Los riesgos que amenazan los beneficios de la movilidad

Transcripción

1 Los riesgos que amenazan los beneficios de la movilidad Por Christian Hisas, Business Development Manager Logicalis Southern Cone El avance de los dispositivos móviles implica un aumento del riesgo para la seguridad de la empresa. A continuación, conozca las cinco áreas de negocios de riesgos en las cuales hay que pensar a la hora de desplegar los dispositivos móviles y sus aplicaciones. El mercado de la movilidad está en crecimiento. Conscientes de esto, las empresas están comenzando a reservar buena parte de sus presupuestos para ello. Así, en la medida que el uso de los dispositivos móviles aumenta, se desarrollan más aplicaciones y cada vez más consumidores ven el trabajo como foco de uso. El consumo de aplicaciones de TI tiene a la movilidad como un factor clave. Una prueba de esto puede verse en las previsiones de consumo de PCs para los próximos años. Una serie de influencias impulsan esta tendencia. Cada vez más empleados están siendo equipados con equipos móviles para mejorar su productividad y la forma en la que se involucran las empresas con sus clientes. Los servicios en línea se están desarrollando para llegar a nuevos mercados móviles. Servicios de sincronización e intercambio de archivos en la nube, tales como Box o Dropbox, están mejorando la manera que tienen los empleados y socios para hacer negocios. La extensibilidad de las aplicaciones móviles también está cambiando la forma de compartir la información de manera local en el equipo y con los sistemas de back-end. Y las empresas están permitiendo que los trabajadores lleven sus propios dispositivos (BYOD) como parte de la satisfacción del empleado y las estrategias de reducción de costos. Así, las empresas aprovechan al máximo el boom de la movilidad. Pero al mismo tiempo que los dispositivos móviles evolucionaron, la conectividad permanente, el número de aplicaciones desplegadas para fines personales y corporativos y los nuevos modelos de uso han dado lugar a un aumento del perfil de riesgo móvil. Existen, por lo menos, cinco áreas de negocios de riesgo en las cuales deberíamos pensar a la hora de desplegar los dispositivos móviles y aplicaciones. A continuación, analizaremos una por una: Pérdida del dispositivo Perder un dispositivo móvil siempre fue un riesgo. Hoy en día, es cada vez más frecuente que los empleados olviden sus teléfonos o tablets en los asientos de aviones o en taxis. Asimismo, el riesgo de acceso no autorizado está en aumento, así como también la sensibilidad de los datos que se comunican a través del propio dispositivo. Esta información puede ser correos electrónicos, archivos, aplicaciones, datos confidenciales como identificación personal, IP, NPI, PHI y PCI y pueden ser encontrados en el dispositivo móvil y es, a menudo, desconocido para el negocio. La probabilidad de que un dispositivo caiga en manos equivocadas y cualquiera pueda acceder a 18 Agosto Logicalis Now

2 información sensible es una amenaza real. El perímetro está desapareciendo El perímetro de la red otra gran preocupación de los profesionales de la seguridad- se ha ido. El aumento de la adopción de servicios en la nube, incluyendo software, infraestructura y plataforma-as-a-service y la colaboración con terceros conlleva a que la organización haya tenido que borrar el perímetro de TI tradicional. La información confidencial es constantemente sincronizada desde las computadoras portátiles a la nube y luego al dispositivo móvil poniendo en riesgo el negocio de manera significativa. Los empleados se van, los grupos se disuelven y los datos se pierden. Las empresas tienen el reto de permitir estos nuevos modelos de servicios de productividad y mitigar estos riesgos muy evidentes. Amenazas en aplicaciones Existen tres vectores de amenazas locales reales para el dispositivo móvil que aumentan el riesgo de la plataforma móvil y sus entornos de aplicación. En primer lugar, los sistemas operativos obsoletos o troyanos en aplicaciones como Angry Birds o aplicaciones falsas como Pokemon, que se dirigían hacia la fuertemente custodiada App Store de Apple. Esto aumenta el riesgo de que software para móviles vulnerables se descargue en la plataforma. A esto también se añade la posibilidad de compartir información entre las aplicaciones y los modos de trabajo de los usuarios para realizar tareas de forma rápida. Existe, además, una amenaza asociada a mover información sin cuidado entre áreas expuestas. Por último, la extensibilidad de las aplicaciones que consumen información de fuentes y contenido de terceros a través de APIs abiertas, junto con la amenaza de acceder directamente a datos de la aplicación en la nube, puede aumentar el riesgo. BYOD y privacidad No importa si se trata de un tra- Logicalis Now - Agosto

3 bajador que lleva su propio dispositivo a la oficina o si la empresa le da el equipo al empleado. El usuario siempre quiere resguardar su privacidad. Si el usuario tiene acceso a las capacidades de GPS para navegar un sitio de un cliente o para saber cómo llegar al lugar donde sus hijos juegan al fútbol, esperará que esa información se mantenga en privado y no llegue a manos de su empleador. Lo mismo pasará con las fotos, la música, sus contactos y otras aplicaciones personales. Así que los empleadores están atrapados en el medio. Por un lado, corren el riesgo de la responsabilidad de acceder a información de sus empleados, pero por otro lado todavía tienen que controlar por separado los datos corporativos. La seguridad tiene que pasar de controlar el dispositivo a asegurar las aplicaciones y la información con el fin de mantener la privacidad del usuario. Entornos heterogéneos Mientras un móvil ofrece un desafío único, es solo uno de los muchos canales de comunicación y no debe considerarse en un silo de seguridad. Se trate de aplicaciones web, aplicaciones móviles o APIs de acceso de servicios, las políticas deben ser gestionadas de manera centralizada. Y mientras que los flujos de datos a menudo van hacia el dispositivo móvil, no terminan ahí, sino que la información sensible fluye a través de un amplio conjunto de sistemas, incluidos los servicios de mensajes, computadoras portátiles, archivos y servicios en la nube. Con el fin de reducir los riesgos y la escalabilidad que vienen con la gestión descentralizada, las organizaciones deben acercar la seguridad al móvil de manera integral hacia todas las aplicaciones y datos. Para mitigar estos nuevos riesgos producto de la movilidad, pero, al mismo tiempo, seguir sacando provecho de los beneficios empresariales de la plataforma en el mundo de BYOD, las organizaciones deben adoptar un enfoque equilibrado para la seguridad y hacer que la identidad sea el elemento central para el logro de sus objetivos. Políticas de seguridad controladas por el administrador de TI La mayoría de las organizaciones deben implementar las medidas de seguridad adecuadas para garantizar que solo los dispositivos autorizados (ya sea por cable, WiFi o VPN) estén conectados a la red. Estas medidas incluyen políticas estándar de protección de autenticación de usuario electrónico, seguridad de red y virus. Al extender las políticas de seguridad de la organización a los dispositivos móviles, los administradores de TI deben tener la posibilidad de exigir contraseñas para los usuarios de dispositivos móviles y borrar datos de forma remota dentro de esos equipos. Los administradores de TI necesitan poseer la capacidad de establecer, ejecutar y actualizar la configuración en los dispositivos móviles a través de políticas o parámetros que proporcionan un control completo de todos los dispositivos. Para dirigir cómo los usuarios interactuarán con los sistemas de la organización, los administradores necesitan un único punto de administración de dispositivos móviles. Esto significa que los administradores, en lugar de los usuarios de dispositivos móviles, deben determinar cómo se protegen los datos corporativos. 20 Agosto Logicalis Now

4 A continuación, un ejemplo de políticas que definen la seguridad y la funcionalidad aceptable para los dispositivos móviles corporativos. 1. Definir la autenticación de usuario aceptable: Requerir un usuario para autenticarse en el dispositivo mediante una contraseña de seguridad. Configurar características tales como caducidad de la contraseña, límites de intento antes del bloqueo, la longitud y nivel de complejidad. Exigir y definir contraseñas corporativas aceptables en los dispositivos móviles en su organización. 2. Definir las medidas para proteger los dispositivos móviles de uso no autorizado: Restringir las conexiones permitidas en los dispositivos móviles. Utilizar el cifrado de datos en tránsito entre el remitente y el destinatario Medios extraíbles utilizados con dispositivos móviles deben ser cifrados Cifrar los datos almacenados en los dispositivos móviles 3. Definir la codificación aceptable de datos del dispositivo móvil: Requerir una norma específica del nivel de cifrado 4. Definición de virus y las medidas de prevención de usuarios maliciosos: Evitar que los dispositivos móviles descarguen aplicaciones de terceros. Especificar si las aplicaciones, incluidas las de terceros, pueden iniciar determinados tipos de conexiones en el dispositivo móvil. Los administradores de TI deben ser capaces de implementar políticas de grupo para reflejar las necesidades de los diferentes equipos y usuarios dentro de la organización. Todos los ajustes de políticas deben estar sincronizados y asignados al dispositivo mediante una conexión inalámbrica. Después de que un administrador de TI establezca una política de dispositivo móvil, los usuarios no deben poder intervenir o impedir que la política se aplique. El administrador también debe tener la capacidad de auditar la aplicación con éxito de la política de seguridad en el dispositivo móvil. Logicalis Now - Agosto

5 Como el acceso móvil a la información se vuelve cada vez más frecuente y las organizaciones se tornan más dependientes de la movilidad, una serie limitada de políticas de TI pueden ya no satisfacer las necesidades de la mayoría de las organizaciones. Por el contrario, un sólido conjunto de políticas de seguridad proporciona un control granular sobre todos los aspectos. En resumen A medida que aumenta el uso de los dispositivos móviles en las organizaciones empresariales, también lo hacen las medidas para mantener la seguridad de su correo electrónico y datos de aplicaciones. Los datos, con cada vez más frecuencia, son transmitidos fuera de la red corporativa y se almacenan en los dispositivos móviles fuera de los límites físicos de la organización. La pérdida de información no solo es una vergüenza para las organizaciones, sino que también disminuye su legitimidad, confianza y fidelidad de sus empleados y clientes, como así también los riesgos legales que puede resultar en muchos casos. Una solución inalámbrica efectiva debe estar diseñada para lograr una seguridad de nivel empresarial y proporcionar una arquitectura específica para este entorno. En muchos casos, las soluciones que funcionan en un entorno de escritorio no son prácticas para la informática móvil, dado los recursos de procesamiento limitados, la memoria y la batería de los dispositivos móviles. La conexión a través de la red inalámbrica debe estar segura de mantener la confidencialidad, autenticidad e integridad de los datos transmitidos y, por último, los dispositivos móviles deben estar protegidos contra la pérdida de datos, la manipulación y la infección por malware. En definitiva, las organizaciones que estén frente a una estrategia de movilidad empresarial deben proveer a sus áreas de TI de herramientas capaces de brindar un contexto seguro tanto para el empleado como para el negocio. Básicamente, estas soluciones son dos: La pérdida de información no solo es una vergüenza para las organizaciones, sino que también disminuye su legitimidad, confianza y fidelidad de sus empleados y clientes, como así también los riesgos legales que puede resultar en muchos casos. Un sistema de administración de dispositivos móviles (MDM) Un sistema de control de acceso a la red, ya sea WiFi, Cableado o VPN (NAC) Estas soluciones deben tener la capacidad de intercambiar información, y así poder tomar decisiones de manera ágil y segura, basándose en la identidad del dispositivo y usuario. Todo dentro de un marco donde se espera que la privacidad no se comprometa y el negocio no se vea afectado. 22 Agosto Logicalis Now