Los teléfonos inteligentes comparten muchos de los riesgos típicos de los handhelds y son más fáciles de perder. Ajit Arya, CIO de Arlington County (Virginia, Estados Unidos), soporta BlackBerrys e iPhones y está trabajando para endurecer las políticas de gestión de estos dispositivos.

“Hemos tomado algunas medidas básicas”, explica Arya. Por ejemplo, una de las mejores prácticas recomendadas es el uso de contraseñas. Hasta el momento, la organización ofrecía a los usuarios la posibilidad de utilizarlas, pero no lo exigía.

La capacidad de almacenamiento de los smartphones está creciendo y eso hace más vulnerable la información corporativa. “Los secretos corporativos están en peligro y lo estarán por mucho tiempo”, señala Jonathan Zdziarski, autor de iPhone Forensics. Zdziarski dice que este tipo de teléfonos generalmente conserva la información borrada en un estado de posible recuperación. Y algunos ofrecen ya gigabytes de almacenamiento. Para evitar el problema que esto puede ocasionar, Arya ha introducido la posibilidad de borrar completamente los terminales por control remoto en caso de robo o pérdida.

Sin embargo, según Zdziarski, eliminar los datos remotamente puede no ser suficiente. Un ladrón de información puede deshabilitar el comando de borrado de datos simplemente extrayendo la tarjeta SIM (Subscriber Information Module) que los teléfonos móviles necesitan para acceder a la red. Por eso, este experto aconseja eliminar los datos almacenados rutinariamente con iErase (para los iPhone) o Data Wipe (para los BlackBerry) para evitar así que en caso de robo, el ladrón consiga meses de información de correos y otros datos corporativos acumulados en el smarphone.

Administrados como PC o laptops
Los smartphones deben ser administrados como PC o laptops, como advierte repetidamente John Girard, analista de Gartner, en su lista “Diez fallas de seguridad en los smartphones que deben evitarse”. Las empresas que no aplican un proceso de administración de configuración a estos sistemas no podrán asegurar que sus teléfonos cuentan con las adecuadas actualizaciones de seguridad a nivel de sistema operativo y aplicaciones, por ejemplo.

Debe considerarse además imprescindible disponer de un plan para gestionar la diversidad de smartphones. Girard recomienda establecer uno o dos dispositivos como estándar para el uso corporativo sin restricciones, y, quizá, un segundo nivel para un acceso mínimo, como puede ser el acceso al correo electrónico. En muchas organizaciones se concede al CEO o a otros altos ejecutivos la posibilidad de utilizar un dispositivo no estándar dentro de la compañía. Si este es el caso, el responsable de seguridad TI deberá asegurarse de que tales ejecutivos están dispuestos a asumir los costes adicionales que este uso tendrá en términos de networking y soporte, según Girard.