Gestionar la seguridad en los dispositivos móviles se ha convertido en una preocupación creciente en las empresas, por el incremento en su uso por parte de los empleados y la cantidad de amenazas que se desarrollan. Hace un año, el NIST publicó una serie de recomendaciones que pueden ser útiles para la gestión de la seguridad móvil a nivel corporativo.
La SP 800-124 Rev. 1 contiene los principales aspectos que dentro de la organización se deberían tener en cuenta al momento de garantizar la confidencialidad, integridad y disponibilidad de la información en los dispositivos móviles, como teléfonos inteligentes y tabletas. Las recomendaciones están alrededor de una gestión centralizada de la seguridad, teniendo en cuenta los ciclos de vida de la tecnología e incluyendo la adopción del BYOD. A continuación las analizaremos punto por punto.
La clave está en la gestión centralizada
En esta guía se hace referencia a los procedimientos y la tecnología necesaria para que de forma centralizada se pueda proporcionar un acceso seguro a los recursos informáticos de la empresa. El concepto de centralizar la gestión trasciende a la tecnología que se implemente, y es un concepto que está asociado a la posibilidad de conocer todo lo que pasa con la información en los dispositivos móviles.
En otras palabras, más allá de la tecnología utilizada lo importante es que el administrador de la seguridad pueda tener el control de forma centralizada respecto a cómo se accede y utiliza la información de la empresa.
Las políticas claras son el punto de partida
No es una novedad la necesidad de contar con políticas claras, y esta guía no es la excepción. Es importante destacar la importancia de tener una política de seguridad, la cual debe definir principalmente el tipo de dispositivos móviles permitidos para acceder a los recursos de la organización y la información se puede consultar a través estos.
La política de seguridad alrededor de la gestión de dispositivos móviles debe complementar la política de seguridad para los sistemas no móviles integrándose de esta forma al sistema de gestión de la seguridad en la empresa.
La importancia de conocer la realidad de la empresa
Contar con un modelo de amenazas para los dispositivos móviles y los recursos a los cuales se accede a través de estos es fundamental ya que por las características de este tipo de dispositivos a menudo es necesario contar con medidas de protección adicional, dado que por su uso están expuestos a amenazas más diversas que los dispositivos de escritorio.
Conociendo las amenazas la empresa puede identificar los requisitos de seguridad y de esta forma implementar los controles necesarios para cumplir con los requisitos de seguridad. Igual que un análisis de riesgos se deben conocer las amenazas factibles y las vulnerabilidades asociadas para determinar los controles de seguridad óptimos.
El ciclo de vida de los dispositivos en la empresa
Uno de los aportes más interesantes de esta guía es el modelo de ciclo de vida que plantea para administrar los dispositivos móviles en las empresas. Plantea un modelo de cinco etapas para ayudar a las empresas a identificar el punto en que se encuentra las soluciones que utiliza y las recomendaciones que resultan relevantes de acuerdo a cada etapa.
Si bien para una empresa particular no apliquen todas las recomendaciones, siempre dan una visión general de todos los puntos que debemos considerar en nuestro caso particular. Por lo tanto conocer este tipo de guías y recomendaciones son una buena alternativa y no debería dejarse de lado su análisis.