Hace unas semanas se dio la noticia de que Samsung se estaba acercando al espacio federal, y estaba cerca de firmar un acuerdo con el FBI y la marina de los Estados Unidos. Si bien esta historia gira en torno a la transición de Blackberry a Android y Apple en el espacio móvil seguro, también revela el hecho de que la política BYOD no es una palabra que tan solo está de moda -es una realidad dentro de las operaciones de TI.
Sin embargo, mientras la red se expande hacia el exterior, fuera de las paredes de las oficinas a hoteles, conferencias y hasta a los hogares, el departamento de TI (o el personal de seguridad dentro) reciben cargas de trabajo adicionales, ya que se encargan de la protección de los nuevos activos y líneas de información.
De acuerdo con la investigación de Forrester, 29% del personal de todo el mundo son trabajadores de la información. Estos usan tres o más dispositivos, trabajan desde múltiples ubicaciones y usan varias aplicaciones para realizar su trabajo; una descripción familiar para cualquiera que ha dirigido un departamento de TI.
Asimismo, Forrester señala que antes del final de este año, la política de BYOD o “traiga su propio dispositivo” va a impactar a más de 600 millones de empleados alrededor del mundo, todos ellos catalogados como trabajadores de la información. Tal crecimiento significará el movimiento de las empresas para alterar las políticas existentes o adaptar nuevas con el fin de incluir contenidos móviles.
Aaron Rhodes, consultor superior de Seguridad en Neohapsis, una empresa de administración de la seguridad y del riesgo que se especializa en la tecnología móvil y en la nube, ofreció cinco pasos que todas las organizaciones deberían tomar en cuenta en el desarrollo de políticas de seguridad corporativa que se centran en, o incluyen móviles.
Establecer una estrategia
“Comience las iniciativas móviles con un plan súper completo y detallado; su estrategia debe tener una visión integral de la seguridad con un marco de seguridad global. Haga un inventario de todos los tipos de datos a los que el personal o los trabajadores móviles acceden desde teléfonos y tabletas, y trate a la seguridad de los smartphones y otros dispositivos como lo haría con los sistemas internos de la red”, señala Rhodes.
Cuando se trata de “un marco de seguridad global”, la idea es asegurarse de que los dispositivos inteligentes que almacenan datos confidenciales tengan un espacio entre el resto de las políticas de seguridad y estrategia de la organización, explica Rhodes cuando se le pidió ampliar su declaración.
“Simplemente una parte o sección de las políticas y decisiones de proceso debe ser dedicada a los dispositivos móviles. Tenga en cuenta el espacio ocupado por la tecnología informática móvil de su organización en comparación al resto de sus activos”.
Las preguntas a responder para tales consideraciones incluyen ¿Qué tipos de acceso tienen los diferentes dispositivos móviles en la red? ¿Qué tipos de datos se almacenan en ellos? ¿Quién los está usando? ¿Cómo están siendo manejados actualmente, es esto suficiente o necesita cambiar?
Cuando se habla de tratar a los smartphones o teléfonos inteligentes como si fueran sistemas internos, Rhodes dijo que un ejemplo es la forma en que los dispositivos móviles son similares a los sistemas ya existentes en la red. Es un hecho que los dispositivos móviles pueden mantener conexiones con los activos y servicios corporativos internos, y los canales y dispositivos que lo utilizan necesitan ser protegidos y administrados.
“Un smartphone puede contener un cliente Mobile VPN (Red Privada Virtual), que permite al usuario acceder a los recursos internos en la red corporativa, como por ejemplo a aplicaciones web internas, de la misma manera que lo harían desde una computadora de escritorio interna en la LAN de la compañía”, agrega.
Asimismo, le pedimos a Rhodes que ofreciera sus consejos para crear un inventario de datos, como también sus recomendaciones para dichos pasos cuando se trata de priorizar, y de Mobile Application Management (MAM) / Mobile Device Management (MDM). Su primer consejo trató sobre el riesgo, señalando que es importante identificar los tipos de exposiciones que podrían causar daño a la empresa. En lo que respecta a los móviles, el evento más común es la pérdida del dispositivo, causado por el error de un empleado o por un robo.
“Las soluciones de MAM/MDM con las que he trabajado cuentan con opciones de políticas que pueden ayudar a mitigar los riegos de fuga de datos corporativos cuando los dispositivos se pierden. Políticas que incluyen el cifrado del correo electrónico del dispositivo, la introducción del número PIN, e inclusive las características de barrido remoto pueden ayudar cuando el dispositivo está perdido”, agrega.
“En cuanto a dar prioridad a la exposición de los dispositivos móviles en comparación con el resto de la infraestructura, es importante seguir mejorando la situación de seguridad general de la red y tener en cuenta que los dispositivos móviles son una de las piezas que conforman la infraestructura”.
Planificar bien
“Establezca un cronograma especifico, con metas e hitos en el camino, y deje de lado el tiempo que usaba para investigar. Asimismo, si está recibiendo nuevos productos como los sistemas MDM/MAM, considere cual es el más fácil de integrar con su actual arquitectura/estructura de tecnología de la información”, señala Rhodes.
Para profundizar en el tema, la publicación americana CSO le pidió a Rhodes que hiciera una lista enunciativa de las cosas que deberían evitar y/o buscar cuando se trata de investigación. Por ejemplo, ¿Cuáles son algunas áreas que pueden parecer inofensivas, pero que son en realidad signos de incompatibilidad o algo que puede causar problemas en el futuro?
“Algo que se debe tener en cuenta al considerar su estrategia de gestión de móviles es determinar si ya tiene las herramientas que reúnan los requisitos necesarios para la gestión de sus dispositivos móviles. Obtenga, también, la participación de la dirección técnica de su personal de TI y determine qué capacidades son las que ya posee”, explicó.
“Por ejemplo, Microsoft Exchange tiene la capacidad de interactuar con y ejecutar las políticas de seguridad en dispositivos móviles para mejorar la seguridad del correo electrónico móvil. Cuando este comprando las soluciones de MDM/MAM, se dará cuenta de que hay una gran cantidad de ofertas. [Tal vez] un proveedor que conoce tenga una oferta de MDM que podría hacer la integración mucho más fácil. Examine los conjuntos de características y asegúrese de que los dispositivos móviles usados en su organización son compatibles”.
Establecer una política
“La creación y administración de pautas ayudarán a evitar la confusión sobre cómo los datos y el correo electrónico de la empresa pueden ser usados en dispositivos móviles, y esto a su vez va a animar a los usuarios a ser más cautelosos con sus acciones. De esta manera, si hay algún problema o accidente, no pueden culpar a la ignorancia”, señala Rhodes.
Así, cuando se le preguntó por sus recomendaciones acerca de la ejecución/aplicación, Rhodes señaló que hay dos formas de hacer que esto ocurra. La primera es mediante controles técnicos que son implementados para prevenir problemas de seguridad -como el cifrado, códigos PIN, la habilidad para limpiar el dispositivo de forma remota, y así sucesivamente.
“Además, hay un componente de conciencia de los usuarios sobre la seguridad informática que debe ser recordado. Construir buenos hábitos en sus usuarios mediante la concientización y los recordatorios, puede ayudar también a mejorar la seguridad de su organización”.
Por otra parte, se pidió a Rhodes enumerar algunas de las pautas más comunes de estas políticas:
• Los dispositivos móviles deben tener una contraseña como medio de protección
• Los dispositivos móviles deben usar el cifrado del dispositivo/cifrar el dispositivo antes de acceder al mail corporativo
• Los dispositivos móviles no deben ser “rooteados” ni “jailbroken”
• Los dispositivos móviles deben ser manejados por el departamento corporativo de TI mediante un sistema de MDM, aprobado por la corporación.
Capacitar
“Mucha gente simplemente no es consciente de que sus acciones en los dispositivos móviles (ya sean propiedad de la empresa o no) pueden traer horribles consecuencias para toda la organización. Enseñarle a sus empleados sobre los riesgos y cómo mitigarlos puede ayudar a evitar una catástrofe”, señala Rhodes.
Algunos ejemplos de dichos riesgos incluyen los códigos que se ejecutan desde las tiendas de aplicaciones no confiables, conocidas también como carga lateral, los programas enviados por terceros recibidos por correo electrónico, la no utilización de contraseñas, perder el dispositivo e ignorar las advertencias que aparecen de pronto al utilizar una conexión de Wi-Fi que no es de confianza.
Pero cuando se trata de crear conciencia ¿Cuáles son algunas de las áreas esenciales en las que las organizaciones se deben enfocar?
“La frase ‘si ves algo, di algo’ me viene a la mente. Simplemente diciéndoles a los empleados que hay riesgos, y dándoles buenos contactos para llamar en caso de que tengan un evento relevante para la seguridad (pérdida de dispositivos, software malicioso, etc.) es fundamental. La prevención es importante pero no infalible, por lo que tener procesos de respuesta adecuados es esencial”.
Obedecer
“Tenga en cuenta los requisitos de cumplimiento al momento de decidir la política de la compañía, y recuerde que todos los datos de las empresas alojados en los dispositivos móviles están sujetos a las mismas obligaciones reglamentarias que los demás sistemas de TI”, señala Rhodes, al concluir su lista de los cinco consejos.
Durante la etapa de investigación mencionada anteriormente, ésta debe ser una de las principales cosas a tener en cuenta cuando se trata de ofertas de MDM/MAM. Es importante tener en cuenta lo bien que estas ofertas pueden ser implementadas en la infraestructura ya existente y el tipo de sobrecarga adicional que va a producir.
“Las reglas de obediencia tienden a dirigir los requisitos de seguridad en las organizaciones que se encuentran debajo de ellas. Algunos ofrecimientos de MDM/MAM cuentan con características especiales que respaldan o apoyan los requisitos legales. Usar la infraestructura existente es definitivamente muy importante, también. Si un sistema es puesto en el lugar preciso para que se ajuste perfectamente con la infraestructura, es más probable que los operadores lo utilicen al máximo para mejorar la seguridad”.
– Steve Ragan, CSO
