Llegamos a ustedes gracias a:



Reportajes y análisis

Trabajo móvil

En busca de trabajadores protegidos

[21/04/2008] El crecimiento de las fuerzas de trabajo móvil, unido a la aparición de nuevos dispositivos que dan a los empleados acceso a Internet desde cualquier lugar, ocasiona a menudo auténticas pesadillas a los responsables de seguridad corporativa. Muchos de ellos se sienten impotentes ante la cada vez mayor pérdida de control sobre qué dispositivos utilizan los empleados de sus empresas para realizar su trabajo.

Dado que los dispositivos móviles tienden a disminuir su tamaño físico, aumentando al mismo tiempo sus capacidades lógicas, los empleados tienen la posibilidad --cada vez más fácil-- de transportar con ellos gran cantidad de valiosa información corporativa allá donde vayan. Por ejemplo, los teléfonos celulares multiuso de hoy en día pueden almacenar hasta 2 GB de datos en una tarjeta extraíble miniSD (Secure Digital). Además, los iPhone, los BlackBerry y las laptops, cada vez más habituales entre los trabajadores, no dejan de constituir soportes igualmente móviles, cargables con datos corporativos y susceptibles de ser extraviados e incluso robados.
Estos dispositivos móviles no dejan de representar nuevas fronteras de las redes corporativas, haciendo sus límites a menudo difusos, cambiantes e impredecibles. Además, los controles de seguridad en tales dispositivos suelen ser un desastre, según Matthew E.Luallen, presidente de Sph3r3, firma de consultoría especializada en seguridad. La seguridad TI empresarial no ha sabido mantenerse ni mucho menos a la altura de las nuevas circunstancias, afirma Luallen.
Entre los principales motivos de la actual indefensa de las redes empresariales cabe destacar la excesiva facilidad para utilizar e infiltrar configuraciones por defecto sobre dispositivos móviles, así como el hecho de que la mayoría de sistemas de archivos móviles no estén aislados, de forma que, cuando un área resulta afectada, la totalidad del dispositivo queda comprometida. La situación se agrava aún más por la dificultad de administrar e imponer parches de seguridad sobre la generalmente heterogénea miríada de terminales móviles existente en muchas empresas.
Dos tipos de riesgos: datos y accesos
Antes de desarrollar una estrategia corporativa de seguridad móvil, hay que tener presente que existen dos áreas diferentes a las que pueden dirigirse las amenazas móviles: los datos y los accesos. En consecuencia, conviene prestar especial atención, por una parte, a la protección de los datos almacenados en el dispositivo; y, por otra, a la prevención de accesos web malicioso a las redes corporativas a través de los dispositivos móviles, en caso, por ejemplo, de robo intencionado. Ambos aspectos exigen un enfoque diferente.
Uno de los objetivos más compartidos de la industria es la reducción del tamaño de los móviles. Esto puede ser una ventaja en muchos sentidos, pero dado que se trata de terminales cada vez más
pequeños, es probable que ni siquiera dispongan de la potencia de procesamiento u otros recursos necesarios para proteger los datos, argumenta Luallen. Los teléfonos celulares, por ejemplo, carecen de la potencia de procesamiento suficiente para soportar herramientas de encriptación efectivas. Algunas soluciones de software de encriptación para teléfonos móviles pueden llegar a tardar hasta diez minutos en codificar los datos. Algo que, precisamente, entra en conflicto con lo que generalmente se pretende ofrecer a la fuerza de trabajo móvil: facilidad de uso, comunicación en tiempo real y rendimiento.
Quizá haya quien considere innecesaria la aplicación de técnicas de encriptación si no se transportan datos personales. Puede pensarse que existen pocas probabilidades de que una laptop, PDA o teléfono celular perdido caiga finalmente en manos de algún competidor que pueda utilizar en su propio beneficio la información sensible corporativa. Sin embargo, tal probabilidad aumenta de forma exponencial si la pérdida se produce en determinadas circunstancias; por ejemplo, en una feria sectorial o en una conferencia de negocio. Si alguien extravía su disco duro o su unidad de memoria en tales lugares, las posibilidades de que alguien lo recoja y decida aprovechar la ocasión para conseguir información de su competidor no es demasiado remota, advierte Jack Gold, presidente y analista principal de J. Gold Associates.
Las empresas y los trabajadores que transportan móviles deben ser conscientes de que en tales casos estarán perdiendo activos, subraya también Luallen. Por tanto, resulta esencial que los protejan para que nadie más pueda leerlos. También deben estar seguros de que existe copia de la información en algún lugar siempre bajo su control.
En cualquier caso, la mayoría de los analistas de seguridad coinciden en recomendar algunas prácticas de seguridad más o menos básicas para proteger los dispositivos móviles de los empleados de robos, hackers y pérdidas.
Control sobre la información que sale de la empresa
En primer lugar, el departamento TI debería controlar siempre la información que atraviesa las fronteras físicas de la empresa; es decir, la naturaleza de los datos que de ella salen. Ha de empezarse tratando estos dispositivos móviles de la misma manera en que se trataría a una PC, subraya Stacy Sudan, analista de investigación para software empresarial móvil de IDC. En realidad es lo que son: minicomputadoras. Y, por tanto, resulta imprescindible gestionarlos como tales. Nadie cuestionaría que la seguridad constituye una de las partes esenciales de la gestión de las computadoras. Un enfoque adecuado en este punto pasará por centralizar una estrategia de seguridad móvil, coherente con la estrategia de seguridad corporativa global e integrada con ella.
También resultará imprescindible identificar a qué información se está accediendo desde los móviles, etiquetarla según los casos como sensible o no-clasificada, y después controlar en consecuencia su difusión. Por ejemplo, Craig Shumard, CISO (Chief Information Security Officer) de la firma estadounidense de seguros de salud Cigna, utiliza un software de acceso basado en roles de Aveksa para determinar quiénes de los 27 mil empleados de la compañía pueden conseguir acceso a los varios cientos de sistemas que contienen información sensible sobre salud y datos financieros de los clientes, protegidos por la normativa HIPAA y otras regulaciones de Estados Unidos.
Restringimos el acceso a los recursos a todas las máquinas de Cigna, incluidas las nueve mil laptops, asegura Shumard. No permitimos que la gente adjunte información utilizando las computadoras de sus hogares, por ejemplo. Y solo autorizamos el uso de BlackBerry como dispositivo corporativo aprobado para correo electrónico y telefonía remota. Impedimos que los trabajadores tengan sus propias conexiones de correo y telefónicas. Cuando se trata de comunicaciones B2B, de empresa a empresa, Cigna exige el uso de VPN u otros tipos de mecanismos de seguridad
Añadir otro nivel de seguridad
Además de controlar los accesos según tipos de información, según Sudan, la mayoría de las compañías deberían exigir tres capacidades esenciales en su software de seguridad móvil: autenticación, funcionalidades de limpiado y bloqueo que permitan inutilizar el dispositivo remotamente; y, en tercer lugar, encriptación. Por ejemplo, si se cuenta con algún tipo de contraseña para el encendido, la persona que robe o encuentre el dispositivo no podrá tener acceso a él. Es un buen paso para empezar, insiste Sudan.
Aunque Sudan también recomienda añadir las capacidades de borrar o bloquear los dispositivos en remoto, Luallen advierte que, a menos que tales acciones sean llevadas a cabo rápidamente, la persona en cuyas manos cayera eventualmente el móvil podría evitar su eficacia simplemente extrayendo la batería e impidiendo así cualquier acceso a distancia.
En cuanto a la tercera capacidad recomendada por Sudan, ésta comprende que, hasta que las velocidades de procesamiento de la encriptación en PDA y teléfonos móviles mejoren, probablemente las empresas prefieran no cifrar la totalidad del disco, pero aconseja, no obstante, tener la posibilidad de encriptar archivos y carpetas, y, sobre todo, correo electrónico.
Volviendo al caso de Cigna, en la organización todas las laptops disponen de encriptación full-disk y algunos cuentan con un segundo nivel de encriptación para archivos específicos. Este sistema protege los datos frente a usuarios ilegítimos que hayan conseguido entrar en el teléfono y hacerlo funcionar. En tales situaciones, dado que los
intrusos no se habrán identificado con las credenciales del usuario, no tendrán acceso a los datos aunque puedan usar el terminal, explica Shumard, quien también asegura que por el momento los usuarios de su empresa no se han quejado de bajos tiempos de procesamiento.
Cigna también despliega una tecnología que impide a los usuarios descargar datos a unidades trasportables y copiar información en CD. Estos y otros mecanismos de seguridad están ya disponibles en la mayoría de los productos de gestión de dispositivos móviles y productos de seguridad móvil de múltiples suministradores.
Entre los grandes fabricantes de gestión de sistemas de este tipo se incluyen CA, IBM y Hewlett-Packard. Los fabricantes de soluciones de movilidad especializados, como RIM (BlackBerry), Motorola y Nokia ofrecen ambas categorías de productos, como también las empresas de sistemas de gestión de seguridad pure-play. La mayoría de los productos soportan los sistemas operativos móviles más comunes, incluidos Windows Mobile y BlackBerry.
En cualquier caso no conviene olvidar que existen diferencias entre los productos de seguridad móvil y el software de gestión de dispositivos móviles (MDM). Este último abarca más ámbitos que la seguridad propiamente dicha, incluyendo capacidades de distribución, gestión de activos, control remoto. También proporciona algunas capacidades de seguridad básicas, pero en esta área son menos potentes que los productos especializados. En general MDM proporciona lo que podría encontrarse en un producto de gestión de dispositivos PC, pero para móviles, explica Sudan.
Por el contrario, los productos de seguridad móviles están específicamente enfocados en la seguridad, ofreciendo capacidades de VPN móviles, antivirus móviles, firewall móviles, limpiado y bloqueo de dispositivos, encriptación, etc. Algunas de ellas, sin embargo, también pueden encontrarse en el software MDM.
Prevenir los ataques móviles basados en web
En el 2006 IDC alertó sobre un incremento en el volumen y nivel de sofisticación del malware móvil, por lo que los analistas recomiendan a las empresas que comiencen, al menos, a evaluar productos MDM y de seguridad móvil. Según un informe de IDC ya se han desarrollado varios virus específicamente para explotar vulnerabilidades de teléfonos móviles y dispositivos handheld. Se trata en la mayoría de los casos de amenazas de bajo nivel, pero con total seguridad les seguirán otros tipos de malware más peligrosos.
Algunas soluciones MDM ofrecen capacidades de bloqueo con las que es posible deshabilitar funcionalidades específicas, como Bluetooth, SMS o servicios de mensajería multimedia (MMS), impidiendo así que los virus puedan infectar el teléfono. También permiten a los administradores deshabilitar la conectividad USB, las capacidades de cámaras digitales y la característica ActiveSync de los terminales, así como cualquier otro puerto susceptible de convertirse en acceso para los virus.
De cualquier modo, conviene evitar las configuraciones por defecto. Pueden facilitar la puesta en funcionamiento de los dispositivos móviles, pero también crear grandes agujeros de seguridad. Por ejemplo, las normas que obligan al uso de sistemas de manos libres para mantener comunicaciones vía móvil cuando se está conduciendo un vehículo están haciendo que un creciente número de conductores decida utilizar auriculares Bluetooth. Para ponerlos en funcionamiento rápidamente, a menudo eligen el modo de descubrimiento por defecto y los códigos PIN de seguridad definidos por los fabricantes. El problema es que ya existen herramientas de ataque diseñadas para aprovechar tales configuraciones, bien conocidas por los hackers, que pueden así, por ejemplo, intervenir fácilmente las conversaciones telefónicas.
Educar a los empleados e invertir dinero
También es aconsejable que las empresas elaboren una política de seguridad móvil escrita. No es necesario que se trate de un documento de 30 páginas, sino de algo sencillo. Bastaría con un plan estructurado en unos cuantos puntos, según Gold. Los empleados podrán recurrir a él cuando lo necesiten, pero además, habrán de aprender a tratar todos los datos como activos corporativos. Y aquí entra en juego la formación.
En algunas empresas se ha llegado incluso a incentivar la responsabilidad de los empleados mediante compensaciones económicas. Así, por ejemplo, determinadas grandes compañías han empezado a incluir cláusulas en los contratos de sus empleados que condicionan un determinado porcentaje de gratificaciones a la no ocurrencia de incidentes de seguridad en que pudieran estar implicados, como la pérdida de un laptop, PDA, teléfono móvil o unidad flash.
Poco a poco, la gente se está dando cuenta de que este tipo de medidas constituyen la única forma de tener éxito en lo que a seguridad móvil se refiere. Si la cuestión no afecta directamente al individuo, éste estará menos motivado en la protección de la seguridad, indica Luallen. Los directores de TI y seguridad también podrían definir políticas para el uso de los dispositivos móviles particulares de los empleados en el trabajo. Algunas empresas tienen políticas que prohíben la utilización de cualquier dispositivo aparte del suministrado por la organización con el fin de poder controlar las funcionalidades de seguridad y acceso de los terminales, según Sudan.
Otras organizaciones, sin embargo, permiten a sus trabajadores el uso de sus propios dispositivos móviles, pero sólo si antes notifican al departamento TI que desean utilizarlo y lo certifican con los requerimientos de seguridad corporativos, incluidos antivirus, firewalls, autenticación y encriptación.
La educación de los usuarios juega también un papel esencial en otro sentido. Aunque parezca mentira, el 72% de los americanos considera que el peor hábito relacionado con el uso de móviles es el mantener conversaciones en voz alta en público, según un sondeo realizado por el grupo de investigación de mercado Synovate. Tal práctica no solo resulta molesta, sino que puede incluso representar un potencial peligro si el tema de conversación está relacionado con el negocio. Nunca se puede estar seguro de que no haya un competidor en las proximidades, sobre todo cuando se viaja en avión, durante estancias en ferias sectoriales, etc. Tampoco deben exponerse demasiado a la vista de los demás las pantallas mientras se visualicen datos corporativos sensibles.
Equilibrio entre seguridad y usabilidad
Para finalizar, conviene subrayar que a la hora de elegir un producto de seguridad móvil, debe buscarse siempre el equilibrio entre la protección y la facilidad de uso. Lo deseable es la implementación de procesos en los que la seguridad pueda mantenerse en un segundo plano, sin que los usuarios deban preocuparse de ella.
Si los empleados tienen que introducir una contraseña cada vez que deseen realizar una llamada telefónica, por ejemplo, o si sus dispositivos han de ser desbloqueados cada 30 segundos, finalmente terminarán intentando usarlos lo menos posible, explica Sudan. Y ese no es el objetivo. El principal motivo de la inversión en movilidad es facilitar la comunicación y aumentar la productividad. Por tanto, no se puede permitir que tal objetivo se sacrifique en aras de la seguridad. Es necesario encontrar el equilibrio.
En cualquier caso, los expertos afirman que una actitud proactiva ayudará a las empresas a reaccionar rápidamente cuando algún dispositivo móvil resulte inevitablemente infectado, hackeado, perdido o robado. Aunque lo cierto es que, por el momento, la mayoría de las organizaciones están solo ahora empezando a darse cuenta de que realmente necesitan algún tipo de seguridad móvil como base, subraya Sudan. No existe aún un modelo dominante entre ellas, pero al menos comienzan a ser conscientes de la necesidad de hacer algo al respecto.
CIO, España