Actualidad

Controlando la anarquía móvil

Los dispositivos móviles se multiplican en las empresas aumentando la productividad de los trabajadores, pero también planteando enormes y complejos retos de seguridad a los CIOs. Éstos necesitan un plan para mantener bajo control los nuevos aparatos. Un plan en el que la formación y la concienciación de los usuarios sobre la importancia de la seguridad de las TI para la empresa y para su propio puesto de trabajo resultará crucial: al final, la eficiencia de cualquier política de seguridad en los dispositivos dependerá de las personas que los utilizan.

Los trabajadores móviles de hoy en día requieren laptops inalámbricos, handhelds, dispositivos celulares, teléfonos inteligentes. Las ventas de PCs wireless, PDAs y teléfonos móviles aumentaron un 66% en 2004, según la firma de investigación de mercado In-Stat/MDR, y el 90% de los PCs laptops se venden ya con tarjetas WLAN. También tienden a multiplicarse dentro de las empresas los teléfonos con cámara, los tablet PCs, las conexiones Wi-Fi de banda ancha para teletrabajadores, los scanners handheld y dispositivos RFID, y un nuevo tipo de teléfonos híbridos Wi-Fi y celulares.

No existe control posible en la demanda de dispositivos móviles dentro de las organizaciones. Todo el mundo quiere un laptop o handheld WiFi que le permita enviar e-mail a sus colegas mientras se encuentra en la sala del aeropuerto, por ejemplo, o acceder a aplicaciones críticas de ventas de la red corporativa cuando visita a un cliente. Además, el dispositivo deseado cada vez es más complejo. Lo último son los teléfonos inteligentes, dispositivos convergentes que combinan funciones de teléfono celular y handheld. En el peor de los casos, estos dispositivos se ambicionan solo como símbolos de status. En el mejor, como medio de incrementar la agilidad en el trabajo y mejorar la productividad. Dado que todos estos aparatos además han llegado a ser relativamente baratos, ¿cómo puede usted negarse a introducirlos?

Sin embargo, usted necesita mantener bajo control su entorno TIC, y estos dispositivos móviles e inalámbricos, con todo su potencial y encanto, introducen inevitablemente un componente de anarquía. Llevan los datos fuera de las paredes de la empresa, y la fosa que había cavado alrededor de su castillo digital –los firewalls y virus para entornos cableados, tan eficientes para proteger los desktops- dejan de ser efectivos con ellos.

“Desde el momento en que los dispositivos salen de la oficina, es inevitable que pierdas control”, subraya John Killeen, director de sistemas de red globales de la empresa de transporte y logística UPS, que soporta casi 200.000 dispositivos inalámbricos a nivel mundial. “Necesitas políticas y estándares de seguridad, así como mecanismos para hacer que se cumplan”.

La realidad, según Richard LeVinet, responsable global de seguridad móvil de Accenture, es que los CIOs solo pueden “intentar alinear sus políticas con los usuarios o imponerse. Y si se imponen, los usuarios encontrarán maneras de utilizar los terminales, incluso adquiridos por su cuenta, y lo harán de manera aún más incontrolable –por desconocida- por los gestores TIC”.

Usted necesita un plan
En resumen, lo que los CIO necesitan desesperadamente es una estrategia para gestionar los dispositivos móviles e inalámbricos y normalizar su uso dentro de la organización. El desarrollo de una buena estrategia en este área exige: identificar si realmente existe una necesidad de negocio que justifique un determinado dispositivo; segmentar los empleados por funciones dentro de la organización, según el tipo de trabajo realizado; elaborar una lista con los dispositivos que el departamento de TI soportará y no soportará; y, finalmente, idear un plan de formación y entrenamiento para usuarios y plantilla de help desk, así como reforzar mediante diversas medidas los mecanismos que asegurarán la aplicación de las políticas de seguridad a nivel de dispositivo.

Si intenta seguir adelante sin un plan de este tipo, acabará envuelto en un auténtico caos de seguridad y privacidad. Cada día se multiplican los ejemplos que lo corroboran. Los incidentes de laptops perdidos y robados –en abril de 2005, en Estados Unidos fue conocido el caso del laptop de un analista financiero de MCI que contenía los nombres y números de la Seguridad Social de 16.500 empleados de la compañía- subraya la importancia de securizar estos dispositivos con algo más que una contraseña.

Por el contrario, si los CIOs pueden mantener una política clara y visible, hacerla respetar y que los usuarios se impliquen en el proceso desde el principio hasta el fin, entonces, la seguridad de los dispositivos vendrá por sí misma. Y es que, según Roger Entner, vicepresidente de Ovum, “al menos entre un 70 y un 80 por ciento de la adhesión a las políticas de seguridad corporativa dependerá de la aplicación de esas políticas por parte de cada empleado. Por tanto, nada debe imponerse por mero decreto, sin ir acompañado de un plan de formación y concienciación que no escatime esfuerzos”.

A continuación encontrará algunas lecciones que pueden extraerse de las experiencias de los CIOs de empresas de cuatro industrias diferentes en sus intentos de gestionar el ciclo de vida completo de los dispositivos inalámbricos y móviles. A través de la planificación, la gestión de riesgos y la formación, han conseguido mantener –o al menos, conocer- el control sobre el uso de este tipo de terminales en la organización, facilitando al mismo tiempo a los empleados la suficiente flexibilidad para realizar de manera más eficiente su trabajo. “Nuestro reto es soportar múltiples dispositivos con múltiples sistemas operativos y capacidades de forma que nuestros usuarios disfruten de la suficiente flexibilidad para no verse limitados por el terminal”, asegura Steve Novak, CIO de la firma de abogados Kirkland & Ellis. Un objetivo al que, sin duda, se suscribiría cualquier CIO.

Compare costes y beneficios
Antes de empezar a evaluar un dispositivo móvil e inalámbrico, debe preguntarse antes si existe una necesidad real de negocio que justifique su introducción. “Es necesario analizar el beneficio de lo que la persona concreta que lo utilizará obtendrá con la nueva herramienta y compararlo con el coste añadido que supondrá acomodar la herramienta dentro de la organización”, indica Brian Bonner, CIO de Texas Instruments. Bonner aplica un enfoque bastante duro en su estrategia de adhesión a los estándares de dispositivos móviles. Los usuarios de Texas Instruments saben que si un nuevo aparato no está directamente relacionado con la introducción de mejoras en la base de clientes o productos de la compañía, Bonner no lo aceptará. “Tiene que introducir de manera evidente una ventaja relacionada con un mejor servicio al cliente o con el aumento de la rapidez en la puesta de un producto en el mercado”, subraya Bonner. Pero, además, si el coste del dispositivo o el riesgo que genera no es igualado o superado por los beneficios, Bonner, como cualquier CIO, deberá negarse a introducirlo.

“En realidad esta regla no es diferente a la que es conveniente aplicar en el caso de PCs de sobremesa o laptops”, indica Eric Maiwald, analista senior de Burton Group que publicó un el pasado marzo un informe dedicado a la seguridad en dispositivos handheld. “Los CIOs deben utilizar los mismos análisis y requerimientos con los handhelds”. En el informe de Burton Group, Maiwald advierte que los dispositivos handhelds resultan caros para las empresas, tanto en términos de coste directo de adquisición, como de costes añadidos asociados a la necesidad de introducir mecanismos específicos de protección para securizarlos, como capacidades de encriptación y autenticación. “Ciertamente, el uso de handhelds
Whitepaper emc-cio-it-as-a-service-wp Whitepapers