Uno de los principales focos de seguridad en los que deben trabajar las empresas es en la seguridad de los dispositivos móviles por parte de los empleados. Muchas de las organizaciones no han tomado consciencia del riesgo que trae para la compañía la mala gestión de los móviles. ¿Cómo enfrentarlo?
Hablamos con Diego Samuel Espitia, profesional desarrollo de negocios B2B – Seguridad digital en Telefónica Movistar, explica algunas recomendaciones para que la empresas y sus empleados puedan proteger la información de la organización.
Reporte Digital: ¿Qué tipo de estrategias hay que tener en cuenta a la hora de proteger la información en las grandes empresas?
Diego Espitia: Fuera de estrategias técnicas y tecnológicas de seguridad, lo que se tiene que implementar es conciencia y cultura del manejo
de la información. Por más de que se implemente cualquier número de
tecnologías, si las personas siguen usando contraseñas simples o siguen
descargando programas o aplicaciones desde cualquier sitio, toda la seguridad va a ser insuficiente para controlar los ataques o controlar los riesgos.
RD: ¿Qué tips deben tener en cuenta las empresas
para conocer posibles puntos de fuga de información por responsabilidad
de los empleados?
DE: Existen varios mecanismos tecnológicos que permiten controlar a qué acceden los empleados, como tal una empresa no puede ver qué está haciendo los empleados con los equipos de la organización, porque la ley de la privacidad de la información 1581 de 2012 evita que las empresas puedan realizar ese tipo de análisis.
Lo que si se puede hacer es tener elementos tecnológicos, por ejemplo, para el control de dispositivos móviles se pueden usar MDM’s que son unos servicios especiales que te permiten gestionar y controlar las configuraciones y los accesos en los dispositivos móviles. Para redes internas hay elementos que te permiten hacer lo mismo como proxys o controladores de navegación.
RD: ¿Qué tipo de riesgos son ocasionados por los empleados a la hora de proteger la información de una empresa?
DE: La mayoría de las empresas están permitiendo que
los empleados conecten sus dispositivos móviles personales o sus
computadores a la red de la organización, a esto lo denominamos BYOD (Bring your own device)
Esto lo que genera es que las personas no tienen el control suficiente
sobre la seguridad de sus dispositivos tanto móviles como portátiles, al
conectarlos a la red corporativa están generando virus, propagando malware, lo que permite accesos ilegales a la red de la organización, esto pone en riesgo a la grandes empresas.
RD: ¿Qué tips hay que tener en cuenta para que los empleados y las empresas puedan proteger la información en dispositivos móviles?
DE: Las siguientes son las recomendaciones más importantes:
- Revisar las aplicaciones que se descargan a los dispositivos:
todas las aplicaciones sin importar la plataforma, sea iPhone, Android o
Windows tienen una lista de permisos que son gestionados por los
usuarios. Por ejemplo, hay aplicaciones que funcionan como linterna,
pero se le dan permisos para que prenda el micrófono o el GPS, entonces se le está dando acceso completo al dispositivo.
- No realizar a los dispositivos lo que se conoce como rutear o como Jailbreak en móviles. Eso es quitarle toda la seguridad al equipo y permitir al delincuente o quien lo está haciendo le introduzca malware, puertas traseras o robos de información al dispositivo.
- Hay que saber qué se sincroniza de la información del dispositivo en la nube: Todos los dispositivos se sincronizan con la nube, iPhone se sincroniza con iCloud, Android con Drive, Windows se sincroniza con One Drive; por defecto todos los dispositivos mandan a la nube toda la información.
Muchas veces las cosas que se creen que se han borrado del dispositivo
siguen alojadas en la nube y esos backups pueden almacenar hasta 5 años.
Esta información que se creía borrada se puede encontrar en sitios que pueden ser públicos.
RD: Aproximadamente en una empresa ¿Qué porcentaje
de dispositivos móviles pueden convertirse en una puerta de entrada a
ciberdelincuentes?
Depende en gran medida de las aplicaciones que se tengan en el dispositivo, desafortunadamente por falta de conocimiento y de cultura fácilmente más del 50% de los dispositivos móviles tienen algún software que pueden poner en riesgo la información.
RD: ¿Cuál es el principal error que comenten los empleados de las empresas en cuanto a seguridad?
DE: El más común es no tener en cuenta los permisos de las aplicaciones y lo que realmente están instalando en los dispositivos.
Pero además, cuando se extravía o se cambia el dispositivo, nunca
cambian las contraseñas de las aplicaciones que tenían en esos
dispositivos.
RD: ¿Qué tipo de soluciones ofrece Movistar para proteger los dispositivos de los empleados de una empresa?
DE: En Movistar hay un servicio que se llama SMDM que es una plataforma donde la empresa puede portar sus políticas de control,
seguridad y navegación que tienen en su red normal a sus dispositivos
móviles. Además de gestionar directamente los dispositivos móviles,
geolocalizarlos, hacer carga de aplicaciones en línea, eliminarlos
remotamente cuando el dispositivo haya sido robado o demás características de control que se puedan tener con los dispositivos.
RD: ¿Qué diferencia y ventajas trae este SMDM frente a otros del mercado?
DE: La solución de Movistar es totalmente en la nube por lo que las empresas podrán tener disponibilidad todo el tiempo, esta diseñado no para ser un SMDM normal
sino para ser empresarial Enterprise en donde todas las funciones de la
organización se pueden incorporar, en donde puedes hacer una conectividad y una correlación con las políticas de la empresa
de manera fácil, además de integrarlo con los sistemas de autenticación
de la organización y donde el control y gestión se le entrega al equipo
de TI quienes pueden de forma muy simple, controlar accesos, borrar
información.
Imagen: @Johan Larsson, distribuida con licencia Creative Commons BY-SA 2.0
