A través del presente artículo, se abordarán tres aspectos importantes referentes a la seguridad en el uso de dispositivos móviles dentro de las redes corporativas, los cuales tienen que ver con el establecimiento de políticas empresariales, mecanismos de seguridad a instrumentar y recomendaciones para su uso. Como mencionan Murgante, Gervasi, Iglesias, Taniar y Apduhan (2011), muchas empresas están adoptando el uso de smartphones para la implementación de un ambiente de trabajo inteligente u oficina inteligente. A través de su artículo, muestran que la implementación de VPN entre la empresa y el cliente móvil representa una tecnología de seguridad eficaz para la protección de la red entre los sistemas de información corporativos y los smartphones.
Por otra parte, informes presentados por compañías como CISCO, Juniper y Symantec sobre el uso y seguridad de dispositivos móviles, también coinciden en el crecimiento en este ámbito desde el año 2011, la tendencia responde a la necesidad de acceder a la información de la compañía estando fuera de ella.
Como señala Carey Nachenberg, Vicepresidente de Symantec Corporation, en muchas ocasiones los usuarios sincronizan sus dispositivos a servicios públicos de nube, quedando fuera del control de los administradores de la red; por lo que es importante que las compañías definan políticas de seguridad y estrategias de control para el uso de dichos dispositivos en la red corporativa.
Estrategias y políticas empresariales
Hoy en día, el uso de teléfonos inteligentes y tabletas tanto a nivel personal como empresarial se ha convertido en una práctica creciente debido a las múltiples funcionalidades que proporcionan estos equipos así como a las aplicaciones que pueden ser instaladas en los mismos. Me refiero a su utilización en el entorno de las compañías, las cuales han adoptado como una práctica laboral su incorporación a fin de que el personal pueda acceder a los sistemas de información, bases de datos, correo electrónico, telefonía y otros recursos corporativos tanto desde el interior como desde el exterior de la empresa. Lo que se busca es obtener una mayor productividad.
Es importante que antes de implementar y proporcionar una mayor movilidad a través de dichos dispositivos, se diseñen e instrumenten políticas y estrategias de uso que salvaguarden la integridad de la información de la compañía así como la seguridad de todos los recursos tecnológicos con los que cuenta.
De acuerdo a Saro y Fernández (2013), la estrategia y las políticas de seguridad para el uso de dispositivos móviles deben ser definidas por una comisión integrada por personal de las áreas de TIC, recursos humanos, jurídica y directivos, con el objetivo de planear, diseñar, implementar y dar a conocer las mismas al personal de la compañía. Se deben tomar en cuenta todos los aspectos que puedan representar un riesgo de seguridad para la información corporativa y por otra parte, deben estar dentro del marco del SGSI[1] de la organización.
Al definir una estrategia y políticas de seguridad para los equipos móviles alineadas al sistema de gestión de la seguridad de la información, la empresa contará con procedimientos acordes a los objetivos institucionales, además definirá e implementará controles de seguridad basados en un análisis de riesgos. En el blog Negocios Bajo Control, específicamente en el artículo titulado Gestión de la Seguridad de la Información Corporativa en Dispositivos Móviles[2] (2013), el autor presenta una tabla en donde se sugieren posibles factores de riesgos y estrategias de control a instrumentar para cada uno de ellos a fin de que la seguridad de la información corporativa no se vea amenazada por el uso de dispositivos móviles.
Establecer políticas y estrategias de seguridad adecuadas no es una tarea fácil, pero sí necesaria e indispensable para las compañías que adoptan el uso de estas tecnologías pues se debe considerar que cada dispositivo móvil es un activo más que representa un riesgo de seguridad en las redes corporativas.
Mecanismos de seguridad para el uso de dispositivos móviles
Empresas tecnológicas como Symantec, Cisco, Juniper, Enterasys y Citrix, por mencionar algunas, son conscientes de la inminente preocupación por parte de las compañías y del personal de los departamentos de TI por proteger la integridad de los datos corporativos. Al considerar los riesgos que representa el uso de dispositivos móviles, ofrecen actualmente soluciones para implementar diversos mecanismos de seguridad.
Profundizando en estas estrategias, las empresas pueden adoptar varias de ellas a fin de proteger sus recursos. Entre los principales mecanismos se encuentran:
- MDM (Mobile Device Management). Mecanismo orientado a la gestión y al control centralizado de los dispositivos móviles corporativos o personales. Permite contar con toda la información referente al aparato, monitorizarlo, configurar políticas, aplicaciones y tener un historial de cada equipo, entre otras funcionalidades.
- MDP (Mobile Device Protection). Mecanismo utilizado para la protección del propio dispositivo móvil a través de la instalación de un cliente VPN/SSL[3], un antivirus, del uso de cifrado y de métodos de autenticación robustos.
- NAC (Network Access Control). Mecanismo para controlar el acceso a la red corporativa de cada dispositivo móvil. Permite, entre otras cosas, determinar si el equipo es personal o de la compañía, aplicar políticas de seguridad para operaciones sensibles realizadas a través del dispositivo y reparar dispositivos por medio de la instalación y actualización de aplicaciones por medio de VLAN[4] y considerando el perfil de autenticación del mismo.
- MAM (Mobile Application Management). Gestiona las aplicaciones a partir de listas negras y blancas, provee entornos virtuales, aplica políticas P2P[5], entre otras funcionalidades.
- MDS (Mobile Data Security). Mecanismo encargado de la seguridad de los datos, la protección de los puertos Wi-Fi, Bluetooth y mini USB del dispositivo, así como la instalación de un cliente DLP[6] (para controlar y evitar la pérdida de datos) y el uso de IRM[7] (para administrar los derechos sobre la información).
Un punto importante para la instrumentación de estos mecanismos de seguridad es que se pueden implementar utilizando los servicios de nube pública que ofrecen los distintos fabricantes de soluciones, o bien, utilizar una nube privada. Dicha decisión dependerá de las necesidades específicas y recursos de cada compañía.
Recomendaciones
La concienciación del personal es un aspecto importante de seguridad para que la red corporativa no sea vulnerable por el uso de dispositivos móviles, personales o corporativos, contribuye a la adopción de las políticas y estrategias de seguridad establecidas para el acceso a los datos y recursos de la compañía.
En el caso de que el personal vaya a utilizar sus dispositivos propios, se le debe concienciar en aspectos tales como el uso de contraseñas complejas de bloqueo/desbloqueo de sus equipos, utilizar firewalls, realizar respaldos, uso de antivirus para el análisis de datos y aplicaciones, configurar opciones de bloqueo y/o borrado de datos del dispositivo en caso de pérdida o robo, entre muchas otras buenas prácticas que en la actualidad existen para un uso seguro de los dispositivos en las redes empresariales.
Como recomendación final, Symantec a través de su portal plantea cinco pilares o áreas clave que deben considerarse en el establecimiento de una estrategia móvil al interior de las compañías, las he representado en la siguiente imagen:
Imagen 1. Pilares clave para establecer una estrategia móvil.
Como podemos ver, gestionar la seguridad de los dispositivos móviles para su uso en las redes corporativas implica una serie de consideraciones por parte de las compañías y un reto más para los departamentos de TIC, lo importante es tener conciencia de ello y comenzar a instrumentar medidas para disminuir los riesgos asociados.
Si quires saber más consulta:
Referencias
[1] SGSI (Sistema de Gestión de la Seguridad de la Información), concepto central sobre el que se construye ISO 27001. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.
[3] VPN (Virtual Private Network): red privada construida dentro una red pública, utilizada para conectar de forma segura oficinas y usuarios remotos por medio de un acceso a Internet. A través de esta red se protegen los datos usando tecnologías de autenticación IPsec (Seguridad IP cifrada) o SSL (Secure Sockets Layer).
[4] VLAN: red de área local virtual, que agrupa un conjunto de equipos de forma lógica y no física, a partir de ciertos criterios.
[5] P2P (peer to peer): tecnología que hace referencia a un tipo de arquitectura de comunicación entre aplicaciones que permite a los usuarios comunicar y compartir información con otros usuarios.
[6] DLP (Data Loos Prevention): aplicación basada en contenido que detecta, supervisa y protege los datos confidenciales en donde se almacenan o se utilizan.
[7] IRM (Information Right Manager): tecnología que permite tener un control y auditoría sobre archivos, correo, a fin de otorgar permisos de lectura, modificación, acceso, eliminación, apertura e impresión de los mismos.
