Revista Channel News - Seguridad informática: BYOD en la mira

Seguridad informática

BYOD en la mira

Uno de los principales efectos de la proliferación de dispositivos móviles es el uso por parte de sus usuarios, tanto en el trabajo como en el hogar. Esta tendencia, conocida como BYOD (Bring Your Own Device), es mirada por muchos con buenos ojos porque aumenta la productividad de las organizaciones, sin embargo, ha abierto nuevos desafíos en materia de seguridad informática.

Según la visión de IDC, que recientemente anunció el estudio “IDC Enterprise Mobility and Consumerization of IT Conference”, el BYOD es un reto que llevará a las organizaciones a implementar políticas de administración y definir una solución de movilidad compuesta.

Esto, porque sólo en este año los teléfonos inteligentes y tablets crecerán 34% en Latinoamérica. En las ventas totales en TI representarán un 23% y un 57% en términos de crecimiento del mercado en TI durante este año. Además, los servicios de datos móviles crecerán en un 25% y las telecomunicaciones un 7,9%.

La tasa de movilidad empresarial seguirá creciendo, tal como en los últimos cinco años. Prueba de ello es que en América Latina, dos de cada tres empresas movilizan a más del 10% de sus empleados. Chile figura como un pionero en la adopción de movilidad, y continuará con un crecimiento sostenido durante 2013 con una media en la tasa de movilidad del 35%.

Y si bien los teléfonos inteligentes seguirán liderando la intención de inversión de dispositivos móviles, advierte IDC, las tablets responderán a la aspiración o a la voluntad de los usuarios de incorporar nuevos equipos a la organización. En Chile, según datos proporcionados por la consultora, el 35% del presupuesto móvil de 2013 de las organizaciones se gastará en teléfonos inteligentes, mientras que sólo el 2% será para las tablets; cifras que reflejan la escasa adopción de estas últimas en el país, ya que el 85% de los empleados utilizará su tablet personal en el trabajo y sólo el 13% ocupará aquella corporativa. Sin embargo, los usuarios continuarán introduciendo sus equipos en las empresas. En el país el 45% de las compañías incluye dispositivos personales en la plataforma de gestión y administración, cifra que seguramente aumentará, ya que se espera que durante este año los smartphones y las tablets aumenten en 45% y generen el 32% de todas las ventas de TI, declara IDC.

Jorge Rojas, NovaRed.

Marcelo Díaz, Makros.

Kenneth Daniels, Widefense.

Oliver Hartley, Orion.

Bajo ese contexto, a las empresas no les queda más que ser capaces de adoptar medidas en materia de seguridad y evitar así amenazas como robo de datos importantes, hackeos, o bien, descargas de aplicaciones con software maliciosos.

En Chile la prevención de los riesgos del BYOD parece no ir a la misma velocidad que la expansión de dicha tendencia. En palabras de Jorge Rojas, Subgerente de Productos y Preventa de NovaRed, aún queda mucho por hacer. “Los departamentos TI de las compañías han comprendido el complejo escenario que se vive en materia seguridad, puesto que mientras especialistas desarrollan tecnologías cada vez más evolucionadas, ciberdelincuentes avanzan al mismo ritmo buscando la forma de vulnerarlas. Sin embargo, en muchas oportunidades la necesidad o iniciativa de las propias personas avanza mucho más rápido, de lo que pueden las empresas, exponiendo a éstas a riesgos no necesariamente cubiertos o identificados”, señala el ejecutivo.

Para Marcelo Díaz, Gerente General de Makros, las organizaciones grandes son conscientes, pero incluso en ellas existe la “mala práctica” de regalar a sus altos ejecutivos tecnologías como Ipad u otros equipos, los cuales no pasan por alguna supervisión de los oficiales de seguridad y terminan siendo un posible foco de pérdida de datos o exposición innecesaria a datos de las empresas.

En ese sentido, las empresas locales están cometiendo ciertos errores. Kenneth Daniels, Gerente General de Widefense, explica que es común creer que el BYOD nos los afectará, no obstante, al igual que la Web 2.0, es una tendencia que pronto será una necesidad, esto, porque las redes Wi-Fi regularmente no tienen control de acceso y permiten la interconexión usando una clave que es provista para usar otros dispositivos y que, en muchos casos, se vuelve de uso público. “La conexión se permite sin definir políticas de seguridad específicas para este tipo de dispositivos, sin tomar medidas de control y mucho menos de gestión, tanto de seguridad como de aplicaciones”, asevera.

Es por ello que se recomienda que las empresas establezcan políticas de seguridad de una manera sistemática y que se involucre a toda la organización en su difusión y conocimiento. A juicio de Oliver Hartley, CTO de Orion, esto es especialmente relevante ante una tendencia como BYOD, en donde no sólo las empresas están expuestas a robos o estafas electrónicas sino también los mismos usuarios como personas individuales. De manera que, sensibilizar y aprender sobre el tema, será siempre de utilidad para toda la organización y contribuirá a hacerla más segura.

Para lo anterior, asegura Hartley, las organizaciones deben contar con servicios y tecnologías que contribuyan, de un modo flexible y acorde a sus necesidades, a minimizar las brechas de seguridad.

Jorge Rojas ratifica lo anterior, resaltando que algunas empresas chilenas no cuentan con mecanismos de enrolamiento y control de los dispositivos móviles que permitan perfilar el acceso empresarial y así proteger la información contenida en éstos; no mantienen un exhaustivo control de acceso a Internet desde dispositivos móviles; prescinden de mecanismos para proteger los dispositivos móviles, sean personales o de la empresa; no hacen copias de seguridad que respalden la información y la mantengan resguardada en caso de pérdida de los aparatos, y no mantienen políticas claras y eficientes para el control de los dispositivos móviles.

Adoptando buenas prácticas

Frente a la creciente tendencia del BYOD, Díaz aconseja definir una política al respecto. “Si bien es cierto, muchos empleados se hacen más productivos con las tecnologías que se asocian a BYOD, no creo que exista una real conciencia de los riesgos a los que se puede exponer una empresa”, sostiene.

Daniels recomienda, como primer paso, no oponer resistencia al BYOD, prepararse para incorporarlo y ser proactivo en las medidas de control que se necesiten aplicar. “Extender las políticas de seguridad a este escenario de operación hace más simple implementar controles y la gestión de buenas prácticas. También es necesario definir o adoptar una buena práctica en función del rol del negocio y las necesidades de comunicación”, acota.

Jorge Rojas, en tanto, sostiene que una buena política de seguridad debe partir por un inventario de los dispositivos móviles que acceden a información interna de las compañías. Dado lo anterior, será posible aplicar políticas de control similares a las de cualquier dispositivo interno a la compañía.

Adicionalmente, dice Hartley, una buena política no debe estar pensada en términos puramente restrictivos, ya que debe haber un equilibrio entre la seguridad, las diversas necesidades de acceso de cada uno de los usuarios y los beneficios que otorga la movilidad al negocio, en términos de productividad y mejora de procesos. “En ese sentido, la mejor política es la prevención y eso se logra, primero, a través de la sensibilización y la educación sobre los riesgos de los dispositivos móviles”, enfatiza el profesional de Orion.

En términos prácticos, el representante de Widefense aconseja: monitorear la conexión a la red de dispositivos móviles; la conexión a la red debe ser voluntaria e incluir aceptación de la política y buenas prácticas de seguridad para este tipo de dispositivos; todos los dispositivos móviles que se conecten a la red de la empresa deben cumplir con estándares de configuración, seguridad y protección de datos definidos por la empresa y, finalmente, se debe proporcionar las facilidades para que los usuarios puedan registrar y activar sus dispositivos.

¿Cómo debe ser una solución para BYOD?

La implementación de una solución de seguridad para enfrentar al BYOD depende de muchos factores. No obstante, Jorge Rojas recomienda a las empresas evaluar las soluciones tipo MDM (Mobile Device Manager) y de control de contenidos de acceso a Internet. Las primeras para lograr controlar de mejor forma los dispositivos personales y empresariales y, las segundas, para tener un mejor control del acceso a Internet a fin de evitar que exista saturación de los enlaces.

Marcelo Díaz, en tanto, opina que se debe tener claro cuáles plataformas soportará la organización (IOS, Android, BB, Windows u otras), asegurarse al menos de proteger las aplicaciones que se pueden usar e instalar, contar con una contraseña de acceso al dispositivo, encriptar la información, proteger la navegación web y contra el malware, evitar el uso de USSD y que ciertas aplicaciones trafiquen datos, borrado de información remoto y administración centralizada.

En cuanto a firewalls y sistemas de detección de intrusiones (IPS/IDS), Hartley sostiene que hay algunos que hoy siguen siendo usados por las empresas y que están obsoletos para ciertos tipos de amenazas. En ese sentido, el ideal sería contar con IPS/IDS de próxima generación, los cuales ofrecen facilidades para gestionar la seguridad considerando los dispositivos BYOD.

“Por otro lado, una organización debería contar con alguna solución que le permita desplegar redes Wi-Fi de forma segura, con opciones de administración, como por ejemplo que sean configurables desde la nube, es decir, que no signifique añadir complejidad en su gestión y, por cierto, nuevos costos”, comenta.

Sin lugar a dudas, la tendencia del BYOD pone en jaque a la seguridad de las empresas, y la solución pasa por enfrentar este escenario sin evitarlo. Según datos de la empresa analista IDC, en América Latina el 70% de las personas utilizan sus dispositivos personales en el trabajo, pero los CIOs piensan que sólo son el 30%.

En ese contexto, BYOD hoy figura como un gran desafío para las organizaciones y la reacción temprana al fenómeno puede ser la clave para impedir grandes desastres.