Como recordarán, hace algunos años los empleados de las empresas utilizaban sus equipos de cómputo sólo en el trabajo. No hace falta decir que estos equipos eran propiedad de la empresa y eran administrados exclusivamente por el departamento de sistemas.
Con la llegada de las laptops cada vez fueron más los empleados que las utilizaban y, algunas de éstas, podían pertenecer a la empresa o al mismo empleado, lo que dio como resultado que el personal de sistemas tuviera que instalar VPNs y diferentes tipos de software de seguridad.
No obstante, en la actualidad las cosas son muy diferentes. Debido a que equipos, como los teléfonos celulares inteligentes – conocidos como smartphones – son cada vez más rápidos y más accesibles, los empleados traen consigo poderosas computadoras de bolsillo, las cuales son utilizadas tanto para asuntos personales, como para asuntos relacionados con el trabajo, lo cual representa nuevos retos y consideraciones para los departamentos de sistemas.
Hoy en día los smartphones permiten descargar aplicaciones de uso personal, pero a la vez ofrecen la posibilidad de almacenar datos corporativos, con lo cual, si el equipo llega a perderse la información sensible que contiene representa una grave vulnerabilidad para la compañía. Y esto no es un caso exclusivo de los teléfonos, pues lo mismo aplica para las netbooks o la nuevas tabletas.
Cabe señalar que se estima que a nivel mundial durante 2010 se vendieron alrededor de 297 millones de smartphones – 72% de crecimiento con respecto a 2009 -, lo cual representa el 19% de las ventas totales de teléfonos. Y se espera tener un crecimiento por encima del 20% para 2014.
Con tantos empleados teniendo acceso a datos corporativos, desde diferentes lugares y en cualquier momento, desde sus dispositivos personales ¿cómo pueden los departamentos de sistemas administrar adecuadamente la seguridad de estos equipos de forma efectiva? ¿Qué tan delicado es este asunto?
Como una tendencia la compra de smartphones y tablets (considerados como smartphones de mayor tamaño) está siendo impulsada por los empleados que adquieren este tipo de dispositivos para uso personal como juegos, redes sociales, fotos, videos, etcétera y, como se mencionó, buscan usarlos también para manejar cierto tipo de información del trabajo. No obstante, son pocas las empresas que están realmente evaluando las características de seguridad de los diferentes tipos de smartphones que existen en el mercado, con la finalidad de encontrar el más adecuado a las necesidades de la empresa y empleados y del cual puedan tener un mejor control.
Existen un gran número de riesgos asociados a este tipo de equipos, empezando por el más común que es la pérdida del dispositivo y con esto la pérdida de toda la información – personal y laboral -; en segundo lugar, está la gran cantidad de aplicaciones que se pueden instalar (se estima que en 2010 se vendieron 10.9 billones de aplicaciones y se espera que para 2014 esta pueda crecer a 76.9 billones) ya que los controles y filtros que existen son muy limitados.
Por lo anterior, es muy importante que los usuarios tengan acceso a su información a través de un acceso remoto seguro, el cual pueda proteger el tipo de información que el usuario está consultando mientras accede a los recursos corporativos como ERPs, CRMs, correo electrónico, aplicaciones desarrolladas por las empresa, etcétera, y que estos usuarios puedan ser identificados como aquellos que tienen los accesos y permisos correspondientes para hacer uso de estos dispositivos. Estos usuarios normalmente se encuentran en las aéreas de ventas, ingeniería, soporte, dirección y cuentas por cobrar, aunque no esta limitado a estos departamentos específicos.
Las principales recomendaciones que se pueden hacer a los departamentos de sistemas, para mantener segura la información cuando las empresas dan acceso a los usuarios móviles, son:
1. Tener un sistema de Acceso Remoto Seguro (VPNs de SSL) para que la información este protegida en el aire.
2. Obligar el uso de contraseñas para bloquear los equipos; así en caso de pérdida o robo, la información no estará disponible para la persona que tiene el equipo.
3. Instalar un sistema para poder borrar el dispositivo de forma remota.
4. Tener un sistema de encripción de la información para el smartphone o tableta.
5. El departamento de sistemas debe poder administrar cualquier dispositivo que tenga acceso a las redes de empresa y los datos. Esto debe hacerse, por supuesto, respetando la privacidad del usuario.
6. La compañía debe aplicar las políticas habituales de uso de la Web a los dispositivos personales, cuando estén siendo utilizados en el trabajo.
7. La empresa debe ser capaz de controlar el uso, cuando el dispositivo se esté utilizando en la red de la compañía o en sus oficinas. También debe tener la opción para restringir el acceso a los datos corporativos si es necesario.
Algo que se debe tomar en consideración es que no todos los smartphones son iguales, por lo que cada fabricante tiene sus propios procesos para asegurar sus equipos – a veces de una manera más fácil o compleja – , por lo que es importante evaluar a detalle, cada dispositivo, sus funciones y así poder elegir la mejor opción.
A los empleados móviles se les recomienda que ya sea por política corporativa o simplemente por estar a la moda con el nuevo smartphone del mercado, tengan perfectamente identificadas las aplicaciones de uso corporativo y de uso personal e instalen aquellas que provienen de sitios 100% recomendados por el fabricante, ya que estos aplican algunos filtros o pruebas para evitar que algún tipo de malware se agregue a estas aplicaciones. Es recomendable proteger el dispositivo con una contraseña, para que de esta forma no se comprometa la información, en caso de extravío.
También es de vital importancia utilizar contraseñas diferentes para las aplicaciones o accesos
a recursos personales o corporativos, que sean complejas – pero que sean fáciles de recordar -, usando mayúsculas, minúsculas y números, de esta forma serán más difíciles de adivinar, y así dejan como única opción para reutilizar el smartphone o tablet, el borrado total de la información del dispositivo. Recordemos en todo momento que una vulnerabilidad, por pequeña que sea, puede poner en riesgo la operación total de la empresa.