácticas al uso de dispositivos móviles para mantener al mínimo la exposición al riesgo y a la pérdida. Como lo sabe cualquier experto en seguridad, hay una fina línea entre la seguridad suficiente para mantener las cosas seguras y protegidas y una delgada tela seguridad que se encuentra entre la gente y el trabajo que deben hacer.
Aunque es complicado y tiene sus costos, la siguiente lista de mejores prácticas de seguridad móvil pueden ayudarle a proteger los dispositivos móviles y a sus usuarios contra la exposición no deseada y la divulgación no autorizada de la propiedad intelectual, los secretos comerciales o las ventajas competitivas de la compañía u organización. Algunas de estas prácticas buscan asegurar los propios dispositivos móviles, mientras que otras buscan proteger los datos y las aplicaciones con las que los usuarios móviles necesitan interactuar. Todo esto ayudará a reducir el riesgo de pérdida o daño para su compañía u organización.
1. Los dispositivos móviles necesitan software antimalware
Una rápida mirada a las nuevas amenazas descubiertas recientemente muestra que los sistemas operativos móviles como iOS y (especialmente) Android se están convirtiendo cada vez más en blancos del malware, al igual que Windows, MacOS y Linux lo han sido por años. Alguien que quiera usar un dispositivo móvil para tener acceso a Internet debe instalar o actualizar el software antimalware de su teléfono inteligente o tableta. Y con mayor razón alguien que quiere usar dicho dispositivo para trabajar.
2. Comuniaciones móviles seguras
La mayoría de los expertos recomienda que todas las comunicaciones de los dispositivos móviles estén cifradas de forma predeterminada, simplemente porque las comunicaciones inalámbricas son muy fáciles de interceptar y espiar. Esos mismos expertos van un paso más allá para recomendar que las comunicaciones entre un dispositivo móvil y una compañía o un sistema o servicio basado en la nube requieren usar una VPN para que se permita tener acceso. Las VPNs no sólo incluyen un cifrado robusto, también ofrecen oportunidades de iniciar sesión, administrar y autenticar usuarios que desean usar un dispositivo móvil para tener acceso a las aplicaciones, servicios o escritorios o sistemas remotos.
3. Exija una autenticación robusta, utilice controles de contraseñas
Muchos dispositivos móviles modernos incluyen opciones de seguridad locales como sistemas biométricos integrados – lectores de huellas digitales, reconocimiento facial, reconocimiento de voz, etcétera – pero incluso los dispositivos más antiguos funcionarán con pequeños tokens de seguridad portátiles (o contraseñas únicas creadas a través de una variedad de medios como el correo electrónico y los sistemas telefónicos automáticos). Más allá de una simple cuenta y contraseña, los dispositivos móviles deben usarse con múltiples formas de autenticación para asegurarse de que la posición de un dispositivo móvil no dé acceso automáticamente a información y sistemas importantes.
De igual modo, se debe instruir a los usuarios habilitar y usar contraseñas para tener acceso a sus dispositivos móviles. Las compañías u organizaciones deben considerar si el peligro de pérdida o exposición significa que cierto número de intentos de inicio de sesión fallidos debe hacer que el dispositivo borre su almacenamiento interno. (La mayoría de los sistemas modernos incluyen una funcionalidad para borrar remotamente un teléfono inteligente o tableta, pero los sistemas de administración de dispositivos móviles pueden incluir también esa capacidad para los dispositivos más antiguos).
4. Controle el software de terceros
Las compañías u organizaciones que le dan a sus empleados dispositivos móviles deben establecer políticas para limitar o bloquear el uso de software de terceros. Esta es la mejor forma de evitar el posible compromiso y brechas de seguridad que se originan de la instalación intencional o accidental de software malicioso, repleto de backdoors y “black gateways” para llevar información a las manos equivocadas.
Para la administración de BYOD, el curso más seguro es requerir que dichos usuarios inicien sesión en un entorno de trabajo virtual remoto. Entonces, la información que va al dispositivo móvil es la pantalla de las aplicaciones y sistemas de trabajo; por lo tanto los datos no existen más una vez que termina la sesión remota. Ya que el acceso remoto invariablemente ocurre a través de conexiones VPN, las comunicaciones también son aseguradas – y las compañía pueden (y deben) implementar políticas de seguridad que prevengan la descarga de archivos a los dispositivos móviles.
5. Cree gateways móviles seguros
Es importante entender qué tipos de usos, y a qué sistemas y aplicaciones realmente necesitan tener acceso los usuarios móviles. Dirigir el tráfico móvil a través de gateways especiales con firewalls customizadas y controles de seguridad implementados – como el filtrado de protocolos y contenido y herramientas de prevención de pérdida de datos – mantiene a los empleados móviles enfocados en lo que pueden y deben estar haciendo lejos de la oficina. Eso también agrega protección a otros activos más valiosos a los que no necesitan tener acceso desde un dispositivo móvil.
6. Elija (o exija) dispositivos móviles seguros, ayude a los usuarios a bloquearlos
Los dispositivos móviles deben configurarse para evitar las redes inalámbricas inseguras, y Bluetooth debe ocultarse. De hecho, cuando no está en uso activo para audífonos, Bluetooth debe ser desactivado completamente. Prepare una configuración recomendada para los dispositivos móviles personales utilizados para trabajar – e implemente dichas configuraciones antes de que los usuarios comiencen a trabajar en sus dispositivos.
7. Realice auditorías regulares de la seguridad móvil, haga pruebas de penetración
Al menos una vez al año, las compañías y organizaciones deben contratar a una firma de pruebas de seguridad respetable para auditar su seguridad móvil y realizar pruebas de penetración en los dispositivos móviles que se utilizan. Dichas firmas también pueden ayudar a solucionar y mitigar los problemas que descubran, como algunas veces será el caso. Contrate a profesionales para hacer a sus dispositivos móviles lo que los chicos malos tratarán de hacerle tarde o temprano, y podrá protegerse contra los tipos de amenazas que puedan lanzar.
La seguridad es un estado mental
Si bien la seguridad móvil podría tener sus propios problemas y desafíos especiales, todo es parte de la infraestructura de seguridad que debe implementar para proteger a sus empleados, sus activos y, finalmente, su reputación y la misión de su negocio. Al dar los pasos adecuados para protegerse contra la pérdida y mitigar los riesgos, sus empleados y contratistas podrán aprovechar los increíbles beneficios que los dispositivos móviles pueden ofrecerles.
Sólo recuerde el viejo dicho de que más vale prevenir que lamentar. Así, usted no tendrá que incurrir en más costos o cargar con responsabilidades legales o penalidades por no ser prudente, cumplir y ejecutar las mejores prácticas.
-Ed Tittle, CIO