Nuevos riesgos están amenazando los beneficios de la movilidad / Por: Christian Hisas, Business Development Manager Logicalis Southern Cone

La identidad es la clave para avanzar

El mercado de la movilidad está creciendo. Por su parte, las empresas han comenzado a reservar una parte importante de sus presupuestos para ello. Así, en la medida que el uso de dispositivos los dispositivos se  están utilizando, se están desarrollando aplicaciones y cada vez más consumidores ven el trabajo como foco de uso. El consumo de soluciones de TI tiene a la movilidad como pieza central. Prueba de ello puede verse en las previsiones de consumo de PC´s para los próximos años.

Demos un vistazo acerca de las influencias que impulsan esta tendencia. Cada vez más empleados están siendo equipados con dispositivos móviles todos los días para mejorar la productividad y la forma en que se involucran las empresas con sus clientes. Los servicios en línea se están desarrollando para llegar a nuevos mercados móviles. Servicios de sincronización e intercambio de archivos en la nube, como Box o Dropbox están mejorando cómo los empleados y socios hacen negocios. La extensibilidad de las aplicaciones móviles está mejorando cómo la información se comparte de forma local en el equipo y con los sistemas de back-end. Y las empresas están permitiendo a los empleados traer su propio dispositivo (BYOD) como parte de la satisfacción del empleado y las estrategias de reducción de costos. Las empresas están aprovechando al máximo la movilidad.

Pero a medida que los dispositivos móviles han evolucionado, la conectividad permanente, el número de aplicaciones desplegadas para fines personales y corporativas y los nuevos modelos de uso, han dado lugar a un aumento del perfil de riesgo móvil. Hemos dividido en cinco áreas de negocios de riesgo en las cuales deberíamos pensar a la hora de desplegar los dispositivos móviles y aplicaciones. Vamos a recorrer cada una de ellas.

Perdida del dispositivo

Perder el dispositivo móvil siempre ha sido un riesgo, hoy día cada vez es más frecuente que empleados olviden sus teléfonos/tablet en los bolsillos de los asientos de avión o asientos de taxi, así mismo el riesgo de acceso no autorizado también está aumentando como también la sensibilidad de los datos que se comunican a través del propio dispositivo. Esta información puede ser correos electrónicos, archivos o aplicaciones, datos confidenciales, como información de identificación personal, IP, NPI, PHI y PCI, pueden ser encontrados en el dispositivo móvil y es a menudo desconocido para el negocio. La probabilidad de que un dispositivo caiga en manos equivocadas y pueda acceder a información sensible es una amenaza real.

El perímetro está desapareciendo

El perímetro de la red - una vez más la preocupación de un profesional de la seguridad - se ha ido. El aumento de la adopción de servicios en la nube, incluyendo software, infraestructura y plataforma-as-a-service y la colaboración con terceros conlleva a que la organización ha tenido que borrar el perímetro de TI tradicional. La información confidencial es persistentemente sincronizada de los ordenadores portátiles a la nube y luego al dispositivo móvil poniendo en riesgo el negocio de manera significativa. Los empleados se van, los grupos se disuelven y se pierden los datos. Las empresas tienen el reto de permitir estos nuevos modelos de servicios de productividad y mitigar estos riesgos muy evidentes.

Amenazas en aplicaciones

Hay tres vectores de amenazas locales reales para el dispositivo móvil que aumenta el riesgo de la plataforma móvil y sus entornos de aplicación. En primer lugar, los sistemas operativos obsoletos o troyanos en aplicaciones como Angry Birds o aplicaciones falsas como Pokemon que se dirigían hacia la ferozmente custodiada App Store de Apple, esto aumenta el riesgo de software para móviles vulnerables se descargue en la plataforma. A esto se añade la posibilidad de compartir información entre las aplicaciones y los modos de trabajo de los usuarios para llevar a cabo tareas de forma rápida, existe una amenaza asociada a mover información sin cuidado entre áreas expuestas. Por último, la extensibilidad de las aplicaciones que consumen información de fuentes y contenido de terceros a través de APIs abiertas junto con la amenaza de acceder directamente a datos de la aplicación en la nube pueden aumentar el riesgo.

BYOD y Privacidad

Noticia de última hora: no importa si se trata de un trabajador traer su propio dispositivo en el lugar de trabajo o de la empresa que expide el dispositivo para el empleado - el usuario tiene una expectativa de privacidad. Si el usuario tiene acceso a las capacidades de GPS para navegar a un sitio del cliente o lugar de juego de fútbol de sus hijos hay una expectativa de que la información se mantendrá privada y no se recoge y se deja en manos del empleador. Lo mismo se aplica a las fotos, música, contactos y aplicaciones personales. Así que los empleadores están atrapados en el medio. Corren el riesgo de la responsabilidad de acceder a información de los empleados, pero todavía tienen que controlar por separado los datos corporativos. La seguridad tiene que pasar de controlar el dispositivo a segurizar las aplicaciones y la información con el fin de mantener la privacidad del usuario.

Entornos heterogéneos

Mientras un móvil ofrece un desafío único, es uno de los muchos canales de comunicación y no debe considerarse en un silo de seguridad. Ya se trate de aplicaciones web, aplicaciones móviles o API de acceso de servicios, las políticas deben ser gestionadas de forma centralizada. Y mientras que los flujos de datos a menudo van hacia el dispositivo móvil, no termina en él. La información sensible fluye a través de un amplio conjunto de sistemas, incluidos los servicios de mensajes, ordenadores portátiles, archivos y servicios en la nube.

Con el fin de reducir los riesgos y la escalabilidad que vienen con la gestión descentralizada, las organizaciones deben estar acercando la seguridad al móvil de manera integral hacia todas las aplicaciones y datos.

Para mitigar estos nuevos riegos productos de la movilidad, pero seguir sacando provecho de los beneficios empresariales de la plataforma en el mundo de BYOD, las organizaciones deben adoptar un enfoque equilibrado para la seguridad y hacer que la identidad sea el elemento central para el logro de estos objetivos.

Políticas de seguridad controladas por el administrador de TI

La mayoría de las organizaciones deben implementar las medidas de seguridad adecuadas para garantizar que sólo los dispositivos autorizados (por cable, WiFi o VPN) están conectados a la red. Estas medidas incluyen políticas estándar de protección de autenticación de usuario electrónico, seguridad de red y virus.

Al extender las políticas de seguridad de la organización a los dispositivos móviles, los administradores de TI deben tener la posibilidad de exigir contraseñas para los usuarios de dispositivos móviles y borrar datos de forma remota dentro de los dispositivos móviles. Los administradores de TI necesitan la capacidad de establecer, ejecutar y actualizar configuración en los dispositivos móviles a través de políticas o parámetros que proporcionan un control completo de todos los dispositivos.

Para dirigir cómo los usuarios interactuaran con los sistemas de la organización, los administradores necesitan un único punto de administración de dispositivos móviles. Esto significa que los administradores, en lugar de los usuarios de dispositivos móviles, deben determinar cómo se protegen los datos corporativos.

Como el acceso móvil a la información se vuelve más frecuente y las organizaciones a ser más dependiente de la movilidad, una serie limitada de políticas de TI pueden ya no satisfacer las necesidades de la mayoría de las organizaciones. Por el contrario, un sólido conjunto de políticas de seguridad proporciona un control granular sobre todos los aspectos.

Debajo un ejemplo de políticas que definen la seguridad y la funcionalidad aceptable para los dispositivos móviles corporativos.

1. Definir la autenticación de usuario aceptable:

ü  Requerir un usuario para autenticarse en el dispositivo mediante una contraseña de seguridad.

ü  Configurar características tales como caducidad de la contraseña, límites intento, la longitud y la fuerza.

ü  Exigir y definir contraseñas corporativas aceptables en los dispositivos móviles en su organización.

2. Definir las medidas para proteger los dispositivos móviles de uso no autorizado:

ü  Restringir las conexiones permitidas en los dispositivos móviles.

ü  Utilizar el cifrado de datos en tránsito entre el remitente y el destinatario

ü  Medios extraíbles utilizados con dispositivos móviles deben ser cifrados

ü  Cifran los datos almacenados en los dispositivos móviles

3. Definir codificación aceptable de datos del dispositivo móvil:

ü  Requerir una norma específica del nivel de cifrado

4. Definición de virus y las medidas de prevención de usuarios maliciosos:

ü  Evitar que los dispositivos móviles descarguen aplicaciones de terceros.

ü  Especifique si las aplicaciones, incluidas las aplicaciones de terceros, en el dispositivo móvil pueden iniciar determinados tipos de conexiones

Los administradores de TI deben ser capaces de implementar políticas de grupo para reflejar las necesidades de los diferentes equipos y usuarios dentro de la organización.

Todos los ajustes de política deben estar sincronizados y asignados al dispositivo mediante una conexión inalámbrica.

Después que un administrador de TI establece una política de dispositivo móvil, los usuarios no deben poder intervenir o impedir que la política se aplique.

El administrador también debe tener la capacidad de auditar la aplicación con éxito de la política de seguridad en el dispositivo móvil.

Resumen

A medida que el uso de dispositivos móviles en las organizaciones empresariales aumenta también lo hacen las medidas necesarias para mantener la seguridad de su correo electrónico y datos de aplicaciones, los datos es cada vez más son transmitidos fuera de la red corporativa y se almacenan en los dispositivos móviles fuera de los límites físicos de la organización.

Los dispositivos móviles son potencialmente sujetos a man-in-the middle, ataques DoS, amenazas de malware y otras violaciones de datos.

La pérdida de datos no es sólo una vergüenza para las organizaciones, sino que disminuye su legitimidad, confianza y fidelidad de sus empleados y clientes, como así también los riesgos legales que puede resultar en muchos casos.

Una solución inalámbrica efectiva debe estar diseñada para lograr una seguridad de nivel empresarial y proporcionar una arquitectura específica para este entorno. En muchos casos, las soluciones que funcionan en un entorno de escritorio no son prácticas para la informática móvil, dado los recursos de procesamiento limitada, la memoria y la batería de los dispositivos móviles.

La conexión a través la red inalámbrica debe estar seguro de mantener la confidencialidad, autenticidad e integridad de los datos transmitidos y, por último, los dispositivos móviles deben estar protegidos contra la pérdida de datos, la manipulación y la infección por malware.

En definitiva todas aquellas organizaciones que estén frente a una estrategia de movilidad empresarial, deben proveer a sus áreas de TI con herramientas capaces de brindar un contexto seguro tanto para el empleado como para el negocio.

Básicamente estas soluciones son 2:

ü  Un sistema de administración de dispositivos móviles (MDM)

ü  Un sistema de control de acceso a la red, ya sea Wifi, Cableado o VPN (NAC)

Estas soluciones deben tener la capacidad de intercambiar información y así poder tomar decisiones de manera ágil y segura basándose en la identidad del dispositivo y usuario.

Con los controles de identidad apropiados, las organizaciones pueden tener más confianza en qué está accediendo al dispositivo y a cuales aplicaciones, así como también los datos a que se acceden y los datos que se están compartiendo.

Todo dentro de un marco donde se espera que la privacidad no se comprometa y el negocio no se vea afectado.