Un jefe a su empleado: "Si vuelve a traer su notebook a la oficina, lo echo"
Blackberries, notebooks y demás dispositivos móviles abundan cada vez más en las oficinas corporativas. Por un lado, permiten una mayor flexibilidad para trabajar. Aunque también pueden ser serios riesgos.
En la actualidad, en los ámbitos de negocios e industria, se nota un incremento cada vez mayor en la utilización de dispositivos de tipo PDA (asistentes digitales personales) y otros que pueden enmarcarse bajo el concepto de Mobile Computing. Se trata de dispositivos móviles con menor capacidad de procesamiento que una PC, pero gran funcionalidad y fácil traslado.
Cada vez es más frecuente que los altos ejecutivos utilicen esta clase de herramientas para almacenar información confidencial como estrategias y presupuestos. La ventaja: flexibilidad para acceder a los sistemas y conectarse desde cualquier lugar.
Sin embargo, los riesgos también acechan. Estos dispositivos son pasibles de sufrir ataques que van desde una interferencia en las comunicaciones hasta agresiones directas como robos (con la consecuente sustracción de información confidencial).
Por otra parte, debido su naturaleza y funcionalidad, las PDA se encuentran fuera del alcance de los controles y políticas de seguridad informática que las organizaciones implementan para sus computadoras de escritorio.
Y, lo más alarmante: actualmente, la mayor parte de las compañías carece de políticas para sus dispositivos móviles. Cuando un ejecutivo conecta su PDA a la PC de la empresa, es probable que en la transmisión de información traspase un virus a su PC y, en consecuencia, a toda la red. Con lo cual echa por la borda la implementación de seguridad informática de la firma.
Ante este panorama, resulta imprescindible que desde el directorio hasta las áreas operativas se tome conciencia de los riesgos que trae aparejada la utilización de dispositivos móviles y que se adopte una serie de medidas para reducir riesgos:
1) Dar cuenta de la presencia de estos dispositivos y entender que la red de la organización está coexistiendo con ellos, lo que puede provocar la vulnerabilidad de la seguridad informática.
2) Esta toma de conciencia implica la definición de un ciclo de vida y administración de los dispositivos de "Mobile Computing" dentro de la compañía, de modo que se establezcan, por ejemplo, ciertas normas para dar de alta o de baja un PDA. Se deberá definir un procedimiento para permitir la conexión de ese equipo a la red.
3) Estas acciones se complementan con la generación una política de seguridad que establecerá qué información se puede guardar en una PDA y a cuál debe restringir o impedirse su ingreso.
El oficial de seguridad tecnológica de la empresa debe dirigir su atención sobre unos ítems específicos:
a) La comunicación que se establece entre dispositivos móviles y la red de la empresa debe utilizar un protocolo seguro que encripte la información, de modo que nadie pueda capturarla en el camino. También se deben utilizar contraseñas de difícil acceso.
b) Otro aspecto a tener en cuenta son las interfases, como el bluetooth, el wireless y los puertos USB. La empresa deberá definir cuáles se permitirá utilizar a sus empleados y cuáles se les bloqueará.
c) Las políticas de seguridad adoptadas deben plasmarse en algún software de control que verifique si el equipo cumple con dichas medidas antes de permitir su conexión a la red.
En definitiva, la administración y puesta en funcionamiento de un modelo de seguridad corporativo para los dispositivos de "Mobile Computing" es un largo camino por recorrer, un camino donde se requieren muchas mejoras, ya que por el momento existen sólo algunas soluciones para paliar los riesgos de su utilización. Es fundamental la concientización de la empresa, para que cuando se quiera implementar una solución no sea demasiado tarde.
Nicolás Ramos, Technology & Security Risk Services de Ernst & Young
En la actualidad, en los ámbitos de negocios e industria, se nota un incremento cada vez mayor en la utilización de dispositivos de tipo PDA (asistentes digitales personales) y otros que pueden enmarcarse bajo el concepto de Mobile Computing. Se trata de dispositivos móviles con menor capacidad de procesamiento que una PC, pero gran funcionalidad y fácil traslado.
Cada vez es más frecuente que los altos ejecutivos utilicen esta clase de herramientas para almacenar información confidencial como estrategias y presupuestos. La ventaja: flexibilidad para acceder a los sistemas y conectarse desde cualquier lugar.
Sin embargo, los riesgos también acechan. Estos dispositivos son pasibles de sufrir ataques que van desde una interferencia en las comunicaciones hasta agresiones directas como robos (con la consecuente sustracción de información confidencial).
Por otra parte, debido su naturaleza y funcionalidad, las PDA se encuentran fuera del alcance de los controles y políticas de seguridad informática que las organizaciones implementan para sus computadoras de escritorio.
Y, lo más alarmante: actualmente, la mayor parte de las compañías carece de políticas para sus dispositivos móviles. Cuando un ejecutivo conecta su PDA a la PC de la empresa, es probable que en la transmisión de información traspase un virus a su PC y, en consecuencia, a toda la red. Con lo cual echa por la borda la implementación de seguridad informática de la firma.
Ante este panorama, resulta imprescindible que desde el directorio hasta las áreas operativas se tome conciencia de los riesgos que trae aparejada la utilización de dispositivos móviles y que se adopte una serie de medidas para reducir riesgos:
1) Dar cuenta de la presencia de estos dispositivos y entender que la red de la organización está coexistiendo con ellos, lo que puede provocar la vulnerabilidad de la seguridad informática.
2) Esta toma de conciencia implica la definición de un ciclo de vida y administración de los dispositivos de "Mobile Computing" dentro de la compañía, de modo que se establezcan, por ejemplo, ciertas normas para dar de alta o de baja un PDA. Se deberá definir un procedimiento para permitir la conexión de ese equipo a la red.
3) Estas acciones se complementan con la generación una política de seguridad que establecerá qué información se puede guardar en una PDA y a cuál debe restringir o impedirse su ingreso.
El oficial de seguridad tecnológica de la empresa debe dirigir su atención sobre unos ítems específicos:
a) La comunicación que se establece entre dispositivos móviles y la red de la empresa debe utilizar un protocolo seguro que encripte la información, de modo que nadie pueda capturarla en el camino. También se deben utilizar contraseñas de difícil acceso.
b) Otro aspecto a tener en cuenta son las interfases, como el bluetooth, el wireless y los puertos USB. La empresa deberá definir cuáles se permitirá utilizar a sus empleados y cuáles se les bloqueará.
c) Las políticas de seguridad adoptadas deben plasmarse en algún software de control que verifique si el equipo cumple con dichas medidas antes de permitir su conexión a la red.
En definitiva, la administración y puesta en funcionamiento de un modelo de seguridad corporativo para los dispositivos de "Mobile Computing" es un largo camino por recorrer, un camino donde se requieren muchas mejoras, ya que por el momento existen sólo algunas soluciones para paliar los riesgos de su utilización. Es fundamental la concientización de la empresa, para que cuando se quiera implementar una solución no sea demasiado tarde.
Nicolás Ramos, Technology & Security Risk Services de Ernst & Young
0 comentarios