Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo crear una seguridad móvil

Constante para los empleados

Seguridad móvil

[27/04/2015] Los vendedores de la firma de servicios financieros Vanguard Group necesitan acceso móvil a las presentaciones, datos de clientes y detalles de reuniones desde donde quiera que estén sin mayor problema. Sin embargo, eso no significa que ellos necesitan acceder a toda la suite de aplicaciones Vanguard y todos sus datos. Por ello el acceso se construye en torno a la determinación de qué necesitan los usuarios para ser productivos, sin poner en peligro la seguridad al darles demasiado acceso, señala John Marcante, managing director y CIO de Vanguard.

"Ese es un desafío. Uno tiene que pensar cómo hacer las cosas usables y al mismo tiempo seguras. Ese es el mundo en el que estamos ahora, indica.

La fuerza laboral móvil está aquí. Pero no el sistema de seguridad perfecto. Eso deja a los departamentos de tecnología de las empresas luchando para mantenerse al tanto de las demandas de acceso de los empleados, que sea tan continua como la que tienen con sus aplicaciones personales pero lo suficientemente segura para satisfacer los requerimientos organizacionales y regulatorios.

"Es realmente vital que los equipos de TI se enfoquen en las herramientas y soluciones que proporcionen una buena experiencia de usuario mientras que al mismo tiempo satisfacen sus requerimientos de seguridad empresarial -si una herramienta es demasiado difícil o fastidiosa para adoptar, serán menos productivos, más infelices o más propensos de romper las reglas- llevando potencialmente más riesgo a la empresa, sostiene Nisha Sharma, managing director de Accenture Mobility, parte de Accenture Digital.

Sharma afirma que los líderes TI necesitan una combinación de herramientas para lograr el correcto balance entre el acceso y la seguridad.

"Las soluciones de seguridad no deben ser muy visibles y ofrecer la excelente experiencia de usuario a la que las personas están acostumbradas en sus dispositivos móviles; ellos no necesitan saber cuán compleja es toda la integración en el back end, sino que pueden acceder a lo que necesitan en tan pocos pasos como sea posible, señala.

A continuación un vistazo de cómo varios CIO están trabajando para llegar a esto.

Decida qué necesitan los usuarios específicos

En Vanguard, Marcante afirma que los vendedores ahora pueden usar aplicaciones para acceder a presentaciones de marketing y documentos de negocios o trabajo. Debido a que los sistemas utilizados para estas actividades se encuentran alojados en un contenedor cifrado y protegido con contraseña, los trabajadores pueden acceder a ellos en línea o fuera de línea. La configuración soporta el acceso inmediato incluso si no hay Wi-Fi, y el acceso es más sencillo y rápida que lo que sería si los usuarios tendrían que conectarse a las aplicaciones a través de una red segura.

El enfoque de Vanguard para satisfacer las necesidades de los vendedores resalta un principio fundamental de su política de seguridad móvil: Permitir y asegurar lo que necesita cada equipo más que dar de todo a todos, o bloquear a todos excepto en las funciones básicas, sostiene Marcante.

"Las diferentes necesidades de negocio van a ser equipadas con diferentes soluciones, y nuestro enfoque tiene que ver menos con darles acceso a la información corporativa y más con diseñar soluciones específicas a ellos, afirma.

Ese enfoque no asegura que la gente de ventas obtenga lo que necesitan, señala Marcante; ayuda a TI a balancear mejor la facilidad de acceso y los requerimientos de seguridad. Algunas personas necesitan ver el material pero no necesitan descargarlo a sus dispositivos; otros podrían necesitar el acceso incluso fuera de línea. Eso significa dos requerimientos de acceso con diferentes necesidades de seguridad.

"Existe una docena de diferentes perfiles en la compañía, así que estamos intentando ver estos perfiles individuales para determinar cómo podemos satisfacer sus necesidades específicas, explica Mimi Heise, gerente senior de la división TI de Vanguard.

Ella señala que Vanguard confía en el software MDM (mobile device management) y de contenedorización, el cual permite a la compañía cifrar la información, crear áreas separadas en un dispositivo para los datos de trabajo y los personales, y destruir de forma remota los datos en el dispositivo en caso se pierda o sea robado.

Más importante aún, indica Heise, tal software también permite a TI implementar capas de seguridad a nivel del dispositivo y a nivel de la aplicación. "Significa que no tenemos que tener una política de 'para todos lo mismo', señala. Esto permite un acceso más sencillo para aquellos cuyas cargas de trabajo no demandan las capas más complejas de seguridad, lo cual puede crear una experiencia sin igual.

Aun así, no es perfecto, afirma la ejecutiva.

"Lo último es mejor a lo que teníamos hace cuatro años. Y dentro de unos cuantos años, será mejor. Pero aun así existen áreas de oportunidad para dar a los usuarios una experiencia más pareja pero más segura, señala.

Entre las "áreas de oportunidad que Vanguard está explorando se encuentra la posibilidad de usar tecnologías DRM (digital rights management), desplegar software que soporta single sign on y usar herramientas que le harían posible adoptar un enfoque BYOID (bring your own identity) de la autenticación digital.

Un enfoque polifacético

Wes Wright, CIO del Seattle Children's Hospital, está también balanceando la facilidad de acceso y la seguridad. Su operación de TI sirve a alrededor de 6.500 empleados, cuatro mil de los cuales quieren usar dispositivos móviles para al menos una parte de su trabajo. Estos empleados pueden usar dispositivos dados por la compañía o sus propias laptops, teléfonos inteligentes y tabletas.

Wright afirma que su enfoque a la seguridad móvil se basa en los mismos cinco objetivos que dirigen el resto de sus operaciones TI: Estabilidad, seguridad (security), simplicidad, velocidad y seguridad (safety).

"Eso es como enfocamos todo en las implementaciones TI que hacemos, sostiene el ejecutivo. "Si no tienes alguno de ellos, tus probabilidades de falla se incrementan. Pero si puedes tener una pequeña parte de ellos, tus probabilidades de éxito son muy altas.

Como Sharma aconsejaría, Wright no confía solo una solución de seguridad.

El Seattle Children's utiliza las herramientas empresariales de Microsoft para reforzar el requerimiento de que todos los dispositivos deben estar protegidos por contraseñas y que se pueda destruir remotamente los datos de los dispositivos perdidos o robados.

El equipo de Wright también utiliza software de los proveedores Accellion y Proofpoint, los cuales ofrecen herramientas que permiten a los usuarios cifrar la información confidencial enviada vía correo electrónico.

Y su equipo implementó escritorios virtuales para que los trabajadores puedan acceder con seguridad a las aplicaciones y datos empresariales a través de un navegador, y pasando por un proceso de autenticación de dos factores desde cualquier dispositivo que tengan, ya sea que se trate de una tableta, un teléfono inteligente o un escritorio de casa. El escritorio virtual mantiene todo en el centro de datos del hospital, no en el dispositivo del usuario. "Presenta al usuario final con exactamente el mismo look and feel que tienen en el trabajo, sin importar el dispositivo que tienen, señala Wright. "Ellos aprecian esto. Es muy responsivo, y es muy rápido.

Wright admite que aunque estas tecnologías son directas, el sistema no es a prueba de fallas. Por ejemplo, el enfoque del hospital hacia el cifrado se basa en que los usuarios reconocen que la información es confidencial y recuerdan cifrarla, y los receptores fuera del Seattle Children's deben encontrarse registrados para obtener la información protegida. Mientras tanto, el escritorio virtual no permite a los usuarios alternar entre las aplicaciones alojadas en el escritorio virtual y las que se encuentran fuera. Más aún, configurar un escritorio virtual es complicado y costoso, anota.

"No es tan constante como me gustaría que fuera, pero es lo mejor que tenemos por ahora. Y con el escritorio virtual, creo que estamos realmente cerca, sostiene Wright.

Muchas capas de seguridad

Roger L. Neal, vicepresidente y CIO de Duncan Regional Hospital, se encuentra en una situación similar.

"Todos quieren que sea continuo. Yo también lo quiero. Quiero estar en mi teléfono y fácilmente trabajar en mi hoja de cálculo o revisar mi correo electrónico. Y me gustaría tener todas esas sincronizaciones y una sola contraseña, sostiene Neal. "El problema es, desafortunadamente, no sé si hay una solución perfecta para hacer que esto suceda. Es una combinación de cosas.

Neal y su personal enfrentan varios desafíos. Por ejemplo, ciertos grupos de usuarios necesitan acceso a aplicaciones y datos que deben de estar protegidos con varios grados de seguridad. Unas tres mil personas en la organización tienen que usar aplicaciones empresariales, y de 80% a 90% tienen alguna necesidad móvil. Los trabajadores deben usar dispositivos dados por el hospital para acceder a la información clínica, pero pueden usar sus propios dispositivos para acceder a las aplicaciones no clínicas.

Neal afirma que comienza con un fundamento sólido, con políticas que estipulan quién obtiene acceso a qué y reglas que requieren a los empleados para usar contraseñas complejas y tomar capacitación en seguridad. Luego el grupo de TI despliega tecnologías para reforzar aquellos requerimientos sin recargar a los usuarios.

Mejores prácticas

A continuación algunas mejores prácticas para crear una experiencia móvil segura y continua para los usuarios finales:

* Implementar múltiples niveles de seguridad que satisfagan las necesidades de grupos específicos de usuarios en lugar de adoptar un enfoque de 'lo mismo para todos'. "La mayoría de las organizaciones intentan ocuparse de todos los usuarios con una sola solución, y eso crea una muy mala experiencia de usuario para cierta población de usuarios, sostiene Dionisio Zumerle, analista de Gartner.

* Almacenar tan pocos datos como sea posible en los propios dispositivos, y no los datos sensibles.

* Construir la seguridad en las aplicaciones y dispositivos en lugar de añadirla luego.

* Ir más allá de los MDM. Usar tecnologías que ofrezcan capacidades más sofisticadas que los sistemas de administración de dispositivos móviles. Las posibilidades incluyen aplicaciones envolventes y gateways de red seguros. "Aplicar la seguridad tan cerca a los datos como sea posible para que los problemas sean resueltos desde el usuario, sostiene Tyler Shields, analista de Forrester.

* Usar sistemas de administración móvil basados en el riesgo. Shields afirma que estas herramientas toman en cuenta los perfiles de riesgo de los usuarios para determinar qué personas pueden o no acceder. Estas herramientas, por ejemplo, pueden hacer posible que se banee a un usuario de la red si descarga una aplicación cuestionable.

* Despliegue el control de la administración de la movilidad en la capa de aplicaciones. Esto permite que una empresa controle sus datos sin bloquear teléfonos inteligentes y tabletas, afirma Zumerle.

* Considere la autenticación basada en huellas digitales a nivel del dispositivo en lugar de las contraseñas.

* No descanse nunca. Es difícil realizar un enfoque de largo plazo a la seguridad móvil debido a que los dispositivos, sistemas operativos y herramientas de seguridad están, ellas mismas, evolucionando rápidamente. "Por ello es fundamental elegir soluciones que no lo aten, sostiene Zumerle.

Comienza con credenciales dentro del directorio activo, por lo que el nivel de acceso del usuario se encuentra determinado por su trabajo. También existe un sistema single sign on, con dispositivos que leen las identificaciones con RFID a dos pies de distancia si se encuentran por más de dos segundos. Los trabajadores también pueden ingresar manualmente sus nombres de usuario y contraseñas si no tienen sus identificaciones. El sistema automáticamente retira al trabajador luego de un lapso establecido o cuando detecta que una identificación ha salido del rango. El Duncan Regional Hospital también utiliza escritorios virtuales, dando a los usuarios móviles acceso mientras que al mismo tiempo se mantienen a los datos seguros dentro del centro de datos.

Neal afirma que implementar estas tecnologías ha incrementado tanto el grado como la facilidad del acceso móvil en los pasados años, pero reconoce que aún hay desafíos, como las desconexiones ocasionales o los sistemas que no funcionan exactamente como deberían en el escritorio virtual.

"Desde el punto de vista de la movilidad, en los pasados años, hemos comprometido muchos dólares y recursos para que funcione porque sabemos que es el mejor modelo para lo que hacemos. Queremos la información al lado de la cama o en el paciente, señala Neal. "Y creo que realmente hacemos un buen trabajo. ¿Es perfecto? No. ¿Estará bien en cinco años? No. Pero siempre intentamos pensar la mejor forma de hacerlo.

Mejorar es lo que mueve a TI en el Idaho National Laboratory

La organización de investigación federal está desplegando tecnologías que los líderes consideran que hará que el acceso móvil sea mucho más fácil para los empleados, sostiene Hortense K. Nelson, director del programa de integración en la sección de administración de la información del Idaho National Laboratory.

El laboratorio emplea alrededor de cuatro mil personas y su departamento de TI soporta 1.300 dispositivos móviles -una combinación de teléfonos inteligentes y tabletas que son del gobierno y de los empleados-, y alrededor de ocho mil laptops propiedad del gobierno. Por años, el INL ha utilizado software LANDesk para asegurar sus laptops, y utiliza software MDM para asegurar las tabletas y los teléfonos inteligentes.

Pero los empleados de INL pueden actualmente acceder solo a correos electrónicos, contactos y calendarios en sus dispositivos móviles, señala Nelson.

Pero eso va a cambiar este año. El laboratorio desplegó Google Apps en los pasados dos años, y la suite de herramientas de nube permite a los trabajadores trabajar desde cualquier lugar en cualquier momento, aunque Nelson afirma que las preocupaciones por la seguridad no han permitido que el laboratorio abra todo su ambiente al acceso móvil.

Para enfrentar estas preocupaciones, el INL está desplegando la plataforma de administración móvil empresarial de AirWatch, la cual cumple con las pautas establecidas en la Publicación 140-2 de la Federal Information Processing Standard (FIPS), de acuerdo a Nelson. El sistema de AirWatch permite el fácil aprovisionamiento y tendrá autenticación de dos factores, capacidades de borrado remoto, contenedores para mantener separados los datos de trabajo y personales, y controles a nivel de aplicación.

Y debido a que Google Apps reside en la nube, ni la aplicación ni los datos que usan se mantienen en el dispositivo.

Nelson hace énfasis en que no todos los sistemas y los datos se encontrarán abiertos al acceso móvil: "Tenemos algunos conjuntos de datos que siempre se encontrarán fuera de los límites a menos que se trate de redes muy seguras, afirma, pero las herramientas que se despliegan este año permitirán a los trabajadores acceder al 90% aproximadamente de los procesos de trabajo del INL.

Nelson afirma que los trabajadores del INL tendrán un acceso más amplio y fácil vía sus dispositivos móviles para finales de año. Pero difícilmente éste es el fin de la historia. Ella señala que su equipo continuará evaluando tecnologías ya que ella, como los otros líderes de TI, sabe que las demandas móviles continuarán creciendo, de la misma forma en que lo harán los riesgos y los tipos de medidas de seguridad necesarias para mitigarlos.

Mary K. Pratt, Computerworld (EE.UU.)

Vea también