Llegamos a ustedes gracias a:



Reportajes y análisis

Las aplicaciones móviles gratuitas ponen en riesgo sus estrategias BYOD

[12/11/2012] Cuando se les menciona a los CIO la tendencia de traer su propio dispositivo (BYOD), una de las cosas que más les preocupa es la falta de control sobre las aplicaciones móviles. Las aplicaciones engañosas que contienen malware son una preocupación importante, pero muchas aplicaciones libres de malware también plantean demasiados riesgos.
Incluso en los mercados maduros, las aplicaciones móviles pueden ser ridículamente intrusivas. A principios de este año, Apple, Facebook, Yelp y otras firmas fueron demandados por aplicaciones que infringían la privacidad, entre otras cosas, por libretas de direcciones saqueadas.
En ese momento, muchos expertos de seguridad advirtieron que se trataba de la punta del iceberg, y un reciente estudio realizado por Appthority, un proveedor de soluciones de seguridad móvil, encontró que las aplicaciones libres son particularmente riesgosas porque se descubrió que tienen la capacidad de acceder a información sensible.
Eso es bastante malo, pero ¿qué pasa si la aplicación carga una lista de contactos de los representantes de ventas y luego los desarrolladores se la venden a un competidor? Es un nuevo tipo de fuga de datos, para el que la mayoría de las organizaciones no están preparadas.
No permitiremos que los trabajadores se acerquen a la AppStore
A pesar de los riesgos, el Riverside Medical Center de Illinois pensó que no tenía otra opción cuando se unió a BYOD. Tratar de simplemente prohibir los dispositivos de usuario final sería contraproducente. "Para un hospital como el nuestro, BYOD es un tema de marketing tanto como de seguridad", señala Erik J. Devine, CISO de Riverside MC. "Si los médicos no pueden utilizar sus tablets o smartphones en este hospital, van a empezar a atender a sus pacientes en otro".
Con el fin de participar en el programa BYOD, los usuarios finales deben estar de acuerdo en que Riverside MC tiene el derecho de borrar el dispositivo remotamente en caso de problemas. Eso podría significar borrar fotos de un usuario o emails personales, pero ese es el riesgo que deben tomar los usuarios si la empresa le va a hacer frente a los riesgos BYOD.
Para los dispositivos que son propiedad de la empresa, por supuesto, los riesgos son más fáciles de manejar. "Si nos decidimos a comprar una iPad para alguien como herramienta de trabajo, ni siquiera puede entrar a la AppStore", señala Devine. Tenga buena suerte diciéndole eso a alguien que desembolsa 150 dólares al mes por un plan de datos caro.
Para las industrias reguladas como la salud, sin embargo, la prohibición de mercados de aplicaciones es común. Happtique ve esto como una oportunidad y ofrece una tienda de aplicaciones móviles específicamente para los profesionales de la salud. "Un desafío importante para los médicos y sus departamentos de TI es saber en qué aplicaciones se puede confiar y en cuáles no", señala Ben Chodor, CEO de Happtique.
Happtique fue creado después de que la gran asociación de hospitales de Nueva York (GNYHA) comenzó a buscar en mHealth. "Vimos muy pocas, o ninguna entidad, en el mercado de aplicaciones móviles con experiencia en cuidados de la salud -una empresa que realmente entiende los desafíos a los que se enfrentan los proveedores de hospitales, desde las regulaciones HIPAA a la reforma de salud y a la preparación para emergencias", añade Chodor.
Una vez que GNYHA vio este vacío, decidió iniciar su propia solución móvil de salud, que más tarde se convirtió en Happtique. La nueva empresa está en el proceso de construcción de una solución que ayude a hospitales y médicos para que encuentren aplicaciones validadas, y formen sus catálogos personalizados. Utiliza la solución de administración de riesgos de aplicaciones de Appthority, y una vez que cargue certificará las aplicaciones, evaluándolas para asegurarse de que hacen lo que prometen.
Sin embargo, por el momento, la mayoría de las empresas que desean controlar los portales de aplicaciones tienen que construir el suyo propio, al igual que Riverside MC. Sin embargo, restringir las aplicaciones es solo parte de la ecuación. Además, el hospital utiliza una combinación del software de McAfee Enterprise Mobility Management (EMM) y firewall de aplicaciones de Fortinet para minimizar los riesgos móviles. EMM le da a Riverside la capacidad de detectar los dispositivos ruteados, hacer cumplir las políticas como la autenticación de dos factores y el borrado de dispositivos de forma remota en caso de pérdida o robo, y ya que los riesgos evolucionan con el tiempo, Riverside también se basa en las capacidades de análisis del comportamiento de Fortinet para ver exactamente qué están haciendo los usuarios con sus dispositivos.
Por ejemplo, si una empresa descubre que la mayoría de los usuarios están jugando juegos móviles durante el tiempo de inactividad, puede ser que desee educar a sus usuarios sobre los riesgos, ya que es muy común el malware incrustado en los juegos, y los juegos móviles a menudo son los peores delincuentes cuando se trata de acceder a la información personal de los usuarios.
Las aplicaciones para móviles tienen un grado de privacidad defectuoso
El año pasado, los investigadores de viaForensics estudiaron 100 diferentes aplicaciones iOS y Android, encontrando que solo 17 de ellas hicieron un buen trabajo a la hora de proteger la información del usuario.
viaForensics probó cuatro tipos de aplicaciones, financieras, de redes sociales, de productividad y de venta al por menor. Los investigadores le dieron un grado a cada aplicación -pasó, cuidado, o falló- de acuerdo a lo bien que protegen los datos. Si los investigadores de viaForensics podían acceder a los datos almacenados en la aplicación -la cual se podría tratar de información personal- se catalogaba a la aplicación como falló.
Las aplicaciones pasaban la prueba si los investigadores no podían encontrar los datos o si éstos estaban encriptados. Las aplicaciones en el medio, donde los investigadores encontraron los datos, pero consideraron que no representaban un gran riesgo, obtuvieron una calificación de cuidado.
Como probablemente ya adivinó, las aplicaciones de redes sociales fueron las más corruptas. viaForensics probó 19 aplicaciones de redes sociales, y 14 de ellas fallaron. Las restantes obtuvieron cuidado.
Las aplicaciones fallidas no solo cayeron a la hora de dejar de cifrar los datos -a menudo almacenados en texto claro- sino que muchas de las aplicaciones también almacenaban las contraseñas en texto plano, y almacenaban y exponían otros datos sensibles que fácilmente podrían ser utilizados para el robo de identidad.
Las únicas aplicaciones que lo hicieron bastante bien fueron las financieras -donde la seguridad está, obviamente, en primer lugar. Solo 8 de las 32 aplicaciones financieras fallaron.
Appthority encontró que el paso de un año hizo poco para reforzar la seguridad de las aplicaciones móviles. Appthority recientemente estudió las mejores 50 aplicaciones gratuitas de iOS y Android, y se encontró con que el 96% de las aplicaciones de iOS y el 84% de las aplicaciones de Android tienen la posibilidad de acceder a información confidencial, como información de contactos, detalles del calendario o ubicación física, desde el dispositivo.
Las aplicaciones para juegos fueron las más contaminadas, pero muchas aplicaciones con el apodo de de negocios también accedieron a ítems como libretas de direcciones, y la mayoría de ellas se conectaba a una red de anuncios y daba servicio de análisis de comportamiento para esa red.
Entonces, ¿es de extrañar que industrias enteras estén desarrollando sus propias tiendas de aplicaciones?
El riesgo se incrementa a medida que se mezcla la vida laboral y familiar
La combinación de la vida laboral con la vida familiar presenta su propio conjunto de riesgos. "Desde un punto de vista tecnológico, es difícil separar las vidas personales de los empleados de su vida profesional, y viceversa. El tradicional día de trabajo de 9 a.m. a 5 p.m. está desapareciendo, y cada vez más personas están trabajando cuándo y donde quieren. Esto significa que podría estar respondiendo a mensajes de correo electrónico de trabajo a las 10:30 de la noche", señala Dave Snow, director de marketing para Xigo, proveedor de soluciones de software EMM.
Esto también significa que una gran cantidad de información importante del trabajo será llevada a casa y transferida a un dispositivo diferente. Si un usuario realiza una copia de seguridad de un teléfono (con listas de contactos, correos electrónicos y otros datos sensibles) a una PC en casa, el malware en la PC podría exponer a la organización. Incluso podría proporcionar una puerta trasera a la organización si las credenciales de identidad se ven comprometidas. Si un hacker en el otro extremo de un keylogger se entera de que trabaja para una compañía Fortune 500 y que utiliza la contraseña "Wolfgang2012," es mejor que crea que lo siguiente que tratará de hacer es acceder a su red corporativa.
Y considere cómo los usuarios almacenan datos ahora. ¿Cuántos de nosotros almacena contactos en Outlook u otros sistemas empresariales? Por lo general, los contactos aparecen primero en nuestros teléfonos, y a veces ahí es en donde se quedan. "Considere lo que sucedió cuando Facebook trató de impulsar las direcciones @facebook.com e inadvertidamente sobrescribió listas de contactos en los teléfonos inteligentes", señala Richard Wang, gerente de Sophos Labs EE.UU.. "En tal caso, un inconveniente para el usuario puede llegar a ser un inconveniente para el negocio, a medida que las comunicaciones se pierden y pueden pasar a través de canales inesperados".
Un término que a menudo se lanza en el debate BYOD es consumerización. Las tecnologías empresariales están siendo adoptadas en primer lugar por los consumidores, y están forzando la mano de la empresa. Para que los CIO puedan alejarse de los riesgos móviles, van a tener que empujar con fuerza para la emprerización de las tecnologías de consumo.
Esto puede necesitar de algún pensamiento novedoso. Por ejemplo, tal vez las empresas deban empezar a pensar en subsidiarle suites antivirus a los empleados caseros, en lugar de dispositivos -porque los ataques que apuntan a los empleados terminan siendo dirigidos al empleador, incluso si el empleador no era el objetivo original. Y si la información personal que podría ser utilizada para el robo de identidad no es hackeada a partir de una aplicación mal asegurada, todavía está ahí fuera. Todo lo que necesita es un poco de investigación, y un pequeño sondeo para encontrar el punto débil en el mundo social/profesional del usuario.
Jeff Vance, CIO (EE.UU.)