En el marco del 8º Congreso de la prevención de fraude y seguridad, organizado por Asobancaria, hablamos con Camilo Gutiérrez, Security Researcher de ESET, quien nos habló del panorama de la protección de la información de las empresas desde dispositivos móviles no solo en Colombia sino en Latam.
Aunque existen empresas que han incorporado modelos sólidos de protección de datos al interior de las organizaciones, aún existe una gran cantidad de compañías que no han realizado controles serios para evitar la fuga de información.
Según el más reciente estudio de ESET para Latinoamérica, el 42% de las empresas no tienen una política BYOD definida, y solo el 38% de las empresas analizadas realizan esporádicamente actividades de concientización a los miembros de su organización.
Gutiérrez hace énfasis de la importancia en que las empresas desarrollen programas de capacitación y aprendizaje para sus empleados y que ellos tomen conciencia de la importancia de salvaguardar información y así implementar medidas para pérdida de información fundamental en las organizaciones.
¿Cuáles son los principales errores que cometen las empresas para proteger la información desde dispositivos móviles?
Uno de los principales errores que estamos viendo en las empresas es que tienen desconocimiento de las amenazas o no le prestan el suficiente cuidado a este tipo de riesgos. Las amenazas las estamos viendo desde hace 10 años en los dispositivos móviles,
además, los empleados de las empresas no tienen un uso responsable y
adecuado de las amenazas porque no las conocen, no saben los riesgos a
los que están expuestos y descargan aplicaciones de repositorio, las
instalan sin mayores recaudos, sin verificar cuáles son los permisos, no tienen una solución de seguridad instalada en su dispositivo móvil, no están acostumbrados a actualizar las aplicaciones.
Todavía hay una conciencia por generar alrededor de los usuarios de este tipo de tecnología.
Es por eso que hay una falsa sensación de seguridad con los
dispositivos móviles, porque como los llevamos en nuestro bolsillo y los
llevamos siempre con nosotros, entonces muchas veces se piensa que no
les va a pasar nada, pero el tipo de información que estamos manejando
en los dispositivos móviles es muy importante, hay información, personal, laboral, financiera y por lo tanto los ciberdelincuentes se están enfocando en esa área.
¿Cómo protegerse?, ¿Es una tarea de los empleados, de las empresas o quién debe tomar las riendas de esta problemática?
Definitivamente, cuando la empresa decide darle permisos a sus
empleados para que manejen información laboral en dispositivos móviles,
que no son propios de la compañía sino de los empleados, deben tener en
cuenta que antes de hacer eso deben hacer campañas fuertes explicando cuáles son los riesgos a los que pueden estar expuestos, las formas que hay de protegerse, que si bien el dispositivo móvil es del usuario, le exijan algún tipo de medida de protección, mínimo una solución de seguridad,
porque está bien que sea el dispositivo móvil del empleado pero está
manejando información de la compañía, esto debe partir de una política
de seguridad de la empresa respecto al manejo de la información, lo importante es ser conscientes de los riesgos, si lo vamos a permitir hay que gestionarlo, si no lo vamos a permitir hay que controlar el manejo de los dispositivos.
Camilo Gutiérrez – Security Researcher ESET Latinoamérica
Entonces ¿hay que restringir la movilidad de la información de la empresa en los dispositivos de los usuarios?
Esa puede ser una solución, si el negocio de la empresa pide tomar dicha medida,
por ejemplo, el departamento contable, ¿qué tipo de información van a
tener que manejar si todo el tiempo están en la oficina? No es necesario
que manejen ese tipo de datos en dispositivos móviles, entonces la
política debe ser que no accedan a información de forma externa de la
compañía, así vamos a obtener controles que nos garanticen que las
personas del área contable no van a poder acceder a esa información,
pero la fuerza de ventas por ejemplo, que están todo el tiempo fuera de
la oficina, necesitan acceder remotamente a la información de la compañía, costos, precios,
etc, es más como para ellos poder acceder a la información desde su
smartphone en vez de tener que sacar todo el tiempo la laptop, pero
¿cómo a ellos se les va a dar acceso? entonces vamos a gestionar ese manejo, ¿a qué tipo de información van a acceder?, si van a acceder a toda la información, si la van a modificar, si solamente la van a poder leer, entonces las empresas deben gestionar ese acceso. En esa medida podremos garantizar la seguridad, si somos indiferentes es donde se van a empezar a crear los problemas.
¿Cuál es el panorama de Colombia respecto a la región en cuanto a la
prevención de fugaz de información que puede existir en dispositivos
móviles?
En materia general, en Colombia y en Latinoamérica es un tema en el que hay mucho por trabajar,
muchas de las empresas dicen sí me interesa la capacitación para
combatir este tipo de problemáticas, pero no tienen un programa regular,
lo hacen esporádicamente, son pocas las empresas que tienen un programa continuo enfocado a esa concientización a sus usuarios, todavía está bastante por trabajar, lo que hemos notado es que se enfocan más en controles de tipo tecnológico en tener antivirus, antispam, firewall y una gran cantidad de tecnologías, pero en esa parte de concientizar a los empleados todavía falta un camino por recorrer.
Luego de la entrevista con Camilo, queda como conclusión que sin lugar a dudas el panorama por recorrer es bastante amplio y el reto debe nacer desde las áreas IT de las organizaciones, prevenir es el primer paso para proteger la información de las organizaciones, si se pone en una balanza ¿es preferible invertir en prevención o en solución a un problema ya generado? Déjanos tu opinión en el área de comentarios de este post.
Imagen destacada @Johan Larsson, distribuida con licencia Creative Commons BY-SA 2.0
Equipo Editorial de Reportedigital.com | Su guía para la toma de
decisiones TIC en grandes corporaciones, empresas y organizaciones
públicas.
