Mientras los dispositivos móviles se integran cada vez más con los diferentes sistemas corporativos, las organizaciones se ven forzadas a dar un paso hacia la reingeniería de sus políticas de seguridad para incluir nuevos escenarios de compromisos y estrategias de contingencia.
No obstante, muchas empresas –especialmente aquellas de pequeña y mediana envergadura– pueden no conocer por dónde comenzar con esta migración. Cuando el meollo del día a día se centra en mantener a flote las unidades de negocio que permiten la rentabilidad, la seguridad puede verse desplazada a segundo plano.
Para aquellas que quieran comenzar a plantear una buena política de seguridad móvil que sea multiplataforma, reunimos algunos consejos que suelen ser pasados por alto.
#1 No elimines BYOD de tu política de seguridad
Cuando las organizaciones entienden la magnitud del desafío oculto en la gestión de los dispositivos portátiles de sus empleados, la solución más tentadora resulta ser negar la existencia de estos canales de comunicación y continuar con las políticas tradicionales.
En esencia, lo anterior es arriesgado por dos razones fundamentales: en primer lugar, esta filosofía desestima la capacidad de los dispositivos móviles modernos para actuar como simples computadores de escritorio; es decir que la falta de soporte para tecnologías móviles por parte de la infraestructura del sistema no necesariamente indica que estas no puedan accederla.
En segundo lugar, esta idea menosprecia la importancia de los dispositivos móviles para sus usuarios y los caminos que estos pueden tomar para transferir información sensible con ellos, incluso a través de metodologías no aprobadas por el departamento de IT. Es mejor brindar procedimientos seguros a dejar que los inventen según les apetezca.
Más información en la infografía sobre BYOD.
#2 Identifica dónde se guardan los datos
Las aplicaciones web accedidas a través de navegadores suelen brindar la sensación de que nada es almacenado localmente. No obstante, esto no es correcto: los sistemas operativos móviles guardan en su memoria caché gran cantidad de datos necesarios para el funcionamiento de las aplicaciones.
Para establecer qué acciones son determinantes para la protección de los datos, primero es requerido saber cuáles se guardan y dónde. Si el sistema empresarial necesita guardar datos en el equipo móvil, deben dictaminarse políticas pertinentes para su cifrado y posterior eliminación cuando ya no sean demandados.
El enlace que comunica las aplicaciones en el equipo y los servicios en la nube también debe ser protegido. Si otros sistemas actuarán como almacén de datos entre los extremos de la comunicación, es muy importante que se evalúen políticas de seguridad desplegadas sobre cada nodo.
#3 No todos los dispositivos móviles son iguales
A medida que los equipos encuentran nuevas maneras de ser usados, la política de seguridad debe evolucionar
Aunque parezca una reafirmación de lo obvio, muchas políticas de seguridad no tienen en cuenta que no todo dispositivo móvil se asemeja en uso a un teléfono inteligente. Por ejemplo, las tabletas inteligentes suelen compartirse entre diferentes personas y utilizarse de manera similar a un ordenador portátil, mientras que los smartphones resultan equipos mucho más personales y, por tanto, privados.
Técnicamente, sus sistemas operativos ofrecen diferentes características de seguridad, lo que conlleva que sea necesario utilizar diferentes aplicaciones de MDM para cada tipo de dispositivo. A medida que los equipos encuentran nuevas maneras de ser utilizados, la política de seguridad debe evolucionar conjuntamente.
#4 No intentes extender paradigmas tradicionales de defensa
La característica más sorprendente cuando se trata de tecnologías móviles es la extensión de su impacto: resulta muy complicado trazar los límites del mundo corporativo. En este contexto, las tecnologías tradicionales que basan su eficacia en el fortalecimiento de un perímetro bien delineado pueden no ser la mejor opción en entornos móviles o quizás requieran de un rediseño estructural para mantenerse vigentes.
La protección del dato en sí por sobre la protección del dispositivo resulta más natural en ambientes con restricciones
Los esquemas tradicionales de protección se cimientan en la noción de asegurar el dispositivo. Pero esta idea puede no ser del todo factible cuando este es también utilizado para fines personales o el usuario tiende a obviar procedimientos básicos de seguridad.
En cambio, adoptar un esquema de protección del dato en sí por sobre la protección del dispositivo resulta más natural para ambientes con estas restricciones.
#5 Las soluciones MDM no son una bala de plata
Las soluciones MDM (del inglés Mobile Device Management) otorgan visibilidad sobre los dispositivos pero no fueron diseñadas como soluciones integrales de seguridad. Aún más, basan la protección en el monitoreo del equipo en sí, aproximación que ciertamente no resulta suficiente por sí sola.
Estas soluciones no se enfocan en garantizar la seguridad inherente a los datos, mucho menos en esquemas donde intervienen servicios en la nube. Aunque pueden ser muy buenas en su propósito –la administración de equipos–, deben ser comprendidas en una estrategia integral que abarque también aplicaciones, servidores, enlaces de red, entre otros elementos.
#6 Existen muchas amenazas además del malware
Cuando las empresas se vuelcan a determinar las amenazas que pueden poner en riesgo la seguridad de la información, inmediatamente tienden a enfocarse en la noción de “virus informático”, olvidando un sinfín de vectores de compromiso que no están necesariamente ligados a códigos maliciosos.
Aunque la tasa de crecimiento del malware móvil no da señales de decrecer en un futuro próximo y es un riego que debe ser tomado en cuenta, una política de seguridad fracasará si se sustenta únicamente en prevenir estas infecciones.
Existen otros peligros además de códigos maliciosos. Así, los datos de la compañía pueden verse involucrados también en incidentes de fuga de información por escuchas no autorizadas mediante la explotación de vulnerabilidades en el dispositivo, o bien pueden verse perdidos a través del daño o extravío del equipo en el que se encuentran.
En este sentido deben desplegarse algunas medidas de prevención: robustos sistemas de autenticación que impidan a atacantes robar la identidad de usuarios legítimos, mecanismos de cifrado que protejan la confidencialidad de los datos almacenados o en vías de transmisión y políticas de respaldo que aseguren réplicas de la información almacenada en los equipos para recuperar los datos aunque el teléfono extraviado haya sido devuelto al estado de fábrica.
¿Demasiado para asimilar?
Por desgracia, el establecimiento de barreras de protección puede resultar una ardua tarea para quienes aún batallan con mantener a flote las operaciones transaccionales del negocio. Aún más, cualquier fallo en el diseño de seguridad puede dejar los datos expuestos… y los atacantes solo deben acertar una vez.
En ocasiones las organizaciones no se encuentran lo suficientemente maduras para hacer frente a la epopeya de gestionar su seguridad. En tales casos, la tercerización de esta actividad puede acabar siendo la mejor opción del repertorio. Si existen dudas, nunca está de más pedir la ayuda de un auditor o delegar la tarea a expertos en la materia.