neirfy - stock.adobe.com

Un mejor manejo de los dispositivos móviles empresariales aumenta la seguridad móvil

El auge de la movilidad en los negocios ha vuelto fundamental la adecuada seguridad de los dispositivos móviles y los datos empresariales que circulan por ellos.

La seguridad informática de las compañías en general y, en especial, la protección de los datos empresariales móviles, es una preocupación que se ha instalado con fuerza en la agenda de los tomadores de decisiones de negocios. De acuerdo con el reporte IDC Investment Trends 2016, la seguridad de TI es la principal iniciativa de TI para este año, lo que revela un avance importante respecto a años anteriores, donde esta iniciativa ocupaba puestos cercanos al tercer o cuarto lugar.  

El motivo de esta tendencia es la extraordinaria proliferación que los dispositivos móviles han tenido en todos los mercados. Un hecho del que América Latina no se ha quedado al margen. Cifras de IDC indican que, mientras que en Latinoamérica en 2012 se estimaba un número aproximado de 227 millones de dispositivos conectados, de los cuales 38% eran móviles, se espera que, para el año 2018, esta cantidad ronde el 80% de un total de 700 millones.

Ante este escenario, es válido preguntarse si, desde la perspectiva de la seguridad de la información, es positivo o negativo el que los dispositivos móviles inunden las empresas latinoamericanas.

Marcelo Díaz, Makros.

Para algunos expertos, el fenómeno es positivo si se ve desde el punto de vista de que la fuerza laboral de una organización puede trabajar desde cualquier lugar o entorno, pero tiene algunas consideraciones que son propias de la movilidad. “Por ejemplo,  la seguridad en relación de los accesos, correo electrónico u otros. Lo que es importante, en este sentido, es saber si las organizaciones cuentan con una política de BYOD o las herramientas de control necesarias para asegurar el resguardo de la información a la que acceden sus colaboradores”, dice Marcelo Díaz, gerente general de Makros.

Para Carlos Castañeda, M. PhD y experto en seguridad digital de Unisys, este proceso es positivo y es parte de una realidad que las organizaciones ya no pueden desconocer.

Carlos Castañeda, Unisys

“Los dispositivos móviles permiten el acceso de manera ubicua a clientes y empleados, y es acorde a las tendencias de muchas organizaciones mundiales de ofrecer la posibilidad del Bring Your Own Device. También responde al cambio generacional que nuestra sociedad está teniendo. os millenials, que han nacido con esta tecnología en sus manos, ya son una fuerte porción de la fuerza de trabajo; son personas muy enfocadas a la innovación y consideran que es primordial, para el desarrollo de su trabajo, la conectividad y disponibilidad de los servicios móviles conectándose a diferentes servicios, bien sea en servidores locales de su trabajo o, lo que es más común, a la nube (…). Para ello, consideran que las políticas de servicios y seguridad de TI deben ajustarse a esto para que su trabajo sea más efectivo. El dispositivo móvil es la puerta de entrada a los servicios que consumen y procesan información, y que probablemente estén ubicados en nubes públicas o privadas. Las organizaciones latinoamericanas deben ser conscientes que es un cambio de tendencia, que puede traer muchos beneficios, pero también grandes desafíos desde el punto de vista gestión y de gobierno de TI”, explica.

Rodrigo Acevedo, Entersoft.

Rodrigo Acevedo, gerente general de Entersoft, agrega que, a su juicio, los teléfonos inteligentes han revolucionado la forma en que nos comunicamos. Esto ha provocado un impacto muy beneficioso para las empresas, debido al ahorro de tiempo y la facilidad de la comunicación. “Del mismo modo, los trabajadores se han visto beneficiados ya que siempre están en contacto y, de hecho, hay estudios que indican que el uso de estos dispositivos producen un incremento de la productividad. Sin embargo, el uso excesivo ha provocado que las personas nunca se desconecten de sus labores profesionales. Eso se debe regular”, dice.

Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, piensa que, el uso de dispositivos móviles en las empresas plantea tanto ventajas como retos para la gestión de la seguridad de la información. Indica que, en la medida que los equipos encargados de la seguridad empresarial tomen conciencia de que es necesario cambiar la forma en que se gestiona la conectividad y el intercambio de la información, va a ser mucho más fácil aprovechar las ventajas y mitigar los riesgos asociados con estas prácticas.

Camilo Gutiérrez, ESET.

“Es común el intercambio permanente de documentación de trabajo desde todo tipo de dispositivos móviles: computadores portátiles, smartphones y tablets, tanto personales como pertenecientes a la organización. La gran dificultad para la seguridad es que la información que se intercambia no suele eliminarse del dispositivo personal, quedando expuesta a una posible fuga o robo de la información, ya que las medidas de seguridad en este tipo de dispositivos no son iguales a [las de] aquellos que son gestionados directamente por la empresa”, advierte.

Asegurar la comunicación y proteger los datos empresariales móviles

Los especialistas resaltan que se debe definir las estrategias y políticas correctas, como implementar una solución de gestión de la movilidad empresarial (EMM) o gestión de los dispositivos móviles (MDM). De la misma forma, al moverse hacia plataformas de nube, se debe evaluar alguna solución CASB (Cloud Application Security Broker), ya que, al tener un perímetro extendido, las soluciones de seguridad tradicionales no podrán dar cobertura a normativas o cumplimientos de acceso a la información. Asimismo, deben establecer qué pasará con los dispositivos propios o los que son de los colaboradores, y cómo éstos interactúan con la información de la empresa.

Martín Fuentes, Level 3.

Martín Fuentes, gerente de servicios de seguridad para América Latina de Level 3, sostiene que se debe disponer de un adecuado análisis de riesgo y una estrategia para enfrentar los desafíos de seguridad, constantemente cambiantes. Esto es fundamental no solo para proteger los datos empresariales en un entorno móvil, sino también cualquier activo de información de una compañía. Da lo mismo que el dispositivo sea personal o corporativo, existe una alta posibilidad de que los datos del usuario y de la compañía, coexistan.

“Lo mínimo que debería hacerse, por tanto, es forzar determinadas políticas de seguridad que garanticen un control elemental sobre el equipo, para que, en caso de robo, hurto o pérdida, no se pueda acceder de manera simple al contenido. A partir de ese punto básico, existen diferentes medidas de control y soluciones tecnológicas que pueden aumentar el nivel de seguridad de dichos equipos. Un complemento fundamental, no tecnológico, es la capacitación. Los usuarios continúan siendo el eslabón más débil de la cadena, por lo que es fundamental tener un programa de formación permanente, para garantizar que actúan siempre según las mejores prácticas en materia de seguridad en todo activo con acceso a datos de la compañía, incluidos los teléfonos celulares”, destaca.

Jonathan Namuncura, IDC Chile.

Existen distintos programas que ayudan a proteger la información de las compañías, desde el perímetro hasta los dispositivos. Sin embargo, destaca Jonathan Namuncura, analista de software de IDC Chile y Argentina, “las brechas de seguridad suelen ser generadas por los usuarios. Por lo tanto, propondría tres principales acciones: Concientizar a los trabajadores sobre estos temas (acciones tan simples como utilizar redes WiFi seguras pueden marcar la diferencia); implementar herramientas de software de seguridad, orientadas a mensajería, redes y acceso (…); finalmente, considerar la seguridad como un elemento fundamental para la empresa. Esto significa contar con presupuesto y tener un roadmap de mediano y largo plazo. Esperamos que para este 2017, el crecimiento del software de seguridad esté cinco veces por sobre el crecimiento del mercado de software tradicional”, sostiene.

Vinicios Agostini, Exceda.

Para Vinicius Agostini, gerente de marketing de Exceda, representante de Akamai Technologies en Latinoamérica, hay aspectos claves: “La definición de reglas claras, la capacitación y la adopción de aplicaciones estándar para la comunicación corporativa es fundamental. Estos procesos reducen los riesgos de seguridad y garantizan el flujo de una comunicación más efectiva. Para una empresa, usar WhatsApp puede ser adecuado para grupos de trabajo, mientras otras empresas van a necesitar usar más funciones como las disponibles en apps como Slack. Además, es importante tener reglas responsables acerca del uso de los móviles para transmisión de informaciones de la empresa, más aún en caso de datos estratégicos y confidenciales del negocio”.

Es que, como dice Marcelo Sukni, gerente general de SAS Chile y Perú, “en teoría, cualquier dispositivo conectado a internet puede ser hackeado. Esta es una realidad aterradora cuando se considera el alcance de la internet de las cosas. Cuando todo está conectado, todo está en riesgo; los dispositivos de IoT hacen que las organizaciones sean vulnerables. Y puesto que muchos dispositivos IoT no se construyeron para las funciones de seguridad, son relativamente fáciles de romper. Por ello, es hora de fortalecer las defensas de la ciberseguridad para el riesgo latente. El mayor desafío es que la mayoría de las organizaciones no tienen visibilidad completa en sus redes porque las redes siempre están cambiando. Aquí es donde entra en juego el análisis de seguridad. Con una combinación de calidad de datos y capacidades de administración de datos, análisis predictivo, aprendizaje automático y más, el análisis de seguridad ofrece una visión general de lo que está sucediendo y de lo que hace falta. Con análisis de seguridad, puede buscar entidades desconocidas en su red y descubrir comunicaciones no autorizadas con entidades no autorizadas”.

Marcelo Sukni, SAS Chile y Perú.

El ejecutivo agrega que una mayor seguridad cibernética comienza con una estrategia de datos y análisis. Por ello, recomienda tres pilares para asegurar los dispositivos móviles interconectados. “Primero, identificar. Una fuerte plataforma de seguridad cibernética captura todo el tráfico de red en la fuente y agrega el contexto empresarial y de seguridad, en tiempo real o casi. Al agregar datos de autenticación de usuario, datos de proxy web y alertas de productos de seguridad, el resultado es una línea de base más inteligente para un motor de análisis integrado y resultados más precisos. Con avances como el procesamiento distribuido, en memoria y procesamiento de secuencias de eventos, la plataforma puede mantenerse a la par con una red en expansión y nuevas fuentes de datos. Mucho más allá de las reglas y las firmas, esta plataforma debe incluir una combinación de detección de anomalías, análisis predictivo y análisis dinámico y adaptativo de datos para detectar la actividad sospechosa basada en el comportamiento de una entidad y sus comportamientos. Luego, clasificar: Para elegir la mejor respuesta, usted tiene que saber si el comportamiento es localizado u omnipresente. Puede hacerlo utilizando un centro de control visual para generar y mostrar automáticamente una puntuación de riesgo de la entidad. Con una lista priorizada de entidades sospechosas, puede centrarse en comprender por qué se está produciendo el comportamiento. El examen de los indicadores de riesgo subyacentes le ayuda a formular rápidamente hipótesis para una investigación y pruebas adicionales. En tercer lugar, responder: Sobre la base de la información que tiene ahora, puede tomar medidas inmediatas. Usted puede poner en cuarentena o remover la entidad de la red temporalmente durante la investigación para mitigar su riesgo potencial”.

Finalmente, volviendo a lo básico, Gutiérrez, de ESET Latinoamérica, recomienda a los usuarios empresariales que, “en primer lugar, se debe configurar el dispositivo para que la opción de bloqueo de pantalla se active en el momento que no se esté utilizando el teléfono, para evitar accesos no autorizados a través de los cuales se ponga en riesgo la información del dispositivo. Luego, si el dispositivo móvil puede conectarse a una red celular, debe activarse la opción de bloqueo de tarjeta SIM, de tal forma que en el momento de encender el dispositivo solicite el código PIN. Con esto se restringe el acceso al uso de estos recursos en caso de robo o pérdida del dispositivo. En tercer lugar, es muy importante mantener actualizado el sistema operativo del dispositivo; incluso algunos permiten programar su actualización automática. (…) Mantener actualizado el sistema operativo ayuda a la protección del usuario corrigiendo las fallas de seguridad. Lo cuarto es no instalar aplicaciones descargadas directamente de páginas que no estén avaladas por los fabricantes del dispositivo o por los desarrolladores del sistema operativo. Esto con el objetivo de no instalar aplicaciones desarrolladas con algún contenido malicioso. Además, las aplicaciones deben ser actualizadas regularmente. También, gestionar las aplicaciones que se utilizan en el dispositivo, para no llenarlo de programas que además de disminuir el rendimiento del dispositivo, pueden generar una vulnerabilidad de seguridad para el usuario. Y finalmente, el uso de aplicaciones para la protección de los datos es una muy buena alternativa que incrementa el nivel de seguridad”, concluye.

Investigue más sobre Redes y comunicaciones