Reportaje publicado en “Search Data Center”

Gestionar y proteger correctamente los datos móviles es vital

05/10/2018

La protección en dispositivos móviles requiere políticas claras, concientización fuerte y constante de los empleados y controles de seguridad. Aquí le dejamos algunos consejos para proteger y gestionar los datos empresariales que se mueven en los dispositivos móviles.

El mundo actual es móvil. Una tendencia que ha impactado con enorme fuerza en el sector corporativo. Los empleados ya no están sujetos a un escritorio, sino que desarrollan sus labores diarias junto a smartphones, notebooks o tabletas. Y la información empresarial fluye velozmente a través de estos dispositivos. Una situación que plantea nuevos y urgentes desafíos en el terreno de la seguridad, para administrar y proteger correctamente los datos del negocio.

En este escenario, la seguridad para ambientes móviles sigue siendo un aspecto vital sobre el cual invertir en políticas y tecnologías adecuadas, y así surgen soluciones como la gestión de accesos e identidades móviles (Mobile Identity & Access Management), el control y protección de información móvil (Mobile Information Protection and Control), la gestión de vulnerabilidades y seguridad móvil (Mobile Security and Vulnerability Management) y la respuesta de puntos finales (Endpoint Response).

En este sentido, un estudio realizado por IDC, “Latin America Cybersecurity Report 2017”, determinó que el 59% de los entrevistados indicó que no tiene planes de inversión en soluciones específicas de seguridad para ambientes móviles en América Latina. Una visión que, sin duda, debe ser enfrentada.

Marcelo Díaz, gerente general de Makros, sostiene que la situación es hoy bastante precaria en general. “Quizás en grandes multinacionales o corporaciones el tema está más maduro, pero en lo que es el genérico de las compañías en Chile, es muy pobre. Muy pocas organizaciones han logrado ver y entender el impacto de los datos y su seguridad en los dispositivos móviles, tanto al interior de la compañía, como fuera. Esto, porque los trabajadores no sólo utilizan los dispositivos que entrega la empresa, sino también los suyos propios. Más aún, si una persona ajena a la empresa llega y pide conectarse al WiFi, en la mayoría de los casos se le entrega la clave sin problema”, dice.

De acuerdo con Díaz, no existe, en la mayoría de los casos, una política de seguridad y protección de datos concreta. “En el mercado existen herramientas para gestionar y controlar datos móviles, MDM y EMM, pero no las usan. Google tiene algunas políticas de seguridad, pero muchos no las usan. El foco de atención deben ser los datos y para ello es necesaria una estrategia, personal especializado, herramientas y soluciones adecuadas que permitan saber dónde están los datos relevantes para la empresa, cuantificarlos, gestionarlos, controlarlos y protegerlos”, destaca.

Por su parte, Leonardo Carissimi, director de soluciones de seguridad de Unisys para América Latina, sostiene que la protección de datos es un desafío cada vez más grande para las compañías. Además de los riesgos inherentes al manejo de datos propiamente dicho, se percibe claramente la tendencia de crecimiento de regulaciones alrededor de datos personales en diversos países.

“No hay duda de que los dispositivos móviles representan un aumento de las posibilidades de ataque. Representan millones de nuevos puntos para fuga y robo de información, así como para accesos no autorizados. Por ello es más sencillo encontrar en ellos fuertes controles de seguridad como biométricos, no obstante hace falta más control de malwares, así como el uso de cifrado para envío de datos en muchos casos”, comenta Carissimi. Agrega que otra debilidad común en la actualidad se encuentra en las propias aplicaciones móviles. “Por el tema de agilidad y presión del negocio, las aplicaciones son desarrolladas con rapidez, dejando de lado muchas veces el tema de seguridad pues no se consideran todos los aspectos de seguridad en el proceso de desarrollo. Algunas compañías confunden desarrollo ágil con desarrollo sin seguridad, y se meten en altos riesgos sin percibir”, manifiesta.

Los expertos señalan que en los últimos años, muchas compañías se han visto forzadas a implementar estrategias de BYOD, lo que significa generar una convivencia de una gran diversidad de plataformas móviles en las redes corporativas. Estos dispositivos pasan igual o más tiempo fuera de la red corporativa, no siempre en manos del propio empleado, haciendo más compleja la tarea de las áreas de TI y seguridad de las empresas, que deben asegurar la disponibilidad, integridad y confidencialidad de la información de las empresas, sus colaboradores y sus clientes.

“En este escenario, cada vez más compañías están dejando de ocupar sistemas de correo tradicional (on-premises) como Exchange y servidores de archivo departamentales para empezar a ocupar soluciones como Office 365, en donde todos los aspectos de colaboración residen en la nube, tanto email, como mensajería, además de archivos personales y compartidos, los cuales pueden ser accedidos desde múltiples sistemas operativos de computador y móviles”, explica Javier Romano, director regional de Tecnología de SONDA.

Esta tendencia impone nuevos desafíos a las áreas de TI y sus proveedores, quienes deben habilitar nuevas soluciones en tiempo ágil, de forma segura, para que los usuarios no salgan a resolver sus problemas de forma personal, en donde se da el espacio para la TI en las sombras. Finalmente, expresa Romano, “estos escenarios más diversos con poco estándar y de gran complejidad dificultan asegurar los ambientes corporativos ante la entrada de agentes externos como virus, secuestro de datos, y peor aún, la fuga o pérdida de información sensible de la compañía, sus empleados y de sus clientes, que es uno de los grandes problemas que enfrentan las empresas hoy en día.”

Cómo proteger y gestionar los datos empresariales en dispositivos móviles

Carlo Dávila La Rosa, analista sénior de IDC Perú & Latin América, advierte que las organizaciones necesitan incluir sus iniciativas de movilidad dentro de la definición de sus Planes de Respuesta a Incidentes, considerando la inversión en soluciones de seguridad móvil específicas, y tomando provecho de capacidades de inteligencia artificial y aprendizaje automático (machine learning) e incluyendo una capa de servicios de analítica. “La inversión en una solución en un modelo de plataforma como servicio puede contribuir también a reducir el impacto asociado a costos de administración, y la necesidad de profesionales altamente capacitados que son escasos en el mercado”, resalta.

El principal consejo sería aprovechar las herramientas de gestión de dispositivos móviles (MDM) que existen en el mercado, así como soluciones de IRM (Information Rights Management) para proteger la información itinerante, aconseja Francisco Javier Caldera, docente de la Escuela de Informática y Telecomunicaciones de Duoc UC.

Dichas herramientas permiten administrar las aplicaciones que podrán ser utilizadas en un dispositivo móvil de forma segura, como el correo electrónico, asegurando encriptación y filtros avanzados de seguridad antispam entre otros. Además, permitirá tener el dispositivo geolocalizado, realizando borrados remotos de la información en caso de extravío o robo, logrando así proteger los datos a pesar de perder el dispositivo. “Por otro lado, es posible hoy en día controlar quién, cuándo y cómo puede acceder a determinada información. Esto, independiente de que el archivo se transporte por una memoria extraíble o por un medio en la nube”, dice Caldera.

El académico explica que el administrador de una plataforma IRM podrá indicar a partir de cuándo alguien tiene acceso y cuándo deja de tenerlo. “Pensemos por ejemplo cuando es necesario desvincular a alguien de la empresa. Estas herramientas son sumamente útiles y hay soluciones potentes que pueden funcionar dando garantías y ayudando a la sociedad actual que cada vez más hace que el perímetro de la red corporativa se vaya ampliando. Soluciones como AirWatch de VMWare, MobileIron, XenMobile de Citrix y System Manager de Cisco Meraki, están a la cabeza según el cuadrante mágico de Gartner. Por lo tanto, podemos decir que hay seguridad para la movilidad, pero es necesaria también la conciencia de la seguridad en la vida empresarial”, expresa.

Finalmente, Leonardo Carissimi, director de soluciones de seguridad de Unisys para América Latina, nos explica que el primer reto es identificar cuáles datos son recolectados, transmitidos, procesados y almacenados, donde están, qué controles de seguridad ya existen y qué riesgos representan para el negocio. Esa evaluación debe ser hecha en diferentes plataformas, como centros de datos, computadores, la nube y en dispositivos móviles.

Carissimi advierte que si uno no tiene visibilidad de qué datos maneja y de los riesgos asociados a los mismos, pierde el control de la su seguridad: “El tema de protección en dispositivos móviles requiere políticas claras, concientización fuerte y constante de los empleados, y controles de seguridad. Eso se es un poco más fácil cuando los dispositivos son de la compañía. Sin embargo, las políticas de BYOD representan un reto adicional. Los empleados tienen que aceptar qué controles de seguridad de la compañía sean implementados en sus dispositivos, para que tengan acceso a correo electrónico, aplicaciones, o a los mismos archivos corporativos a través del uso de recursos de nube”.

 

Entre los controles que indica deben ser implementados se encuentran: conexiones seguras para transmisión de datos (VPN o SSL dentro de la propia aplicación); autenticación fuerte, con tokens o biometría; protección contra malware y criptografía de archivos. “Pero también es importante observar la importancia de que las aplicaciones sean desarrolladas teniendo Security By Design, o sea, la seguridad como un principio y haciendo parte de todo el proceso de desarrollo. Desde la fase de análisis de requerimientos, toca identificar la naturaleza de los datos manejados, qué tan sensibles son, y diseñar la aplicación con controles de seguridad nativos para protegerlos en todo su ciclo de uso”, cierra.

Reportaje publicado en: "Search Data Center"