1

Seguridad de dispositivos móviles: Las preguntas cláves que debe hacerse

Mientras que el 69% de las organizaciones tienen empleados que utilizan dispositivos personales para conectarse a su red corporativa, más de una quinta parte -o el 21%, en la actualidad- no tienen una política para regular el uso de dispositivos móviles personales en su red.Estas nuevas cifras, recientemente liberadas por la empresa de productos de seguridad, Courion, sugieren que muchos líderes de seguridad siguen haciendo caso omiso de la necesidad de abordar la gestión de dispositivos móviles entre sus empleados.

Pero de acuerdo con Chris Silva, vicepresidente senior de investigación y entrega de servicio en la empresa de seguridad IANS, tener una política adecuada de dispositivo móvil es el paso más importante para el manejo del riesgo inherente al uso de los dispositivos móviles personales.

“No es la plataforma, es la política”, señala Silva. “Todo el tema de qué tan seguro es el dispositivo tiene que ver con qué política está en su lugar. No podemos decir que un dispositivo es seguro y que otro no lo es. Se trata de quién puede usarlo y qué puede hacer con él”.

Por lo tanto, ¿Qué implica una política de seguridad móvil completa? Silva señala que incluye una clara definición de los perfiles de riesgo del usuario, los dispositivos que pueden ser soportados y dónde trazar la línea de lo que está permitido, entre otras consideraciones. Él compartió estas preguntas sugeridas que las organizaciones deberían considerar al momento de elaborar su propia política de seguridad del dispositivo móvil.

¿De qué manera se puede acceder a la información?

¿La información será almacenada en el dispositivo o estará en otro lugar y será asequible de forma remota? Esa es una pregunta importante para una organización determinada, dependiendo que tanto esté sujeta su compañía a los mandatos de cumplimiento y presentación de informes, señala Silva.

“He visto a muchas organizaciones que vienen a nosotros en el espacio legal y dicen: “Queremos que todo el escritorio esté disponible en la iPad de esta persona, pero no queremos que alguno de los datos vivan en el dispositivo, porque entonces está sujeto al cumplimiento y presentación de informes. Ese tipo de organizaciones tienen que permitir que los dispositivos móviles sean estrictamente una plataforma de observación, pero no una plataforma de manejo de la información. Si su perfil de riesgo es tal que cualquier dispositivo que recibe información en él está sujeta al cumplimiento, es probable que desee limitarlo. Teniendo en cuenta que su pasivo externo es fundamental”.

¿Cuál es el perfil de riesgo de la persona que utiliza los dispositivos

Considere la posibilidad de una personalidad basada en la política de despliegue, señala Silva. Esto significa permitir que los diferentes tipos de empleados accedan a los diversos niveles de información de su dispositivo.

“Cuando uno tiene cuatro personajes diferentes en su organización, uno puede ser de alto riesgo y no querrá que usen sus dispositivos para nada más que llamadas telefónicas y SMS”, explicó. “Debería haber una política que identifique claramente quiénes son estos individuos, cuáles son sus atributos y los controles de seguridad que responden a esos atributos”.

Silva señala que una definición clara de cada perfil de riesgo, hace que a un equipo de seguridad le sea más fácil abordar a los empleados y hacerles saber lo que pueden y no pueden hacer con su dispositivo.

¿Cómo podemos ser proactivos?

“Esperar hasta que haya 50 personas en su puerta pidiendo usar su iPad va a asegurar que su política se corrió a la última línea y probablemente no sea tan buena como podría ser”, agrega Silva. “Es crucial mirar más allá de las tendencias”.

Silva hizo referencia a la navidad de hace dos años cuando un dispositivo Android muy publicitado se acercaba a su lanzamiento al mercado.

“(Los directores de seguridad) sabían que cuando todo el mundo volviera al trabajo después de Navidad, iban a tener muchas peticiones para usar Android. Las organizaciones inteligentes tienen sus cosas organizadas y listas para cuando la gente se presente con ese nuevo y brillante dispositivo que obtuvieron en navidad. Están listos para bloquearlos y con la plataforma de administración del dispositivo”.

¿Cuándo debemos decir que no?

A veces, una política de seguridad móvil tiene que incluir decirle no a ciertas peticiones. Esto será de vital importancia en las organizaciones de cumplimiento pesado, señala Silva.

“Por ejemplo, no se puede tener un operador ejecutando operaciones en su dispositivo personal, por muchas razones. Bloquear a esas personas es importante”.
Silva también señala que más compañías están buscando a la virtualización como una manera de permitir el acceso a la información y aplicaciones, y al mismo tiempo mantener la información fuera del dispositivo.

“Si está en un lugar donde tiene que bloquear a los usuarios, ya que no quiere que ninguna información viva en sus dispositivos, la virtualización ofrece muchas promesas”, agrega. “La capacidad de tener una caja de arena donde existe todo lo que tiene en su escritorio, donde las aplicaciones funcionan, pero pueden alejarse sin dejar ninguna información en el dispositivo, va a abrir las posibilidades de estas industrias de cumplimiento pesado.”

Joan Goodchild, CSO (US)

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.