Las siete buenas prácticas de la seguridad móvil empresarial
Los expertos de seguridad de la información son aficionados a un cierto lenguaje que utilizan para explorar y explicar los retos de seguridad a los que se enfrentan las compañías y organizaciones. Una noción particularmente interesante de ese léxico es el de "superficie de ataque", que identifica un punto potencial de ataque a la información o activos financieros de uno, a la propiedad intelectual o a la capacidad de llevar el negocio.
- Descubren una brecha de seguridad en Internet Explorer
- Nuevas soluciones de seguridad de G Data
- El 80% de las empresas europeas cree que la ciberseguridad no es una prioridad
- La seguridad de las cuentas, lo más importante para los clientes de las entidades financieras
- Ciberseguridad y ataques dirigidos: el nuevo entorno de amenazas
Porque cualquier ataque exitoso conlleva la posibilidad de una pérdida financiera, legal o una infracción regulatoria o daño a la reputación, las mejores prácticas para gestionar superficies de ataque son las que limitan la exposición a accesos no deseados o no invitados, imponiendo lo que se denomina a menudo “defensa en profundidad”. Esto requiere la construcción de múltiples capas de protección alrededor de los activos valiosos, de forma que si una capa es violada, los malos no tienen acceso automáticamente a la cámara del tesoro.
Todo esto hace que la seguridad para los dispositivos portátiles sea a la vez importante y fastidiosa. Cuanto más utilicen dispositivos portátiles los empleados para acceder a los sistemas, aplicaciones y datos de la empresa, más importante es la protección de tales accesos. Es más, es esencial prevenir que los dispositivos portátiles que se suponen incrementan la productividad y el beneficio empresarial, puedan abrir medios de acceso no autorizado a la información y otros activos, convirtiéndose así en un peligro para la organización.
Dado que los dispositivos portátiles son inherentemente objetivos móviles que se utilizan fuera del perímetro de la organización, y por lo tanto fuera de sus sistemas y herramientas de gestión de amenazas y filtrado de contenidos, es vital la aplicación de una batería de mejores prácticas para la utilización de estos dispositivos portátiles que permita reducir el riesgo y la pérdida al mínimo. Como cualquier experto en seguridad dirá, hay, no obstante, una fina línea entre lo que es la suficiente seguridad para mantener las cosas seguras y protegidas, y una capa asfixiante de seguridad que se interponga entre la gente y el trabajo que tienen que realizar.
Aunque sea un reto y traiga algunos costes adicionales, la siguiente lista de buenas prácticas de seguridad móvil puede ayudarle a proteger los dispositivos portátiles y a sus usuarios de una exposición no deseada o a una revelación no autorizada de la propiedad intelectual, secretos comerciales o ventajas competitivas de la empresa u organización. Algunas de estas prácticas tienen como fin asegurar los dispositivos portátiles en sí, mientras que otras persiguen proteger los datos y aplicaciones que los usuarios móviles necesitan acceder. Todos ellas ayudan a reducir el riesgo de pérdida o daño a su compañía u organización.
1. Los dispositivos portátiles necesitan software antimalware
Una rápida mirada a las nuevas amenazas de malware descubiertas, muestra que los sistemas operativos móviles como iOS y (especialmente) Android, se están convirtiendo rápidamente en objetivos preferentes para el malware, de la misma forma que Windows, MacOS y Linux lo han sido durante años. Cualquiera que desee utilizar un dispositivo portátil para acceder a internet debería instalar y actualizar software antimalware para su teléfono o tableta. Esto se duplica para cualquiera que utilice tal dispositivo para el trabajo.
2. Asegure las comunicaciones móviles
La mayoría de los expertos recomiendan que todas las comunicaciones de dispositivos portátiles sean encriptadas, simplemente porque las comunicaciones móviles son tremendamente sencillas de interceptar. Esos mismos expertos van un paso más allá y recomiendan que cualquier comunicación entre un dispositivo portátil y una compañía o sistema o servicio basado en la nube, requiera la utilización de una VPN para que el acceso sea permitido. Las VPNs no solamente incluyen una fuerte encriptación, sino que ofrecen oportunidades para gestionar y autenticar a los usuarios que deseen utilizar un dispositivo portátil para acceder a las aplicaciones, servicios o sistemas remotos.
3. Requiera una potente autenticación, y utilice controles por contraseña
Muchos dispositivos portátiles modernos incluyen opciones de seguridad local, tales como escáner de huellas, reconocimiento facial, reconocimiento de voz, etc., pero incluso los dispositivos más antiguos funcionan con pequeños sistemas de seguridad, tales como contraseñas de un solo uso enviadas por diferentes medios como email, sms o contestadores automáticos. Más allá de una simple cuenta y contraseña, los dispositivos portátiles deberían ser usados con múltiples formas de autenticación para asegurar que la posesión de un dispositivo no facilita el acceso automático a información o sistemas importantes.
Igualmente, hay que instruir a los usuarios a activar y utilizar contraseñas para la utilización de sus dispositivos portátiles. Las compañías u organizaciones deben considerar si el peligro de pérdida y exposición significa que un número determinado de intentos fallidos de entrada pueda causar que el dispositivo borre su almacenamiento interno. Los sistemas más modernos incluyen la capacidad de borrado remoto de un teléfono o tableta, pero los sistemas de gestión de dispositivos portátiles pueden incorporar también esa capacidad a los dispositivos más antiguos.
4. Controle los programas de terceros instalados
Las compañías u organizaciones que facilitan dispositivos portátiles a sus empleados, deberían establecer políticas que limiten o bloqueen la utilización de software de terceros. Esta es la mejor forma de prevenir posibles violaciones de seguridad resultantes de la instalación intencional o no de software maligno repleto de puertas traseras que facilite acceso a la información a manos equivocadas.
El camino más seguro es requerir que los usuarios se registren en un entorno de trabajo virtual remoto. Entonces, la única información que puede instalarse en el dispositivo portátil es el necesario para los sistemas y aplicaciones de trabajo, y los datos no se mantienen una vez que la sesión haya terminado. Como el acceso remoto se realiza por conexiones VPN, las comunicaciones son también seguras, y las compañías pueden y deben implantar políticas de seguridad que impidan la descarga de archivos a dispositivos portátiles.
5. Cree puertas de entrada seguras y separadas para los dispositivos móviles
Es importante entender qué tipo de utilización y qué sistemas y aplicaciones necesitan acceder los usuarios móviles. Dirigir el tráfico móvil a través de puertas especiales con barreras y controles de entrada específicos, tales como filtros de protocolos y de contenido, y herramientas de prevención de pérdida de datos, permite mantener a los usuarios enfocados en qué se puede y debe hacer cuando se está fuera de la oficina. Esto también permite proteger otros activos más valiosos que no necesitan ser accedidos de ninguna forma desde dispositivos portátiles.
6. Seleccione, o requiera, dispositivos portátiles seguros, que ayuden a los usuarios a bloquearlos
Los dispositivos portátiles deberían ser configurados para evitar redes inalámbricas no seguras, y Bluetooth debería ser en forma no descubierta. De hecho, cuando no esté en uso activo para auriculares o cascos, Bluetooth debería estar siempre desactivado. Prepare una configuración recomendada para los dispositivos portátiles personales que se utilicen en el trabajo, e implante dichas configuraciones antes de que los usuarios empiecen a trabajar con sus dispositivos.
7. Realice auditorías periódicas de seguridad móvil
Al menos una vez al año, las compañías y organizaciones deberían contratar a una compañía reconocida de pruebas de seguridad, para auditar su seguridad móvil y realizar pruebas de penetración en los dispositivos portátiles en uso. Estas firmas pueden también ayudar a mitigar y remediar cualquier problema que puedan descubrir, como ocurre a veces. Contrate profesionales para que hagan a sus dispositivos lo que los malos van a tratar de hacer antes o después, y así podrá protegerse de las amenazar que puedan representar.
La Seguridad, sea móvil o de cualquier tipo, es un estado mental
Aunque la seguridad móvil pueda tener características o retos especiales, es toda ella parte de la infraestructura de seguridad que hay que tener instalada para proteger a sus empleados, a sus activos y en último término su reputación y misión de negocio. Dando los pasos apropiados para salvaguardar y mitigar los riesgos, sus empleados podrán aprovechar los increíbles beneficios que los dispositivos portátiles pueden traer a su entorno de trabajo.
(Ver texto original en inglés)
