Colombia: La administración de dispositivos móviles: un desafío de seguridad
Recomendaciones para que los departamentos de sistemas puedan mantener segura la información cuando se brinda acceso a través de dispositivos móviles
Por: Pedro Castro, Gerente para Sur América de habla hispana
Bogotá, mayo 4 de 2011 — Hace años los empleados de las empresas utilizaban sus equipos de cómputo sólo en el trabajo. No hace falta decir que estos equipos eran propiedad de la empresa y eran administrados exclusivamente por el departamento de sistemas. Luego, con la llegada de los computadores portátiles fueron más los empleados que comenzaron a usar los equipos y, algunos de estos, podían pertenecer a la empresa o al mismo empleado, lo que dio como resultado que el personal de sistemas tuviera que instalar redes privadas virtuales (VPN) y diferentes tipos de software de seguridad.
En la actualidad, debido al auge de los teléfonos celulares inteligentes – conocidos como smartphones – son cada vez más rápidos y más accesibles, los empleados traen consigo poderosos computadores de bolsillo, que son utilizados, tanto para asuntos personales, como para asuntos relacionados con el trabajo, lo cual representa nuevos retos y consideraciones para los departamentos de sistemas.
Hoy, los smartphones permiten descargar aplicaciones de uso personal, pero a la vez ofrecen la posibilidad de almacenar datos corporativos, con lo cual, si el equipo llega a perderse, la información sensible que contiene representa una grave vulnerabilidad para la compañía. Y esto no es un caso exclusivo de los teléfonos, pues lo mismo aplica para los netbooks y las nuevas tablets.
Cabe señalar que se estima que a nivel mundial durante 2010 se vendieron alrededor de 297 millones de smartphones – 72% de crecimiento con respecto a 2009 -, lo cual representa el 19% de las ventas totales de teléfonos. Y se espera tener un crecimiento por encima del 20% para 2014.
Con tantos empleados teniendo acceso a datos corporativos, desde diferentes lugares y en cualquier momento, desde sus dispositivos personales ¿cómo pueden los departamentos de sistemas administrar adecuadamente la seguridad de estos equipos de forma efectiva? ¿Qué tan delicado es este asunto?
Existe una tendencia en la cual los empleados adquieren este tipo de dispositivos como tables y smartphone para uso personal como juegos, redes sociales, fotos, videos, etcétera y, como se mencionó, buscan usarlos también para manejar cierto tipo de información del trabajo. No obstante, son pocas las empresas que están realmente evaluando las características de seguridad de los diferentes tipos de smartphones que existen en el mercado, con la finalidad de encontrar el más adecuado a las necesidades de la empresa y empleados y del cual puedan tener un mejor control.
Existen un gran número de riesgos asociados a este tipo de equipos, empezando por el más común que es la pérdida del dispositivo y con esto la pérdida de toda la información – personal y laboral -; en segundo lugar, está la gran cantidad de aplicaciones que se pueden instalar (se estima que en 2010 se vendieron 10.9 billones de aplicaciones y se espera que para 2014 esta pueda crecer a 76.9 billones) ya que los controles y filtros que existen son muy limitados.
Por lo anterior, es muy importante que los usuarios tengan acceso a su información a través de un acceso remoto seguro, el cual pueda proteger el tipo de información que el usuario está consultando mientras accede a los recursos corporativos como ERP, CRM, correo electrónico, aplicaciones desarrolladas por las empresa, entre otras, y que estos usuarios puedan ser identificados como aquellos que tienen los accesos y permisos correspondientes para hacer uso de estos dispositivos. Estos usuarios normalmente se encuentran en las aéreas de ventas, ingeniería, soporte y dirección.
RECOMENDACIONES
Las principales recomendaciones que se pueden hacer a los departamentos de sistemas, para mantener segura la información cuando dan acceso a los usuarios móviles, son:
1. Tener un sistema de Acceso Remoto Seguro (VPNs de SSL) para que la información esté protegida en el aire.
2. Obligar el uso de contraseñas para bloquear los equipos; así en caso de pérdida o robo, la información no estará disponible para la persona que tiene el equipo.
3. Instalar un sistema para poder borrar el dispositivo de forma remota.
4. Tener un sistema de encripción de la información para el smartphone o tablet.
5. Definir y aplicar políticas de seguridad.
La empresa debe ser capaz de controlar el uso, cuando el dispositivo se esté utilizando en la red de la compañía o en sus oficinas. También debe tener la opción para restringir el acceso a los datos corporativos si es necesario.
Algo que se debe tomar en consideración es que no todos los smartphones son iguales, por lo que cada fabricante tiene sus propios procesos para asegurar sus equipos – a veces de una manera más fácil o compleja – , por lo que es importante evaluar a detalle, cada dispositivo, sus funciones y así poder elegir la mejor opción.
A los empleados móviles se les recomienda que ya sea por política corporativa o simplemente por estar a la moda con el nuevo smartphone del mercado, tengan perfectamente identificadas las aplicaciones de uso corporativo y de uso personal e instalen aquellas que provienen de sitios 100% recomendados por el fabricante, ya que estos aplican algunos filtros o pruebas para evitar que algún tipo de malware se agregue a estas aplicaciones. Es recomendable proteger el dispositivo con una contraseña, para que de esta forma no se comprometa la información, en caso de extravío.
También es de vital importancia utilizar contraseñas diferentes para las aplicaciones o accesos a recursos personales o corporativos, que sean complejas – pero que sean fáciles de recordar -, usando mayúsculas, minúsculas y números, de esta forma serán más difíciles de adivinar, y así dejan como única opción para reutilizar el smartphone o tablet, el borrado total de la información del dispositivo. Recordemos en todo momento que una vulnerabilidad, por pequeña que sea, puede poner en riesgo la operación total de la empresa.
Para más información acerca de Seguridad Dinámica para visite la página de SonicWALL, el blog para América Latina, el grupo en Facebook o siga a la empresa en Twitter.
Acerca de SonicWALL
Guiada por su visión de Seguridad Dinámica para la Red Global, SonicWALL desarrolla seguridad de red inteligente y avanzada así como soluciones de protección de datos que se adaptan de forma paralela a la evolución de las organizaciones y de las amenazas. Dirigida a empresas de todos los tamaños a nivel mundial, las soluciones de SonicWALL están diseñadas para detectar y controlar aplicaciones así como para proteger redes de potenciales intrusiones y ataques de malware gracias a su tecnología hardware y software así como a sus soluciones virtuales. Para más información por favor visite http://www.sonicwall.com/
Copyright © 2011 SonicWALL, Inc. Todos los derechos reservados. SONICWALL® es una marca registrada de SonicWALL, Inc. y todos los productos, servicios, slogans son también marcas registradas de SonicWALL, Inc. Otros productos y compañías mencionadas en este documento pueden ser marcas registradas de sus respectivos propietarios.