La empresa móvil y segura, ¿una quimera?
Para los ejecutivos de hoy, la posibilidad de acceder a aplicaciones corporativas de su smartphone o tablet es una necesidad, pero también implica riesgos para las empresas pues “abre el perímetro” que debe proteger de posibles amenazas a la seguridad de sus datos
La empresa móvil es ya una realidad. Nadie duda de que acceder a las aplicaciones corporativas a través de los populares smartphones y/o tabletas no solo es cómodo sino también necesario, pues la productividad se incrementa a cotas hasta hace escasos años imposibles. Además, la demanda por parte de trabajadores, empleados y proveedores de las compañías de usar la vía móvil para acceder a los sistemas de las organizaciones, a las aplicaciones de estas y a determinados datos es un auténtico imperativo. El problema, no obstante, es que este auge de la movilidad ha traído consigo también ciertos riesgos de los que aún no son conscientes muchas compañías.
Una empresa ya no es segura si solo se limita a proteger el tradicional perímetro organizativo. Es decir, ya no basta con disponer de cortafuegos, soluciones de gestión de amenazas, antispam y de filtrado de contenidos. Ahora es preciso proteger el acceso y este ya no solo se produce desde un PC. De ahí que sea indispensable contar con una verdadera estrategia y mejores prácticas en lo que respecta al uso de la movilidad en la empresa. Una estrategia que además de garantizar la seguridad de los propios dispositivos incorpore otros elementos como la protección de los datos y las aplicaciones con los que interactúan los usuarios móviles. También, hay que compaginar dicha estrategia con otro requisito: que ésta no entorpezca, en ningún caso, la agilidad y dinamismo empresarial que el uso de los dispositivos móviles brindan.
Dispositivos seguros y comunicaciones encriptadas
Uno de los primeros requisitos que debe figurar en toda estrategia de seguridad móvil es proteger los dispositivos móviles con software de seguridad antimalware. Sí, el software malicioso ya no ataca solo a los sistemas operativos de los tradicionales equipos de escritorio o portátiles. En los últimos tiempos especialmente Android, el sistema operativo móvil de Google, el más generalizado en el mercado, e iOS, la plataforma de Apple, se han convertido en puntos de mira de los cibercriminales. Aun así, y a pesar de la tarea evangelizadora de los principales fabricantes de software de seguridad, son muchas las empresas (ocurre lo mismo con los usuarios a nivel personal) que no tienen protegidos sus dispositivos móviles con el elevado riesgo que esto supone. Tener, por tanto, instalado actualizado un antivirus es tarea indispensable.
Otro aspecto importante, además de encriptar las comunicaciones de los dispositivos móviles de forma que no sea posible interceptar sus datos, es utilizar un sistema de autenticación del usuario del dispositivo que vaya más allá de la tradicional contraseña. De hecho, muchos dispositivos móviles permiten ya por defecto identificarse mediante la huella dactilar e incluso hay algunos en prototipo que traerán de serie el reconocimiento a través del iris. No hace falta, no obstante, usar la biometría, también se puede combinar con el uso de passwords y otras fórmulas de identificación, por ejemplo que involucren el uso del correo electrónico o mensajes de texto al propio móvil. En este sentido, en las organizaciones se debe formar a los empleados para que estos últimos utilicen herramientas de identificación que sean precisas y sepan cómo actuar en caso de pérdida o robo del dispositivo en cuestión.
Cuidado con el software de terceros
Conviene también establecer políticas que limiten a los empleados el uso de software de terceras partes que pueda ocasionar riesgos para las compañías. Son muchos los profesionales que al instalar en sus equipos una app de dudosa procedencia o una que, aunque parece conocida luego es una imitación creada por cibercriminales, ven cómo su dispositivo es atacado y, con ello, muy comprometida la seguridad de los datos que maneja su organización. En esta línea, desde la consultora Gartner, aconsejan evitar los jailbreaks en los dispositivos iOS y el ‘rooting’ en los móviles Android, dos prácticas que dan al usuario privilegios de administrador con los riesgos que esto conlleva en los entornos empresariales.
Curiosamente, los expertos de Gartner aseguraban en un estudio hecho público en 2014 que la mayor parte de las brechas de seguridad que se producirán en dispositivos móviles en 2017 (hasta el 75%) serán fruto de una mala configuración de las aplicaciones creadas para estos gadgets. Un ejemplo de ello es el uso incorrecto de servicios de nube personal a través de apps que instaladas por los usuarios de smartphones y tabletas. La mejor defensa, argumentan, consiste en que desde la empresa se realice una configuración fija de este tipo de dispositivos bajo el paraguas de una política de gestión de equipos móviles que hay que complementar con otras herramientas de protección de los datos.
Desde la consultora también recomiendan a las empresas especificar con qué plataformas y sistemas operativos deben trabajar los dispositivos móviles de sus empleados y evitar versiones que no puedan ser actualizadas o soportadas, así como exigir que los usuarios tengan que registrarse o certificarse cuando entren en aplicaciones como el email corporativo virtual, redes privadas virtuales, wifi y otras aplicaciones compartidas. Lo que es esencial, recalcan, es que el equipo de seguridad sepa a qué tipos de sistemas y aplicaciones necesitan acceder sus empleados y con qué fin para establecer los controles adecuados. Asimismo, los dispositivos móviles tienen que ser configurados para evitar redes inalámbricas que no sean seguras y recomendar a los usuarios que desactiven la opción del Bluetooth para evitar sustos inesperados.
Controles y auditorías, muy recomendables
Por último, no está de más que las empresas se sometan a auditorías y controles regulares (al menos una vez al año) para evaluar la calidad y robustez de su política de seguridad móvil. No hay que olvidar que los incidentes de seguridad no solo acarrean negativas repercusiones económicas y de pérdida de activos tan esenciales como los datos propios o relativos a los clientes (o ciudadanos, en caso de las administraciones públicas) sino también de reputación e imagen. Y poner remedio solo es cuestión de tomar más conciencia sobre la nueva realidad de las organizaciones de hoy en día, ya completamente móviles.