Seguridad en entornos móviles corporativos

Transcripción

1 Seguridad en entornos móviles corporativos Las tecnologías de movilidad son un activo corporativo de relevancia en lo que respecta a sus evidentes beneficios para el negocio y la comodidad personal, pero también conllevan elementos de riesgo que conviene estudiar. Sin embargo, hoy por hoy la mayor parte de las organizaciones no está suficientemente preparada para afrontar estos riesgos, en parte porque su crecimiento dentro de las entidades ha estado impulsado directamente por el usuario, y en parte porque la diversidad de dispositivos hace muy difícil su tratamiento homogéneo. Pero es ineludible aplicar los conceptos y las buenas prácticas de seguridad, empezando por la adecuación de las políticas y procedimientos, y usando el apoyo en algunas herramientas de protección. Eduardo López Rebollal / Javier Jarauta Sánchez INTRODUCCIÓN Las tecnologías de movilidad presentan un ritmo de crecimiento, velocidad en la introducción de nuevos servicios y capacidad de impacto, tanto en el ámbito personal como corporativo, que hace que los profesionales de TI nos tengamos que preocupar de cómo nuestra organización va a estar preparada para suministrar estos servicios móviles a nuestros usuarios internos y clientes, y también controlar los riesgos asociados. Probablemente el despliegue de teléfonos móviles y sus capacidades de comunicación sean el caso de implantación tecnológica de mayor éxito de todos los tiempos. Ni el fuego, ni la rueda, ni la televisión, ni los ordenadores personales, que es la ola tecnológica más equiparable, presentan ritmos de aceptación, extensión y velocidad de cambio tan notables, siendo como es ya a día de hoy la telefonía móvil la tecnología más extendida del mundo. Sin embargo, para uso corporativo presenta algunas características especiales que conviene tener en cuenta. Una de ellas es el rápido crecimiento. En un reciente informe, IDC establece que el 27% de los trabajadores en España hacen uso de la movilidad en sus funciones profesionales, y en la parte de datos en el Mobile World Congress de Barcelona 2008 se dio a conocer una encuesta de la multinacional de contenidos Buongiorno en la que se indicaba que un 20% de los usuarios españoles considera sustituir a medio plazo su conexión fija a Internet por acceso UMTS. En su informe de perspectiva global del 2005, Gartner preveía que para 2009 un 27% de los dispositivos móviles serían PDA y smartphones, con un 90% de predominio por parte de Symbian y Microsoft Mobile como sistemas operativos. Algunos de estos datos hay que revisarlos con la irrupción de nuevas plataformas, en concreto iphone, que ya vende más que un clásico como Motorola. 82 ABRIL 2008 / Nº79 / SiC

2 Otra característica es el aspecto personal de los dispositivos. De hecho, el factor más decisivo para explicar el éxito de esta tecnología es la conveniencia, la capacidad de conciliar la vida personal y profesional. Hasta ahora no es el uso corporativo el que está encabezando la demanda, sino realmente el uso personal. Este origen de la demanda, junto con la notable velocidad de cambio de los modelos de terminales, justifica que cada organización (del sector privado o de la Administración Pública) se encuentre en el mejor de los casos con una elevada disparidad de modelos que tiene que soportar, existiendo rara vez una política corporativa definida al respecto. En un primer momento, en el que el servicio básico móvil era la comunicación por voz, la disparidad de modelos no representaba ningún problema para los profesionales de TI; pero ahora que las posibilidades de comunicación van mucho más allá, empieza a ser un punto delicado. Se puede resolver el problema simplemente homogeneizando los terminales y que la organización de TI homologue los 2-3 modelos permitidos? Sería un buen intento, pero a la larga poco mantenible por dos causas principales: primero, porque la velocidad de cambio de los terminales hace que los modelos cambien con una rotación muy grande, y seguidamente está el hecho de que un porcentaje importante de estos terminales se adquieren de forma personal, y con un uso compartido, por ejemplo un teléfono PDA utilizado para acceder al correo electrónico corporativo, pero también empleado como navegador GPS. De manera que los responsables de TI han de tratar con Fuente: Estudio 2007 SearchMobileComputing.com una diversidad de equipos y modelos que cambian rápidamente, y con la necesidad de habilitar y controlar el uso corporativo y/o privativo que se realiza por parte de los empleados. El otro elemento de desafío para las organizaciones de TI es el inminente inalrededor de las tecnologías móviles. El despliegue de la banda ancha móvil, y la madurez de la tecnología que permite disponer de plataformas de integración, abren todo un abanico de posibilidades para establecer puentes entre los sistemas de TI y la movilidad. Dejando aparte aplicaciones específicas en sectores en los que la movilidad ha sido siempre una parte intrínseca del negocio (como la distribución o los transportes), la primera aplicación de uso común en cualquier organización es el correo móvil, debido a su relativamente fácil implantación, y a la conjunción de incremento de productividad para la empresa y conveniencia para el usuario. Pero el verdadero valor para la empresa está en la movilización de buena parte de sus aplicaciones, lo que permitirá una extensión de entornos colaborativos y mayor velocidad y flexibilidad en las operaciones y en la toma de decisiones. El control de riesgos en entornos móviles se basa en los mismos mecanismos y buenas prácticas de seguridad tradicionales: elaboración de políticas, procedimientos y auditorías, uso de herramientas para automatizar y simplificar procesos y funciones de seguridad, y cuidado de la operación mediante servicios gestionados y niveles de servicio. Fuente: Estudio The Economist. Economist Intelligence Unit - Mobile Security 2007 A veces, la elección de ciertas plataformas de soluciones de correo móvil está poniendo freno a la movilización de aplicaciones. Por otra parte, convienen tener en cuenta que como toda tecnología potente, la movilidad inducirá la irrupción de formas propias (prueba de ello son la mensajería SMS, MMS o la reciente TV para móviles), que a su vez darán origen en las empresas a nuevas aplicaciones de uso interno o de relación con clientes o socios. Para los responsables de TI, todo preparados para la incorporación de nuevas aplicaciones y servicios a sus empleados y clientes. SiC / Nº79 / ABRIL

3 Frente a ese crecimiento y relevancia de la movilidad en las organizaciones de TI, nos encontramos con que desde la perspectiva de la seguridad, la mayoría de las empresas no conoce o subestima las amenazas, o no ha adecuado sus políticas a esta nueva realidad. Además, la probabilidad de pérdida de dispositivos es muy elevada: cerca del 28% de los ejecutivos de las sociedades desarrolladas han perdido uno o más dispositivos móviles. Y también están creciendo los ataques, con aumento de dispositivos infectados y generación de virus o malware. En resumen, nos encontramos con un horizonte de dispositivos en rápido crecimiento, cada vez más funcionales, con muchas posibilidades de comunicación y capacidad de almacenamiento pero más débiles para defenderse, con gran variedad de dispositivos y dinamismo de cambio, con un fuerte crecimiento de nuevos servicios que aprovechan las posibilidades de acceso de banda ancha, WiFi y Bluetooth. A la vez están creciendo también los ataques externos, y los dispositivos presentan un fuerte control particular por parte del usuario y un débil control corporativo. SEGURIDAD EN DISPOSITIVOS MÓVILES El ámbito de discusión de este artículo es el de la seguridad en la movilidad Los mayores riesgos están asociados hoy a la pérdida y sustracción de dispositivos, por lo que las primeras funciones de seguridad pasan por el control de accesos, recuperación de datos y cifrado de información confidencial; para ello y debido a las limitaciones y debilidades de los sistemas operativos, es conveniente contar con herramientas especializadas. corporativa, y por lo tanto nos referimos a los dispositivos que tienen la capacidad de combinar voz y datos (smartphones y PDAs). De la misma manera, nos centramos en los aspectos que están bajo el control de los departamentos de TI, es decir, dispositivos y sistemas corporativos. Por supuesto que hay toda una serie de funciones de seguridad fuera de este ámbito, que se aplican a nivel de la red de comunicaciones, y las operadoras como proveedoras de servicios deberán mejorar sus capacidades BUENAS PRÁCTICAS DE SEGURIDAD PARA ENTORNOS MÓVILES Como guía de buenas prácticas se propone un decálogo de medidas de seguridad que ayuden a los responsables de TI a priorizar qué acciones acometer: 1. Actualizar la Política de Seguridad, para considerar el entorno móvil. Con esta medida, se pretende tomar consciencia del problema e identifi car las líneas de actuación. De hecho, en la actualidad sólo un reducido número de empresas ha acometido esta actualización. La política es el primer paso y el que permitirá identifi car los procedimientos y medidas más adecuados para la organización. Como mínimo, la política tiene que considerar las necesidades de movilidad en cuanto a quién tiene que usarla, necesidades de acceso (redes, sistemas y datos), uso aceptable y uso expresamente prohibido, medidas y prácticas de seguridad para el usuario y la organización de TI, identifi cación de los procesos de Formación, Gestión y Auditorías. De especial relevancia es la situación de las organizaciones que ya disponen de un SGSI (Sistema de Gestión de la Seguridad de la Información), por cuanto en palabras de Carlos Manuel Fernández, Gerente de TI de AENOR, Las empresas que tienen implantado un Sistema de Gestión de la Seguridad de la Información-SGSI-, están en una posición preferente para afrontar con éxito los nuevos riesgos de Seguridad de las plataformas de e-mobility, dado que el SGSI contempla al menos una revisión anual de los Activos de TICs y su correspondiente análisis y gestión de los Riesgos de los Activos, donde dependiendo de la confi dencialidad, integridad y disponibilidad de la información se aplican los controles necesarios para minimizar los riesgos inherentes a los Sistemas de Información y a las nuevas tecnologías de movilidad. 2. Elaboración de la Guía de Buenas Prácticas para usuarios, prestando especial atención a la formación y concienciación. La verdad es que en relación con los dispositivos móviles y el usuario, es fundamental aplicar algunas de las medidas preventivas, tanto más cuanto menos mecanismos y herramientas automatizadas existan, y es importante que tome consciencia de los riesgos y de los hábitos de trabajo apropiados, así como de la responsabilidad que asume. Para ello es interesante la elaboración de un Documento de Uso Corporativo y Privativo de los dispositivos móviles, con la indicación de usos que se pueden o no se pueden hacer (por ejemplo, la instalación o descarga de software no permitido, p.e. software ilegal). Como en todos los ámbitos de la seguridad, antes de ponerse a seleccionar e implantar una tecnología determinada, es crítico realizar un estudio consultivo al más alto nivel sobre los requisitos, redefi nición de procesos en los que interviene la movilidad, plan de formación y concienciación, y en general un plan para aplicar las buenas prácticas en materia de seguridad. 3. Mecanismos de copias de seguridad. El problema más frecuente con dispositivos móviles es la pérdida o sustracción. Las copias de seguridad permiten recuperar el entorno y la información para disponibilidad y continuidad del servicio. De especial relevancia es la información de Contactos, que muchas veces se graba solamente en el dispositivo móvil. Debe existir un plan para realizar copias de seguridad, coherente con la política general de la organización, pero con las adaptaciones especiales requeridas por los entornos móviles. 84 ABRIL 2008 / Nº79 / SiC

4 de seguridad, ya sea para habilitar nuevos servicios de pago o para acelerar la puesta en marcha de aplicaciones que incrementen su facturación en volumen de datos. Si nos centramos en los dispositivos, parece realista indicar que pueden verse afectados por ataques o ser empleados como vehículos de fuga de información confidencial o para introducir malware en los sistemas corporativos. Si nos fijamos en la organización de TI, ésta tiene que proveer de las funciones de Gestión encaminadas al control de inventario del parque móvil, al aprovisionamiento de nuevos equipos, la ridad, suministro de herramientas de protección, control y auditorías, y las labores de recuperación y prevención de riesgos. Riesgos y funciones de seguridad Los mayores riesgos que afectan a los dispositivos móviles están en la pérdida de información confidencial o del propio dispositivo, o que sean infectados o utilizados como vehículos de ataque a los sistemas corporativos. La primera función de seguridad es el control de acceso, que constituye la primera línea de defensa. Permite la protección básica del dispositivo y de su información en caso de pérdida o sustracción, prevenir fraude de identidad y acceso no autorizado, y es básica para cualquier cumplimiento regulatorio. Ciertamente, los disposi- 4. Mecanismos de reinicialización y borrado remoto. En caso de pérdida o robo, los mecanismos de Kill Pill permiten borrar lo antes posible la información para que no pueda ser usada fraudulentamente. Muchos dispositivos, tanto Symbian como MS Mobile, ya incluyen los clientes OMA DM (Open Mobile Alliance Device Management), que permiten de forma nativa varias funciones básicas de gestión, entre ellas la reinicialización remota y el borrado de toda la información de los dispositivos. Además de la tecnología que permita realizar esta función, es necesario el procedimiento para identifi car de forma temprana la pérdida o robo y aplicar el mecanismo. 5. Aplicar control de acceso al dispositivo. Todos los dispositivos implementan un control básico de acceso, pero normalmente sólo se usa para la tarjeta SIM, lo que evidentemente no es sufi ciente. Algunos sistemas operativos permiten características más depuradas, pero el problema fundamental es que por una parte resulta incómodo para el usuario (por lo que tenderá a desactivarlo), y por otra no se puede forzar su utilización por parte de la organización. Por eso, esta es una de las funciones donde empieza a ser interesante disponer de herramientas que permitan una gestión centralizada y forzar el cumplimiento de las políticas de acceso, y por otra parte la recuperación de la clave sin necesidad de acudir al help-desk. 6. Gestión centralizada de dispositivos, que permita el mantenimiento de un inventario y facilidades para el plataformado de dispositivos con las aplicaciones y confi guraciones permitidas, sobre todo en los aspectos de comunicaciones Bluetooth (desactivando la opción de descubrimiento y habilitando cifrado) y VPN (uso de credenciales de acceso). 7. Cifrado de datos sensibles. Windows Mobile versión 6.0 ya introduce por primera vez las facilidades de cifrado, pero al igual que con el control de acceso, el problema está en cómo gestionar y forzar su uso de forma corporativa, sobre todo cuando el cifrado de información tiene un impacto en el rendimiento y en muchas ocasiones los usuarios tenderán a desactivarlo. Por eso, esta es otra de las funciones que requiere herramientas externas. De hecho ya hay disponibles soluciones que engloban las funciones 4, 5, 6 y Protección anti-malware. El primer virus para móvil (Cabir) se detectó en 2004; en la actualidad ya hay más de 400 familias de virus, caballos de Troya y malware, y en crecimiento. El problema de los antivirus para móviles es su rendimiento; pero afortunadamente, hay soluciones competitivas en el mercado (como se verá en el apartado de tecnologías). 9. Control de políticas en puntos de acceso. Como perfeccionamiento de todo lo anterior, está la posibilidad de controlar las políticas en los puntos de acceso, y bloquear el acceso de los dispositivos si no se cumple con la confi guración y niveles de protección requeridos. También se puede utilizar este control en el punto fi nal para forzar la actualización y corrección de la confi guración en caso de que hubiera cambios. 10. Prevención de fugas de información. Constituye uno de los puntos más delicados y se trata de una necesidad organizativa y de negocio, pero no cabe duda de que buena parte de las soluciones para proteger la propiedad intelectual de la organización contra ataques internos, pasan por el control de dispositivos móviles. Algunas de las tecnologías de cifrado de la información ya introducen funcionalidades básicas de DLP (Data Leak Prevention). SiC / Nº79 / ABRIL

5 tivos actuales disponen de unos mecanismos muy débiles de control de acceso, y la empresa no puede forzar su utilización. La segunda función es la protección de la información, desde los ángulos de copia de seguridad-recuperación (agenda, contactos, datos en local), cifrado de la información en caso de sustracción o pérdida del dispositivo, y prevención de fuga de información, aspecto éste mucho más difícil de controlar. También hay que prestar atención a la protección de las comunicaciones. Los dispositivos presentan una amplia gama de posibilidades de comunicación (GPRS-UMTS, Bluetooth, WLAN, ) que pueden utilizarse como vectores de ataque e introducción de virus y malware. El malware para móviles aprovecha los mismos vectores de ataque (red, correo, spam, descargas, ), aunque hay características propias: los objetivos más frecuentes son Symbian, Bluetooth y la descarga de juegos, se originan daños económicos asociados al envío de SMS y MMS, y los ataques de origen social pueden ser más efectivos. Aunque por el momento la cantidad de malware para móviles es relativamente baja en comparación con el mundo del laptop, su ritmo de crecimiento es considerable. Por ultimo, no hay que olvidar que sobre todo las PDAs son posibles fuentes de problemas para las redes corporativas, como transmisoras de virus y malware, acceso VPN impersonado, fuga de información confidencial o robo de credenciales. Por todo lo expuesto anteriormente, las organizaciones de TI van a tener que realizar notables esfuerzos para adaptarse, gestionar y sacar provecho a las demandas y posibilidades de movilidad, y controlar sus vulnerabilidades y riesgos El problema está precisamente en la variabilidad y velocidad de cambio, pero también en el hecho de que a diferencia de otras olas tecnológicas (como la implantación del PC, ordenador personal), la empresa va a tener menor capacidad de gestionar el ritmo de implantación, porque los usuarios (empleados o clientes) ya disponen de los terminales y están acostumbrados a utilizar algunos de estos servicios (nuevos para la organización pero habituales para algunos usuarios de forma personal). Este ritmo acelerado y el marcado carácter personal de los dispositivos es lo que hace más difícil desplegar medidas de seguridad efectivas que permitan que la organización de TI pueda afrontar proyectos y servicios de movilidad con garantías y la flexibilidad adecuada. Vectores de infección en dispositivos móviles Por parte de la organización de TI, la prevención de control de riesgos en entornos móviles se basa en los mismos mecanismos y buenas prácticas de seguridad tradicionales: la elaboración de políticas, procedimientos y auditorías, el uso de herramientas para automatizar y simplificar procesos y funciones de seguridad, y el cuidado de la operación mediante servicios gestionados y niveles de servicio. TECNOLOGÍAS Evidentemente, se lleva años trabajando en seguridad para el mundo de la movilidad, y existen distintas aproximaciones en función del origen de la tecnología. De la misma manera, con la evolución y madurez se está produciendo una notable convergencia en las funcionalidades. Muchos de los grandes fabricantes han ido completando su catálogo con la adquisición de tecnologías especializadas. En la Figura 3 se muestra un esquema sobre dónde se posicionan funcionalmente las distintas aproximaciones tecnológicas. Tecnologías orientadas a la especialización funcional La aplicación corporativa más ampliamente desplegada es la de correo móvil, gestión de contactos y agenda, y es lógico que soluciones específicas se hayan ocupado de introducir funcionalidades de seguridad en sus propuestas. En este grupo de soluciones, el representante más relevante es RIM-Blackberry, que gracias a su especialización funcional (ha desarrollado tanto el sistema operativo como los dispositivos) presenta menor número de ataques, permite una gestión más homogénea (plataformado) y La funcionalidad sin gestión no permite asegurar los niveles de seguridad en el tiempo, por eso es importante considerar las capacidades de las herramientas disponibles para centralizar la gestión y la aplicación de políticas. contempla las funciones de control de acceso, recuperación de datos y reinicialización remota. Las desventajas están precisamente en la dificultad de inclusión de nuevos servicios y aplicaciones, y que la gestión es realmente externalizada, dependiendo de servidores externos. Una solución equivalente es la de Nokia-Intellisync, con la ventaja de soportar múltiples tipos de dispositivos. Aporta todas las funcionalidades de seguridad alrededor del correo móvil, y también funcionalidades de gestión centralizada, incluyendo la reinicialización remota, pero presenta las vulnerabilidades propias de sistemas operativos y configuración de dispositivos. 86 ABRIL 2008 / Nº79 / SiC

6 Tecnologías orientadas a la gestión de dispositivos Estas tecnologías tienen su origen en la gestión clásica de dispositivos con la especialización de smartphones y PDAs, y a partir de ahí han incorporado funciones de seguridad. Una de las tecnologías más representativas de esta aproximación es Afaria, adquirida por Sybase, que también dispone de OneBridge como solución de correo móvil. Permite la gestión centralizada de las plataformas de movilidad más comunes, inventario y gestión de políticas de seguridad. Tecnologías orientadas a la seguridad de dispositivos En este grupo se sitúan los especialistas que empezaron a suministrar soluciones de cifrado para los laptops y que expandieron sus soluciones para los dispositivos móviles. Son los que presentan las soluciones más sofisticadas para cubrir los aspectos de control de acceso y cifrado de datos, y alguna de ellas ya han sido adquiridas por los grandes fabricantes de seguridad. En esta categoría están PointSec, adquirido por Check Point, que además ha potenciado su oferta con Reflex Magnetics, especializado en control de periféricos. La solución esta orientada al control de acceso y al cifrado de datos. Credant, es otro de los clásicos con este enfoque, y que por el momento no ha sido adquirido por alguno de los grandes fabricantes. Suministra control de acceso y cifrado, y sus capacidades de gestión aportan el descubrimiento remoto y recuperación OTA (over the air). También incluye una interesante utilidad para forzar el cifrado de datos en memorias volátiles, tarjetas o memorias USB conectados a dispositivos protegidos. En el informe Gartner sobre protección de movilidad en la versión de 2006, el sector de líderes se completa con Safeboot, ahora parte de McAfee, y Utimaco que presenta SafeGuard como línea de productos muy modular, con soluciones muy modulares para control de acceso, cifrado, protección de periféricos y elementos removibles como tarjetas de memoria o prevención de fuga de información. Utimaco SafeGuard es una de las pocas soluciones que tiene publicadas ciertas características avanzadas, como el uso de huella digital para autenticación, o el cifrado de voz sobre GSM. En cualquiera de los casos, hay que tener en cuenta que existe una verdadera convergencia de funcionalidades entre los distintos fabricantes y muchas veces es más determinante el listado de dispositivos soportados, y facilidad de uso para usuarios y organización. Tecnologías de los grandes fabricantes de seguridad Todos los grandes fabricantes de seguridad han completado su portafolio de soluciones para movilidad, en muchas ocasiones con la adquisición de compañías, pero con la ventaja de añadirle sus funcionalidades de antivirus y anti-malware, y sobre todo las capacidades de gestión punto a punto y las capacidades de forzar el cumplimiento de políticas en puntos de acceso. En este grupo está el ya citado Check Point, que con la adquisición de Pointsec ha potenciado sus capacidades de cortafuego y acceso VPN. Igualmente, McAfee ha optado por la adquisición de Safeboot, con sus capacidades de control de acceso y cifrado para completar su oferta antivirus y de control del punto final, además es uno de los fabricantes que tienen productos especializados para el entorno de operadoras, y también está avanzando en el campo de la prevención de fugas de información (Data Loss Prevention). RSA, por su parte, sigue explotando su experiencia en autenticación para extender las capacidades de SecurID OTP como solución software para smartphones y PDAs, en tanto que Symantec también ha apostado por completar sus tecnologías antimalware para móviles (Symbian y MS Mobile) con la protección del punto final y control de políticas. Trend Micro incluye en su solución de seguridad para movilidad una gestión centralizada y funcionalidades de Frente al crecimiento y relevancia de la movilidad en las organizaciones de TI, nos encontramos con que desde la perspectiva de la seguridad, la mayoría de las empresas no conoce o subestima las amenazas, o no ha adecuado sus políticas a esta nueva realidad antivirus, anti-spam, cortafuegos, sistema de detección de intrusos, cifrado y control de acceso. Todos los grandes fabricantes han avanzado para integrar la gestión de la seguridad móvil desde sus consolas centrales de gestión. Tecnologías españolas No cabe duda de que España tiene un potente mercado de telecomunicaciones, donde la movilidad es uno de sus exponentes; tal es así que nuestro país encabeza en Europa la tasa de sustitución de telefonía fija por móvil. Por ello no es de extrañar que hayan aparecido empresas especializadas también en seguridad y movilidad. El el campo de autenticación para acceso interno o de negocio están SiC / Nº79 / ABRIL

7 Decálogo de seguridad para entornos móviles Como guía de buenas prácticas, y a modo de resumen, se propone el siguiente decálogo de medidas de seguridad, a fin de ayudar a los responsables de TI a priorizar las acciones que conviene acometer en el entorno de la movilidad: Actualizar la política de seguridad, para considerar el entorno móvil. Elaborar una Guía de Buenas Prácticas para usuarios, prestando especial atención a la formación y concienciación. Implantar mecanismos de copias de seguridad. Implantar mecanismos de reinicialización y borrado remoto. Aplicar control de acceso al dispositivo. Disponer de gestión centralizada de dispositivos. Implantar cifrado de datos sensibles. Disponer de protección anti-malware. Habilitar el control de políticas en puntos de acceso. Prevenir las fugas de información. En cada organización se han de decidir las prioridades, las medidas que mejor se ajusten a las necesidades identificadas y la extensión con que se tienen que aplicar. Lo más inmediato suele ser empezar por la actualización de políticas y la revisión y extensión de los procedimientos de gestión y control. Por otra parte, la industria viene trabajando desde hace muchos años en este campo, y ya se dispone de herramientas y familias de soluciones que ayudan a establecer algunas de las funciones expresadas. tecnologías como MovilToken de Serbank, que es una solución dedicada al sector bancario para la emisión y gestión de claves dinámicas (OTP One Time Password) de sesión a través de teléfonos moviles, smartphones y PDA. Otra solución muy interesante, que está basada en las recomendaciones de la Initiative for Open Authentication (OATH) y la RFC 4226 que le ha permitido obtener la seguridad de nivel 2FA, es la producida por MovilOK, y que corre en plataformas smartphones, PDA y Blackberry. Además MovilOK combina esta solucion de claves dinámicas y OTP con la generación de códigos de barras, con lo que se puede compatibilizar con sistemas de acceso físico. Mossec, por su parte, cuenta con una completa familia de soluciones de seguridad para PDA con Windows Mobile, con una versión corporativa que permite desde una consola centralizada definir, aplicar y mantener las políticas de seguridad. La versión personal proporciona las funciones típicas de autenticación, control de acceso, cifrado de dispositivo, y protección como cortafuegos personal mediante el uso de listas blancas de aplicaciones. CONCLUSIONES La movilidad es una de las olas tecnológicas que está mostrando un impacto creciente en las organizaciones de TI, en parte por las demandas de los usuarios y en parte por los nuevos requerimientos de negocio para explotar las posibilidades de movilidad en beneficio de la empresa o el servicio a los ciudadanos o consumidores. Para responder al reto, las organizaciones de TI necesitan hacer acopio del conocimiento, habilidades y recursos necesarios para reaccionar con rapidez y eficacia. Y la seguridad es uno de los aspectos a tener en cuenta; pero debido a que la introducción de la movilidad en las empresas ha sido muchas veces por parte de los propios usuarios o de servicios muy particulares como el correo móvil, la verdad es que la mayor parte de las organizaciones todavía no han adaptado sus políticas y procedimientos. Afortunadamente, los criterios recogidos en los SGSI, ISO 27000, son perfectamente válidos para encarar estas necesidades, que pasan en primer lugar por la revisión de las políticas de seguridad, y la preparación y revisión de los procedimientos que le aplican. También hay que recordar que los mayores riesgos están asociados a la pérdida y sustracción de dispositivos, por lo que las primeras funciones de seguridad pasan por el control de accesos, recuperación de datos y cifrado de información confidencial; para ello y debido a las limitaciones y debilidades de los sistemas operativos, es conveniente contar con herramientas especializadas. Pero funcionalidad sin gestión no permite asegurar los niveles de seguridad en el tiempo, por eso es importante considerar las capacidades de las herramientas para centralizar la gestión y la aplicación de políticas. Desde la especialización en el dispositivo o desde las funciones de protección de malware (antivirus), los fabricantes han evolucionado de forma convergente de tal forma que en la actualidad existen múltiples tecnologías que aportan soluciones válidas, aunque en evolución permanente. Pero antes de poner en marcha nuevas herramientas es importante, en función de la política de seguridad, adecuar los procedimientos, y establecer una estrategia y plan de mejoras funcionales, y a partir de ahí seleccionar las herramientas más adecuadas. Las soluciones de protección en movilidad no se apartan de las soluciones ya conocidas, pero dada su creciente implantación e importancia para el negocio, ya es tiempo de tomar conciencia de las implicaciones de la seguridad para la movilidad, y ponerse manos a la obra. EDUARDO LÓPEZ REBOLLAL Director de Marketing de Producto elopez@sia.es JAVIER JARAUTA SÁNCHEZ Responsable de Consultoría de Seguridad jjarauta@sia.es GRUPO SIA 88 ABRIL 2008 / Nº79 / SiC