Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad móvil

Pasos para lograr su adecuada gobernabilidad

[29/06/2009] Los dispositivos móviles avanzados -iPhone, BlackBerry y otros dispositivos de mano- han creado un creciente ambiente de movilidad inalámbrica para los negocios, las comunicaciones personales y el entretenimiento. Sin embargo, su creciente uso también ha ocasionado un rápido incremento en la complejidad y amplitud de las amenazas a la seguridad móvil.

Usar un dispositivo móvil para acceder a los sistemas de información corporativos puede crear potencialmente un agujero en la seguridad corporativa, si no se encuentra protegido y no es usado adecuadamente. En un reciente reporte de CSI, el robo o pérdida de información corporativa o de los clientes a través de los dispositivos móviles representa casi la mitad de todos los robos o pérdidas. Las brechas de datos son reales en casi todas las organizaciones de virtualmente todo tamaño, desde la gran corporación multinacional hasta la pequeña o mediana empresa, y estas se producen debido a pérdida de dispositivos, robo, mal uso, y acceso no autorizado a la red corporativa y revelación de datos.
Al disfrutar de las muchas ventajas en productividad, eficiencia y flexibilidad, muchos esfuerzos por mejorar la seguridad en las organizaciones quedan rezagados debido a los problemas de exposición y a los riesgos. Las organizaciones o no se encuentran plenamente concientes de los problemas de seguridad existentes que enfrenta, o simplemente considerar que enfrentar estos temas es tarea de TI. Generalmente, tales temas le recuerdan a los administradores TI revisar varias tecnologías o herramientas de software, tales como firewalls, software antivirus, encriptamiento de archivos, etc. No es de sorprender que esto conduzca normalmente a un esfuerzo insuficiente o equivocado. Concentrarse meramente en las tecnologías no puede conquistar las debilidades de las organizaciones en el comportamiento de los empleados, y las fallas inherentes en las políticas y procesos de administración.
El rápido desarrollo de las tecnologías y aplicaciones móviles han cambiado cada vez más la forma en que las organizaciones hacen negocios, así como el ambiente en el que deben administrar sus riesgos. Para minimizar en forma efectiva los riesgos a la seguridad en una organización se debe realizar un esfuerzo a nivel corporativo en las áreas de estrategia de la seguridad, desarrollo de políticas, capacitación de los empleados, y revisión de la infraestructura. A continuación cinco pasos para lograr una efectiva gobernabilidad de la seguridad móvil:
Conozca los riesgos de su ambiente móvil
Usar dispositivos móviles para hacer el trabajo en cualquier lugar al que uno vaya es un gran beneficio para muchas organizaciones. Pero la realidad es que las organizaciones al mismo tiempo enfrentan una variedad de riesgos y exposiciones nunca antes experimentadas. Estos riesgos son el resultado de la explotación potencial de las debilidades en la tecnología, la organización y sus empleados. Cada año, millones de dispositivos móviles son robados, perdidos o descartados con información personal aún en sus memorias. La pérdida de un dispositivo móvil que contiene credenciales de identidad personal y de acceso a red abre a la organización a un acceso no autorizado a la red y a intrusiones. La revelación de los datos móviles de la información confidencial de la empresa y de los registros personales, coloca a una organización en alto riesgo de cumplimiento legal y regulatorio.
Para desarrollar una estrategia de seguridad móvil efectiva, es esencial entender el perfil del riesgo de seguridad móvil de la organización. Las preguntas fundamentales incluyen:
* ¿Cuáles son los activos de datos móviles corporativos que necesitan protección?
* ¿Cuáles son los sistemas de datos corporativos a los cuales acceden los empleados móviles? ¿Cómo se accede a ellos? ¿Desde donde se accede a ellos?
* ¿Cómo se utilizan los dispositivos móviles? ¿Cómo se los protege? ¿Cómo se los administra?
* ¿Conocen los empleados los procedimientos para responder a un incidente?
Para determinar plenamente la posición de la seguridad móvil de una organización, se necesita de una evaluación completa de la seguridad del ambiente específico de negocios de la organización
Desarrolle una efectiva política de seguridad móvil
La falta de una efectiva política de seguridad móvil es una de las causas fundamentales por las que fracasan los esfuerzos de seguridad. La política se debe basar en riesgos, cubriendo todos los riesgos identificados en los dispositivos móviles, tanto los proporcionados por la organización como los de propiedad del individuo, y todos los grupos de usuarios, incluyendo los empleados regulares y los trabajadores temporales.
El proceso de desarrollo de la política debe determinar qué aplicaciones deben encontrarse disponibles para cuál grupo de usuarios móviles y sobre qué tipos de dispositivos. Las típicas aplicaciones móviles incluyen correo electrónico, automatización de la fuerza de ventas, aplicaciones de servicio de campo, despacho, CRM extendido, etc. Estas aplicaciones pueden generar crecimiento en la productividad y en los ingresos, si son desplegadas y administradas de forma segura.
Una política de seguridad efectiva necesita traducir en forma clara los requerimientos de cumplimiento regulatorio en los procesos y procedimientos de administración de riesgos de la organización para proteger los datos de pérdidas o compromisos. También necesita señalar claramente la responsabilidad del usuario en torno a la configuración del dispositivo, su uso, el respaldo de los datos y la protección de los mismos. La información almacenada en un dispositivo móvil debe limitarse a la que es estrictamente necesaria mientras el usuario se encuentra en movimiento.
Además, la organización debe encontrarse en capacidad de hacer cumplir las políticas vía un activo monitoreo por parte de TI y el uso de herramientas de software. Las organizaciones deberían regularmente revisar las políticas para tomar en cuenta cualquier nueva amenaza a la seguridad asociada con los cambios en el ambiente empresarial.
Asegurar la responsabilidad y conciencia de los empleados
El empleado es un factor importante tanto en la buena como en la mala seguridad móvil. En una reciente encuesta entre CSO (Chief Security Officer), el 28% de los usuarios móviles usaban sus dispositivos móviles para acceder a Internet, y el 86% de ellos admitió que no tenían ninguna seguridad móvil. Un usuario descuidado o no conciente de la seguridad fácilmente puede poner en riesgo la información confidencial de la organización.
La falta de capacitación y conciencia en el usuario móvil es un factor importante que contribuye a muchos errores e incidentes en los usuarios. Un usuario poco capacitado podría incluso no saber el procedimiento para manejar la seguridad. En algunos casos, un usuario móvil simplemente podría superar cualquier procedimiento de configuración requerido para hacer un trabajo.
La educación y la conciencia del empleado deben ser una parte valiosa de la cultura corporativa. Un empleado bien capacitado puede ayudar a la organización a minimizar en gran medida los riesgos a la seguridad móvil. Es fundamental que todas las políticas de seguridad deban ser seguidas por el liderazgo de la empresa, lo usuarios finales y el equipo de soporte en toda la organización.
Las organizaciones deben empoderar a los empleados para conseguir un efectivo esfuerzo de gobernabilidad de la seguridad. Ellos se pueden convertir en una de las líneas de seguridad más críticas en cualquier estrategia de mitigación del riesgo.
Establecer una configuración de seguridad básica
A medida que se incrementa el uso de tecnologías móviles en la empresa, más y más información crítica de la empresa -e información confidencial del personal- se recoge, procesa y transmite mediante redes inalámbricas compartidas. Los dispositivos móviles deben ser configurados adecuadamente para protegerse a sí mismos y a los datos que contienen de un uso no autorizado, revelación de datos y ataques maliciosos.
Durante la fase de planeamiento del despliegue de dispositivos móviles, todos los dispositivos deben satisfacer unos requerimientos básicos en términos de las políticas de seguridad corporativas. La configuración de seguridad básica puede incluir:
* Protección mediante contraseña del encendido
* Encriptamiento de datos o directorios
* Uso de VPN para acceder al correo electrónico y la red interna
* Firewall en el dispositivo
* Software antivirus
* Los más recientes parches de seguridad
Cumplir con la configuración de seguridad básica en todos los dispositivos puede ayudar a una organización a establecer una línea mínima de defensa desde cada dispositivo. De la misma forma en que se hacen más estrictos los dispositivos en contacto con Internet, los recursos en los dispositivos, las interfases inalámbricas como el Wi-Fi, Bluetooth, RFID, las impresoras inalámbricas y las funciones de aplicaciones deben ser minimizadas para reducir la probabilidad de un ataque inalámbrico.
Construir una infraestructura TI que tome en cuanta la movilidad
Las organizaciones deben tener herramientas TI bien definidas para administrar los sistemas empresariales (servidores, redes y almacenamiento). A medida que los dispositivos móviles se usan cada vez más en las aplicaciones de negocio, su papel ha cambiado rápidamente de ser un aparato que ofrecía acceso al correo electrónico, a ser un dispositivo que maneja transacciones empresariales con sistemas de bases de datos de back-end (ERP, CRM y SFA). Mientras tanto, la creciente movilidad en los negocios está extendiendo los límites de las TI más allá del perímetro de la organización.
Las organizaciones necesitan implementar un fuerte sistema de autenticación y acceso a bases de datos y distribución basados en roles. Para mayor seguridad, se debe hacer cumplir el uso de contraseñas, incluyendo la autenticación basada en dos factores (por ejemplo, usando un token de software) para los grupos de usuarios. Se debe revisar la segregación basada en red y la zonificación existente, y basarlas en los datos y extender esto a los usuarios móviles y sus dispositivos.
Para evitar el incremento en los costos de integración y los posteriores problemas en el soporte y actualización del software, las organizaciones deben planear una solución de administración de dispositivos centralizada en el momento del despliegue de los dispositivos, la cual, idealmente, debería encontrarse integrada con los sistemas existentes de TI para la red, aplicaciones, servidores y dispositivos. Actualmente existen varias soluciones avanzadas que pueden soportar multiplataformas en una consola empresarial centralizada. Los gerentes TI pueden lograr un control proactivo del uso de los dispositivos, establecimiento de la configuración, actualizaciones de software y parches de seguridad. En particular, son necesarios en muchos casos el reseteo remoto de las contraseñas, la inhabilitación remota del dispositivo y su borrado también remoto. Tales soluciones deben ser utilizadas con poca o ninguna intervención del usuario, fácil integración con la estructura de directorios existente y una buena escalabilidad para un gran número de usuarios con diversos dispositivos y en diferentes redes inalámbricas.
Conclusión
El incremento en la movilidad ha originado algunos increíbles avances para las organizaciones que pueden ahora llevar a las empresas a cualquier lugar en cualquier momento. Sin embargo, como hemos visto, este incremento en la movilidad va a la par de un incremento en las amenazas a la seguridad que puede transformar estos beneficios en un catastrófico problema de seguridad. Tomando los pasos apropiados y usando un proceso de control de riesgos para evitar estas ocurrencias se puede llegar lejos. La empresa y los empleados necesitan hacer los dos su parte para asegurar que se están siguiendo las mejores prácticas y que se está proporcionando educación para incrementar las precauciones de seguridad. Si todos en la organización se responsabilizan de administrar esta tarea entonces la organización logrará sus metas en una efectiva gobernabilidad de la seguridad móvil.
Robert Zhang, CSO
Robert Zhang, Ph.D., CISSP, CISM es consultor principal de GlassHouse Technologies. Ha sido arquitecto de seguridad en jefe y tiene más de 13 años de experiencia práctica en redes inalámbricas 2G/3G, Wi-Fi, Wi-Max, Convergencia Fijo-Móvil, y despliegue de IMS. Robert también ha trabajado como profesional de la seguridad de la información con una experiencia de trabajo directa con los clientes en Estados Unidos, Europa y Asia-Pacific.