Ya es conocido que los teléfonos celulares inteligentes (smartphones) incorporan cada vez más funcionalidades que le permiten al usuario poder contar con un amplio abanico de herramientas. Pero también existe el riesgo de que diferentes empleados de una compañía lleven estos dispositivos a las instalaciones y utilicen los recursos de la mencionada organización sin ningún tipo de control, pudiendo generar problemas a la empresa.
El concepto BYOD (bring your own device) se refiere, justamente, a que los empleados lleven sus teléfonos celulares a su lugar de trabajo, y utilicen libremente los recursos de la compañía, incluso recursos privilegiados, como por ejemplo email, servidores de archivos, acceso a base de datos, entre otros.
Un estudio realizado por PricewaterhouseCoopers (PwC) en colaboración con Infosecurity Europe determinó que las organizaciones no están haciendo lo suficiente para asegurar sus entornos móviles. Específicamente PwC destacó que el 75% de las grandes organizaciones y el 61% de las PyMEs permiten que sus empleados utilicen Smartphones y tabletas para conectarse a las redes corporativas. Si bien el problema no radica completamente en permitir el uso de las redes corporativas, el foco está en que en muchos casos las compañías no cuentan con ninguna estrategia de seguridad, así como tampoco con ningún tipo de política, cifrado de datos, gestión de dispositivos, entre otros. La mencionada fuente especificó, en referencia a esta situación, que el 34% de las pequeñas compañías y el 13% de las grandes organizaciones no toman ningún tipo de precaución en lo que respecta al uso de dispositivos móviles por parte de sus empleados.
En referencia a estos datos, las compañías deben tomar conciencia y empezar a implementar un plan de gestión en lo que respecta a entornos móviles. Si bien cada compañía puede tener diferentes posiciones frente al uso de dispositivos, tal como prohibir su uso completamente, o permitir el acceso a todos los recursos desde estos dispositivos, es muy importante que se defina una política que especifique claramente cómo gestionar este tipo de recursos.
Algunos consejos que puede servir como punto de apoyo en la implementación de la política son:
- Restringir el acceso a sectores de la compañía que contengan información muy sensible. No todos los recursos deben ser accesibles mediante dispositivos móviles.
- Separar la red WiFi que utilizan los dispositivos móviles de la red corporativa para evitar de esta manera, por ejemplo, que exista un acceso indebido a la red de la empresa.
- Cifrar la conexión que utilizan los dispositivos móviles.
- En caso de permitir que los empleados puedan acceder a todos los recursos de la empresa mediante sus dispositivos móviles, es factible exigirles que bloqueen dicho dispositivo utilizando contraseña. De esta manera se evita la exposición de información sensible de la compañía en caso de extravío o robo.
- Elaborar una política de red que comprenda la existencia de dispositivos móviles.
Está claro que las compañías deben gestionar la utilización de dispositivos móviles porque de lo contrario se encuentran vulnerables a sufrir fuga de información, entre otro tipo de incidentes. Esto lo confirma PwC, que afirmó que un 82% de las empresas aseguraron haber tenido brechas de seguridad por parte de los empleados, de las cuales un 47% asegura haber sufrido pérdida o filtrado de información confidencial.
Para concluir, es recomendable que cuenten con una solución antivirus para móviles, tal como ESET Mobile Security, el cual además de brindar protección al dispositivo de las diferentes amenazas, permite el borrado de datos de forma remota, que puede ser de gran utilidad en caso de extravío o robo.
Fernando Catoira
Analista de Seguridad