| Artículos | 21 ABR 2008

En busca de una fuerza de trabajo móvil, pero protegida

CIO

El crecimiento de las fuerzas de trabajo móviles, unido a la aparición de nuevos dispositivos que dan a los empleados acceso a Internet desde cualquier lugar, ocasiona a menudo auténticas pesadillas a los responsables de seguridad corporativa. Muchos de ellos se sienten impotentes ante la cada vez mayor pérdida de control sobre qué dispositivos utilizan los empleados de sus empresas para realizar su trabajo.

Dado que los dispositivos móviles tienden a disminuir su tamaño físico, aumentando al mismo tiempo sus capacidades lógicas, los empleados tienen cada vez más fácil transportar con ellos grandes cantidades de valiosa información corporativa allá donde vayan. Por ejemplo, los teléfonos celulares multiuso de hoy en día pueden almacenar hasta 2 GB de datos en una tarjeta extraíble miniSD (Secure Digital). Además, los iPhones, los BlackBerrys y los laptops, cada vez más habituales entre los trabajadores, no dejan de constituir soportes igualmente móviles, cargables con datos corporativos y susceptibles de ser extraviados e incluso robados.

Estos dispositivos móviles no dejan de representar nuevas fronteras de las redes corporativas, haciendo sus límites a menudo difusos, cambiantes e impredecibles. Además, los controles de seguridad en tales dispositivos suelen ser un desastre”, según asegura Matthew E.Luallen, presidente de Sph3r3, firma de consultoría especializada en seguridad. “La seguridad TI empresarial no ha sabido mantenerse ni mucho menos a la altura de las nuevas circunstancias”, afirma Luallen.

Entre los principales motivos de la actual indefensión de las redes empresariales cabe destacar la excesiva facilidad para utilizar e infiltrar configuraciones por defecto sobre dispositivos móviles, así como el hecho de que la mayoría de sistemas de archivos móviles no estén aislados, de forma que, cuando un área resulta afectada, la totalidad del dispositivo queda comprometida. La situación se agrava aún más por la dificultad de administrar e imponer parches de seguridad sobre la generalmente heterogénea miríada de terminales móviles existente en muchas empresas.

Dos tipos de riesgos: datos y accesos
Antes de desarrollar una estrategia corporativa de seguridad móvil, hay que tener presente que existen dos áreas diferentes a las que pueden dirigirse las amenazas móviles: los datos y los accesos. En consecuencia, conviene prestar especial atención, por una parte, a la protección de los datos almacenados en el dispositivo y, por otra, a la prevención de accesos Web maliciosos a las redes corporativas a través de los dispositivos móviles, en caso, por ejemplo, de robo intencionado. Ambos aspectos exigen un enfoque direrenciado.

Uno de los objetivos más compartidos de la industria es la reducción del tamaño de los móviles. Esto puede ser una ventaja en muchos sentidos, pero dado que se trata de terminales cada vez más pequeños, “es probable que ni siquiera dispongan de la potencia de procesamiento u otros recursos necesarios para proteger los datos”, argumenta Luallen. Los teléfonos celulares, por ejemplo, carecen de la potencia de procesamiento suficiente para soportar herramientas de encriptación efectivas. Algunas soluciones de software de encriptación para teléfonos móviles pueden llegar a tardar hasta diez minutos en codificar los datos. “Algo que, precisamente, entra en conflicto con lo que generalmente se pretende ofrecer a la fuerza de trabajo móvil: facilidad de uso, comunicación en tiempo real y rendimiento”.

Quizá haya quien considere innecesaria la aplicación de técnicas de encriptación si no se transportan datos personales. Puede pensarse que existen pocas probabilidades de que un laptop, PDA o teléfono celular perdido caiga finalmente en manos de algún competidor que pueda utilizar en su propio beneficio la información sensible corporativa. Sin embargo, tal probabilidad aumenta de forma exponencial si la pérdida se produce en determinadas circunstancias; por ejemplo, en una feria sectorial o en una conferencia de negocio. “Si alguien extravía su disco duro o su disco flash en tales lugares, las posibilidades de que alguien lo recoja y decida aprovechar la ocasión para conseguir información de su competidor no son demasiado remotas”, advierte Jack Gold, presidente y analista principal de J. Gold Associates.

“Las empresas y los trabajadores que transportan móviles deben ser conscientes de que en tales casos estarán perdiendo activos”, subraya también Luallen. “Por tanto, resulta esencial que los protejan para que nadie más pueda leerlos. También deben estar seguros de que existe copia de la información en algún lugar siempre bajo su control”.

En cualquier caso, la mayoría de los analistas de seguridad coinciden en recomendar algunas prácticas de seguridad más o menos básicas para proteger los dispositivos móviles de los empleados de robos, hackers y pérdidas.

Control sobre la información que sale de la empresa
En primer lugar, el departamento TI debería controlar siempre la información que atraviesa las fronteras físicas de la empresa; es decir, la naturaleza de los datos que de ella salen. “Ha de empezarse tratando estos dispositivos móviles de la misma manera en que se trataría a un PC”, subraya Stacy Sudan, analista de investigación para software empresarial móvil de IDC. “En realidad es lo que son: miniordenadores. Y, por tanto, resulta imprescindible gestionarlos como tales. Nadie cuestionaría que la seguridad constituye una de las partes esenciales de la gestión de los ordenadores”. Un enfoque adecuado en este punto pasará por centralizar una estrategia de seguridad móvil, coherente con la estrategia de seguridad corporativa global e integrada con ella.

También resultará imprescindible identificar a qué información se está accediendo desde los móviles, etiquetarla según los casos como sensible o “no-clasificada” y después controlar en consecuencia su difusión. Por ejemplo, Craig Shumard, CISO (Chief Information Security Officer) de la firma estadounidense de seguros de salud Cigna, utiliza un software de acceso basado en roles de Aveksa para determinar quienes de los 27.000 empleados de la compañía pueden conseguir acceso a los varios cientos de sistemas que contienen información sensible sobre salud y datos financieros de los clientes, protegidos por la normativa HIPAA y otras regulaciones de Estados Unidos.

“Restringimos el acceso a los recursos a todas las máquinas de Cigna,

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información