Llegamos a ustedes gracias a:



Columnas de opinión

¿Cómo espantar a los monstruos escondidos en el armario?

[05/09/2013] BYOD es una realidad, y todos tenemos que lidiar con eso.
La mayoría de nosotros estamos acostumbrados a los dispositivos que se comportan bien, como computadoras portátiles, netbooks, iPhones e iPads. Hay suficientes productos de gestión de dispositivos móviles para llevar a cabo limpiezas remotas y otras estrategias para bloquear estos dispositivos si se pierden o si son robados.
Pero cuando el dispositivo no dispone de un disco, las cosas se ponen un poco inciertas. El flash RAM que está soldado en un dispositivo prácticamente no se puede eliminar, y si el dispositivo está roto, la memoria no se puede borrar. Se vuelve más divertido con las tabletas de Android, el hardware puede que no dure tanto, y las innumerables configuraciones de software pueden ser difíciles de manejar en estado salvaje.
Ahora, vamos a suponer que el dispositivo del usuario muere o se vuelve poco confiable. Un dispositivo que funciona mal a menudo se coloca en el fondo de un cajón de la oficina o en un armario de su casa con muchas otras cosas que están fuera de la vista, fuera de la mente y pronto son olvidadas.
Esta es la génesis de los monstruos de TI en el armario.
Meses más tarde, alguien tiene la gran idea de limpiar el armario y deshacerse de todos esos viejos juegos, cámaras, teléfonos y dispositivos Android que dejaron de funcionar (normalmente debido a un conector roto, una pantalla agrietada o una batería débil). Luego van a eBay, Craigslist o a la caridad.
Seguridad de datos BYOD
Ahora, los monstruos se han desatado, probablemente con algunos de sus datos corporativos o contraseñas que siguen en sus memorias. Pero nadie se acordará de lo que hay allí.
Existe la posibilidad de que el dispositivo no pueda ser revivido y por lo tanto sus datos estén seguros. Sin embargo, en un reciente episodio, uno de nuestros clientes no tuvo tanta suerte. Un comprador de eBay abrió el casco de un dispositivo muerto, reemplazó un conector defectuoso y, en cuestión de minutos, accedió a la información confidencial corporativa y personal del anterior propietario. Dado que el dispositivo nunca fue llevado a la red, las endebles secuencias de auto-destrucción nunca podrían utilizarse.
Afortunadamente, el robo de identidad y las violaciones no ocurrieron, pero eso es solo porque el comprador era un buen tipo. Incluso tuvo la decencia de ponerse en contacto con el cliente, notificar la infracción y borrar los datos.
Evite desastres BYOD con el planeamiento anticipado
Una política de seguridad móvil no debe depender de la buena suerte. Entonces, ¿qué puede hacer? Aquí están siete sugerencias.
* Encriptar y proteger con contraseña los datos del dispositivo, en cualquier lugar que pueda. Por supuesto, el inicio de sesión único en la mayoría de los programas de móviles es una propuesta muy delgada, por lo que la paciencia del usuario aquí es una restricción.
* Requiera contraseñas en cada inicio de sesión, si se puede. Pero sepa que, con un poco de esfuerzo, estas políticas normalmente pueden ser anuladas en los dispositivos móviles.
* Por supuesto, utilice la información más reciente sobre las herramientas de prevención de fuga (ILP) y la prevención de pérdida de datos (DLP) que pueda encontrar. Lo mismo va para el auto-borrado y el software de call-home en el dispositivo.
* De alguna manera, sin embargo, usted tiene que conseguir que los usuarios instalen y actualicen estas cosas en sus dispositivos. Haga que sus mecanismos de seguridad de la red hagan cumplir esto. Una vez que el dispositivo está registrado en la red, el propietario del dispositivo debe ser contactado por teléfono, si el dispositivo ha estado fuera del aire durante más de un mes (para asegurarse de que no está guardado en un armario). Para las grandes empresas, sofisticadas, todo esto es una propuesta de "por supuesto", pero para la mayoría de las pymes y Small Office Home Office (SOHO), es un "oh-oh".
* Establezca una política BYOD corporativa que permita los dispositivos en la red solo si el propietario está de acuerdo en que nunca serán regalados, vendidos o reciclados. En su lugar, la compañía los compra a un valor nominal de modo que puedan ser totalmente eliminados (o, en el peor caso, destruidos) antes de ir a la caridad/reciclado.
* También establezca una línea directa para denunciar los dispositivos perdidos o robados, y desarrollar un protocolo para bloquear los datos y cambiar las contraseñas de las cuentas dentro y fuera de la red. Una vez más, esto es algo normal para las grandes empresas, pero un "oh-oh" para las más pequeñas.
* Por último, establezca un FAQ BYOD (preguntas y respuestas frecuentes) que los empleados deben al menos darle una mirada antes de que sus dispositivos se conecten a los recursos de datos corporativos. Este FAQ debe tener una secuencia de registro/click (similar a un contrato de licencia) que confirma que al menos se han unido a ella.
Por supuesto, el software de procedimientos y add-ons cuesta dinero, haciendo que el dispositivo gratuito que el usuario compró se vuelva un artículo costoso. Esto es lo que los economistas llaman una "externalidad", ya que causa riesgos para las personas que no están tomando una decisión.
Si realmente piensa en ello, para su empresa puede ser más barato ofrecer dispositivos Android con configuraciones conocidas e idénticas en hardware, en lugar de dejar que los usuarios lleven el suyo propio.
Ah, el precio de lo "gratuito".
David Taber, CIO
David Taber es el autor del libro de Prentice Hall, "Salesforce.com Secrets of Success" y es el CEO de SalesLogistix, una consultora certificada de Salesforce.com centrada en la mejora de procesos de negocio a través del uso de los sistemas de CRM.