Llegamos a ustedes gracias a:



Reportajes y análisis

BYOD y almacenamiento en la nube: Riesgos en la seguridad

[25/06/2012] Dropbox generó titulares esta semana cuando Gawker.com fue el primero en informar que un hacker no identificado entró en la cuenta de Hotmail de Mitt Romney, con la misma contraseña utilizada para una cuenta de Dropbox que también está asociada con el candidato presidencial del Partido Republicano.
Eso siguió los pasos de una decisión tomada por IBM el mes pasado para el despliegue de una política de BYOD (traiga su propio dispositivo) que prohíbe el uso de Dropbox.
La CIO de IBM, Jeanette Horan, inició esta política porque le preocupa que el servicio de nube SaaS pudiera dar lugar a la exposición de información confidencial de la empresa, según Technology Review de MIT. (Una encuesta realizada por IBM a sus empleados encontró que estaban violando normas de la empresa al enviar correo electrónico interno de forma automática a los servicios públicos de correo web y al usar el Wi-Fi de sus teléfonos inteligentes como hotspots abiertos, abriendo los datos corporativos a la esfera pública).
Ya sea el correo electrónico de Romney y la cuenta de Dropbox o los 400 mil empleados de IBM, los riesgos asociados con BYOD y los servicios de almacenamiento en la nube ponen al descubierto un problema al que se enfrentan en la actualidad los departamentos de TI: la pérdida potencial de datos de la empresa hacia una nube pública insegura. Y no es solo Droxbox. Hay un número creciente de servicios de nube en línea a través de los cuales se pueden filtrar los datos, como Box.net, Carbonite, Google Drive, Mozy, SugarSync, YouSendIt e iCloud de Apple.
"IBM tiene un programa mundial de BYOD y solo han bloqueado a Evernote y Dropbox, ya que se descubrieron sus planes futuros y que todo tipo de datos sensibles estaban siendo irradiados automáticamente fuera de estos servicios", señala Dion Hinchcliffe, vicepresidente ejecutivo de estrategia de Dachis Group, una consultora. "Así que bloquearon todos los accesos a las aplicaciones de almacenamiento en la nube".
Hinchcliffe añade que el uso de las aplicaciones móviles es un gran problema en las empresas, pero las compañías han comenzado a abordar la cuestión. Sugirió que todas las empresas tengan una política de "parada de autobús": si un empleado no se siente cómodo dejando información de la compañía en una parada de autobús, no estaría dispuesto a almacenarla en una nube pública no autorizada.
Si bien muchas empresas actualmente cuentan con una política BYOD, por lo general no se ocupan de las aplicaciones que vienen con los dispositivos móviles.
La preocupación sobre el uso de servicios de nube pública gira en torno al hecho de que los proveedores de servicios se están convirtiendo en un blanco favorito de los ladrones de datos.
"Estos centros de datos en nube se están convirtiendo en objetivos de alto valor", añade Hinchliffe. "Recordemos, el 90% de todos los robos de datos son causados por alguien dentro de la empresa que tiene las llaves del castillo -un administrador de sistemas que está siendo pagado por filtrar una lista de clientes o descargar información de tarjetas de crédito de los clientes. Por lo tanto hay una gran cantidad de la tentación en estos centros de datos... para las personas que quieran aumentar sus ingresos y que serán tentados por las ofertas.
"Se puede acceder no solo a los datos de una compañía, sino a los archivos de cientos de empresas", señala.
David Malcolm, jefe de seguridad de la información de los hoteles Hyatt, comenta que está muy consciente de que los empleados utilizan los servicios de almacenamiento en la nube con sus dispositivos móviles -y es un tema que ya está abordando.
Dijo, por ejemplo, que los empleados suelen utilizar las mismas contraseñas para múltiples sistemas, incluyendo sus propios dispositivos y servicios web. Esto significa que si un servicio de almacenamiento en la nube en línea es hackeado, el sistema de correo electrónico de Hyatt también podría estar en riesgo.
La cadena hotelera se encuentra sondeando las estaciones de trabajo de los empleados para saber si han descargado aplicaciones de almacenamiento en nube -como Dropbox- y qué tipo de información almacenan ahí.
"Obviamente, eso significa que probablemente hay una máquina que no nos pertenece en la que están colocando los documentos", señala Malcolm. "Estamos empezando a abordar eso, entonces tratamos de darles un servicio corporativamente bendecido.
"Obviamente, es mucho más difícil con los dispositivos que no poseemos", añade.
El servicio de intercambio de contenido SkyDox publicó una encuesta que muestra que más de la mitad de todos los empleados dejan a sus departamentos de TI en la oscuridad acerca de las plataformas libres de intercambio de archivos que utilizan para cargar los documentos corporativos. La encuesta a más de cuatro mil empleados se llevó a cabo entre el 16 y el 30 de abril, y mostró que el 77% de los empleados necesitan tener acceso a documentos de trabajo fuera de su oficina, especialmente aquellos que trabajan en los servicios financieros (89%), servicios profesionales (96%) y la asistencia sanitaria (70%).
Para habilitar el acceso, el 66% de los empleados está utilizando una plataforma libre de intercambio de archivos con el fin de almacenar o compartir documentos de la empresa. Ese porcentaje aumenta a 87% para los servicios profesionales y a 84% para los servicios financieros.
De los que utilizan las plataformas de intercambio de archivos, el 55% no le notifica a su departamento de TI sobre las plataformas de intercambio de archivos que utilizan. Para algunos trabajadores, ese número es mayor. Por ejemplo, el 71% de los empleados del área de ventas retiene información ante TI, en comparación con el 5% de los encuestados que trabajan en posiciones financieras.
La encuesta también reveló que el 80% de los encuestados utiliza sus propios dispositivos móviles para el trabajo. Aquellos que trabajan en los servicios profesionales (92%), servicios financieros (86%) y salud (84%) son los más propensos a adoptar hábitos BYOD, siendo los servicios creativos (60%) y sectores del gobierno (39%) menos propensos.
Una razón importante por la que los empleados utilizan los servicios de consumo para almacenar los datos de negocio es porque la empresa no les ofrece otra alternativa.
"Puede utilizar plataformas móviles de administración de dispositivos para ayudar a bloquear estas aplicaciones", señala Hinchcliffe. "La otra cosa es, y esto es más eficaz, darle a los empleados las aplicaciones para que lo hagan. Algunas organizaciones son agresivas en el despliegue de Box.net para que la gente no use EverNotes y Dropbox, que se consideran menos seguras".
Cuando se trata de llevar sus propios dispositivos para trabajar, la cadena de hoteles Hyatt tiene políticas estrictas. Por ejemplo, la empresa requiere que todos los empleados registren sus dispositivos móviles, y no oculta el hecho de que borrará -de forma remota- todos los datos de cualquier dispositivo si se pierde o es robado; y que no se puede almacenar ningún dato confidencial fuera del firewall corporativo. Por supuesto, si los datos se copian en un servicio de nube, se requerirá de nuevas políticas y tecnología, señala.
"No somos tan ingenuos como para creer que la política es la única respuesta, y no necesitamos a la tecnología detrás de nosotros para ayudar a cumplir estas políticas", agrega. "Queremos que nuestros empleados hagan las cosas bien y espero hagan las cosas correctas, pero sabemos que puede haber ocasiones en que no tendrán las herramientas".
Malcom espera atraer a los empleados hacia el uso de SharePoint corporativo para el intercambio de contenido, pero también sabe que no es la utilidad más fácil de utilizar en una iPad.
"Así que van a gravitar alrededor de algo como Dropbox que es totalmente fácil y accesible para el consumidor", señala. "Si podemos encontrar un servicio como Box.net con el que podemos llegar a un acuerdo y ayudar a reducir alguna responsabilidad y obtener algunos términos contractuales adecuados, tendríamos lo que nos gustaría ofrecer a nuestra comunidad de usuarios".
Malcolm cree que los tiempos para las contraseñas de una sola palabra han terminado. Tiene la esperanza de crear una política donde los empleados utilicen frases cifradas, frases que sean fáciles de recordar, por lo que su empresa no tendrá que requerir actualizaciones de contraseñas tan a menudo.
"Así que en vez de cambiarlas cada 90 días, tal vez lo hagamos cada seis meses o cada año", señala. "En última instancia, me gustaría llegar a las tarjetas de proximidad RFID o biometría que solo tienen un PIN de cuatro dígitos, junto con su tarjeta o su huella digital con el fin de ingresar a nuestros sistemas".
Lucas Mearian, Computerworld (EE.UU)