• Tweet

Este es un problema tan predominante en algunas compañías, que los administradores de Tecnologías de Información (TI) lo han comenzado a llamar el “síndrome pos-navideño”: cada Enero y Febrero, trabajadores se llenan de nuevos artículos tecnológicos, lo que los incentiva a realizar peticiones al área de TI para que tengan acceso a la red de su empresa.

Desgraciadamente, y para sorpresa de muchos, un alto número de compañías no tienen políticas adecuadas que cubran los dispositivos móviles personales. Además de la existencia de un alto número de carencias para poder fortalecer las políticas con las que cuentan algunas otras. Bajo la primicia de que es mejor “pedir perdón que pedir permiso”, algunos empleados se muestran indiferentes a las políticas corporativas y encuentran sus espacios para poder utilizar de forma rápida sus nuevos dispositivos.

Los dispositivos personales pueden incrementar de forma notoria la productividad, pero también pueden incrementar de forma potencial los huecos de seguridad para la empresa.

Calculando el costo de la movilidad

Así como las laptops, PDAs y los teléfonos inteligentes han llegado a ser cada vez más pequeños, también han llegado a ser más fáciles de perder. En una reciente encuesta realizada por el Ponemon Institute, el 81 por ciento de las compañías de los Estados Unidos reportaron una perdida de por lo menos una laptop que contenía información sensible. Y de acuerdo con los derechos de privacidad, más de 100 millones de registros individuales que contenían información privada habían sido comprometidos por estos huecos de seguridad desde hace 2 años.

El costo de estos huecos es alto y costoso. El Ponemon Institute encontró que en el 2006 mencionó, que estos huecos tuvieron un costo promedio de 182 dólares por registro, incrementándose en un 31% desde el 2005. Por otra parte, en otra encuesta realizada por Symantec, se encontró que el promedio de costo de la información que contiene cada laptop corporativa es de aproximadamente 972 mil dólares.

Pero la pérdida de datos sensibles contenidos en dispositivos móviles no es sólo un riesgo potencial. Los fallos de los dispositivos móviles podrían dar lugar a violaciones de requerimientos regulatorios oficiales, tales como el GLBA (Gramm-Leach-Bliley), SOX (Sarbanes-Oxley Law) o la HIPAA (Health Insurance Portability and Accountability Act). Estos fallos de cumplimiento ponen en riesgo a la empresa u otra organización que este bajo la regulación de estas leyes.

“El hecho de que la legislación en seguridad no menciona específicamente que los dispositivos móviles no deberían ser considerados como evidencia, ya que la ley no los contempla como tal.” En vez de eso, esto debe de ser enfatizado de tal forma que sea una base legal, “asegurar un dispositivo móvil es tan crítico como el asegurar una supercomputadora”. Aún si un teléfono inteligente o PDA no tiene datos sensibles, esta podría ser utilizada como una llave de acceso a la red corporativa para los criminales. En efecto, una incorrecta configuración de dispositivos con Bluetooth podría comprometer a la red corporativa, sólo con llegar a ser utilizada desde un lugar público.

La amenaza de virus, spam, y otro tipo de código malicioso que específicamente tiene como objetivo dispositivos móviles, está en crecimiento. De acuerdo con los laboratorios AVERT McAffe, solo durante este año, la amenaza contra dispositivos móviles creció 10 veces más rápido que las amenazas contra una PC tradicional.

¿Quienes necesitan una política-

Dependiendo del tamaño del problema, uno podría esperar que en compañías de América, tuvieran una política formal para dispositivos móviles, pero este no es el caso.

“Constantemente me sorprendo por cuantos ejecutivos del área de TI no han considerado la seguridad sobre dispositivos móviles de la organización dentro de un plan de seguridad,” menciona Bob Egner, Jefe de marketing de PointSec.

De hecho, en un estudio realizado por Business Performance Management Forum, arrojó que el 40 por ciento de las compañías encuestadas no contaban con una política de seguridad sobre dispositivos móviles, a pesar del hecho, de que el 80 por ciento de las compañías planearon incrementar su uso de dispositivos móviles para el siguiente año.

El problema fue particularmente significativo para pequeñas empresas: cerca del 68 por ciento de estas con ganancias menores a $100 millones de dólares, no tienen una política formal para dispositivos móviles.

Sin embargo, estos números podrían cambiar muy pronto. Un reciente reporte realizado por la firma Forrester encontró que alrededor de un 16 por ciento de las compañías que encuestó, planean considerar una estrategia de políticas de seguridad que cubran dispositivos móviles o wireless para el siguiente año.

Encontrando un Balance

Para estas compañías en proceso de escudriñó o bosquejo sobre una política de seguridad sobre dispositivos móviles, la llave es lograr una equilibrio razonable entre la productividad y la seguridad.

“Hay una compensación,” observa Enger. “Los CIOs piensan en la productividad del equipo personal, pero no piensan en la seguridad de los mismos”.

Maribel López de Forrest menciona, que las mejores prácticas de políticas son para las compañías que restringen a usuarios con pocos dispositivos. “Pero vamos a ser realistas”. “Los grandes huecos ocurren cuando el área de TI no permite a los ejecutivos quienes tienen la última versión del Treo o del Motorota Q conectarse a la red”. Esto de alguna manera forza a los empleados a evitar el sistema, por otra parte, y quien haya comprado un dispositivo móvil, este debe ser habilitado o registrado con el área de TI para obtener una conexión. Sin embargo, necesitan entender que el área de TI proveer sólo tiempo limitado de soporte.

López recomienda que una política de seguridad sobre dispositivos móviles debe contener tres elementos:

• Un marco de trabajo móvil:Quien puede tener un dispositivo-, ¿cuales dispositivos, sistemas operativos y aplicaciones serán soportadas-
• Seguridad:¿Cómo serán asegurados los dispositivos-, ¿Qué tan a menudo los usuarios serán reautenticados-, ¿Cuándo y cómo los dispositivos serán deshabilitados si estos llegan a ser perdidos-
• Administración de dispositivos y soporte:¿Cómo los dispositivos serán administrados, procurados y soportados-

Haciendo un reforzamiento una prioridad

Desgraciadamente, la más grandiosa política de seguridad sobre dispositivos móviles en el mundo no podrá proteger a una compañía si ésta no es reforzada. Otro estudio realizado el mes de agosto del 2006 por parte del Ponemon Institute reporto que el 41 por ciento de las compañías encuestadas no creían en la efectividad del reforzamiento de políticas sobre seguridad de datos funcionara.

Irónicamente, los problemas con el reforzamiento comenzaron hasta el tope.

“Los miembros del equipo ejecutivo son los peores delincuentes,” menciona Enger. Se han visto casos donde la compañía termina con doble estándar o política sobre dispositivos móviles, una para ejecutivos y otra para los demás.

Sin embargo, si el área de TI siguiendo pasos básicos, podría ayudar a reducir el número de empleados de cada parte de la organización tenga permitido o no el uso de PDAs y otros dispositivos.

Primero, ellos pueden bloquear las PCs corporativas para prevenir que los usuarios puedan instalar sus aplicaciones. Esto hace que el trabajo sea más duro para los empleados con dispositivos personales pueda sincronizar sus aparatos.Segundo, se puede deshabilitar los puertos USB sobre las PCs de la empresa. Esto evitará que los empleados puedan conectar sus dock stations y también prevenir el uso de memorias portables (USB), las cuales puedan ser usadas para copiar información sensible y llevársela fuera del edificio.

Finalmente, una de las estrategias más efectivas, no es una solución técnica Fuente: Damation  RCA/JLO