Cinco aspectos a considerar para una política de seguridad móvil (I)

La semana pasada aparecieron las noticias de que Samsung estaba intentando entrar en el espacio federal en Estados Unidos, y que estaba a punto de firmar un acuerdo con el FBI y la Marina. Esto destaca el hecho de la transición de BlackBerry a Android y Apple, pero también que el BYOD no es una palabra de moda, es una realidad en las operaciones de TI.

No obstante, al tiempo que la red se expande de las paredes de la oficina a los hoteles, conferencias e incluso el hogar, el departamento de TI gana trabajo adicional, pues está encargado de proteger los nuevos activos y las líneas de información.

Según un estudio de Forrester, el 29 por ciento de los trabajadores a nivel global son trabajadores de la información. Los trabajadores de la información utilizan tres o más dispositivos, trabajan desde lugares múltiples y utilizan diferentes aplicaciones para hacer su trabajo, una descripción familiar para cualquiera que haya gestionado un departamento de TI.

De hecho Forrester destaca que antes de fin de año, BYOD impactará a más de 600 millones de empleados a nivel global, todos ellos dentro de la categoría de trabajadores de la información. Este crecimiento verá cómo las empresas tienen que cambiar las políticas existentes o crear otras nuevas para incluir los dispositivos móviles.

Aaron Rhodes, Consultor Senior de Seguridad en Neohapsis, una compañía de seguridad y gestión de riesgos especializada en movilidad y cloud, ofrece cinco pasos que todas las organizaciones deben seguir al desarrollar políticas de seguridad corporativa que se focalicen o incluyan la movilidad.

Defina una estrategia

“Comience una iniciativa de movilidad con un plan completo. La estrategia debe tener una visión holística de la seguridad, con un marco global de seguridad. Haga un inventario de los tipos de datos que los empleados móviles pueden acceder en teléfonos y tabletas, y trate la seguridad de los teléfonos y dispositivos móviles igual que haría con los sistemas internos en la red”, afirma Rhodes.

“Cuando hablamos de marco global de seguridad, la idea es asegurar que los dispositivos que almacenan datos sensibles tienen un hueco dentro de las estrategias y políticas de seguridad de la empresa” afirma Rhodes cuando se le pide que explique lo que quiere decir en el párrafo anterior.

“Simplemente, una sección de las políticas debería estar dedicada a los dispositivos móviles. Considere la TI móvil de la empresa dentro del contexto del resto de activos de TI”.

Temas a contestar dentro de estas consideraciones, son qué tipos de acceso a la red tienen los diferentes dispositivos móviles, qué tipos de datos se almacenan en los mismos, quién los usa, cómo están gestionados en la actualidad y si eso es suficiente o hay que cambiarlo.

Cuando hablamos de tratar los teléfonos móviles como si fueran sistemas internos, Rhodes dijo que un ejemplo es cuan parecidos son los dispositivos móviles a los sistemas instalados en la red. Es un hecho simple que los dispositivos móviles pueden mantener conexiones a los servicios y activos corporativos internos, y esos canales y los dispositivos que los utilizan tienen que ser debidamente gestionados y protegidos.

“Un teléfono inteligente puede contener un cliente VPN móvil que permite al usuario acceder a recursos internos en la red corporativa de la misma forma que lo haría desde un ordenador de sobremesa en la LAN de la compañía”, afirmó.

Rhodes enfatizó el tema del riesgo, haciendo notar que es importante identificar los tipos de exposición que podrían causar daño a la compañía. En los dispositivos móviles el evento más común de riesgo es la pérdida del dispositivo, debido a un error o robo.

“Las soluciones con las que he trabajado tienen opciones en la política de seguridad que pueden ayudar a mitigar el riesgo de filtraciones de datos cuando se pierden los dispositivos. Políticas como el requerimiento de encriptación del email en el dispositivo, entrada de número PIN, e incluso la capacidad de borrado remoto, son elementos que pueden ayudar cuando se pierde un dispositivo”, afirmó.

“Tanto como priorizar la exposición de dispositivos móviles comparado con el resto de la infraestructura, es importante continuar mejorando la seguridad global de la red, y considerar los dispositivos móviles como otra pieza de la misma”.

Planifique bien

“Especifique los tiempos, con objetivos e hitos bien definidos. Deje tiempo también para la investigación.  Si va a implantar nuevos productos, tales como sistemas de gestión de aplicaciones y dispositivos móviles, considere cuál es la forma más fácil de integrarlos con su arquitectura de TI actual”, destacó Thodes.

“Una cosa que hay que mirar cuando se considera la estrategia de gestión móvil, es determinar si ya se tienen herramientas que pueden servir para la gestión de dispositivos móviles. Involucre a la dirección técnica del departamento de TI, y determine que capacidades se pueden tener ya”, explicó.

“Por ejemplo, Microsoft Exchange tiene capacidades de interactuar con dispositivos móviles y aplicar una política de seguridad a los mismos para mejorar la seguridad del correo móvil.  Cuando quiera comprar sistemas de gestión de aplicaciones y dispositivos móviles, vea que hay una plétora de ofertas disponibles.  Quizá un suministrador que ya utilice tenga una oferta apropiada que pueda además facilitar la integración. Examine las prestaciones, y asegure que soporta los dispositivos móviles que utiliza su organización”.