HPE entre los líderes de almacenamiento de Gartner
Si usted es el CIO de una gran empresa, o de una pequeña, es muy probable que esté viendo cómo crece de forma constante el número de empleados que utilizan sus teléfonos inteligentes y tablets para trabajar. Así que ponga atención.
La ventaja de esta tendencia es que la gente pude ser más productiva si utiliza dispositivos móviles con los que se sienta cómoda para acceder a los datos corporativos, colaborar con sus colegas y comunicarse con los clientes. Pero la movilidad también conlleva algunos riesgos.
Los ejecutivos de TI precavidos están planteando estrategias para administrar los riesgos y beneficios de la movilidad en sus organizaciones. Más de la mitad (52 por ciento) de los 334 ejecutivos de TI que respondieron a la encuesta 2013 Forecast de nuestra publicación hermana Computerworld, dijeron que están reforzando la administración del riesgo móvil, y más de una tercera parte (38 por ciento) dijeron que están buscando ayuda de proveedores externos.
Pero los resultados también muestran que muchas organizaciones no han adoptado aún una estrategia formal para administrar los dispositivos móviles. Sólo 46 por ciento de los encuestados dijeron que cuentan con un plan para ello.
Las compañías que han lanzado estrategias móviles están afrontando los riesgos. Chicopee Savings Bank de Chicopee, Mass., con varias sucursales en el estado, comenzó a desplegar teléfonos inteligentes Windows hace casi cinco años y desde entonces ha cambiado a dispositivos Android.
“En un principio implementamos estos dispositivos para satisfacer la necesidad de mantener disponible el correo electrónico corporativo, los contactos y los calendarios de forma continua para un pequeño grupo de empleados ejecutivos, de ventas y de soporte – ya sea que estuvieran dentro o fuera de la oficina”, señala Darlene Libiszewski, vicepresidente de TI.
El banco realizó una evaluación para identificar los riesgos y los beneficios de los dispositivos móviles. “Una disciplina formal de la administración de riesgos siempre determina dónde invertimos nuestros recursos”, comenta Libiszewski.
La información confidencial que reside en los dispositivos móviles estuvo entre los riesgos para la seguridad. “Para reducir el riesgo efectivamente, nos dimos cuenta de que necesitábamos ser dueños del dispositivo para implementar y administrar controles”, añade.
Pero para reducir el costo de implementar teléfonos inteligentes, ahora el banco está considerando adoptar un programa de BYOD (traiga su propio dispositivo).
Administrar el riesgo es un proceso continuo, apuntó Libiszewski. “Pero diría que se ha puesto más atención a la administración de riesgos en la movilidad porque se está desarrollando rápidamente y la adopción es enorme – y hay que reconocerlo, es una nueva área que está explotando”, agregó.
El papel de la tecnología
La tecnología juega un papel importante para ayudar a TI a administrar los dispositivos y conservar la seguridad. Georgetown Hospital System, un proveedor de servicios de salud, depende de sistemas como BlackBerry Enterprise Server, Microsoft Exchange Server y tecnología de administración de dispositivos de AirWatch para proteger los dispositivos móviles como iPads e iPhones, teléfonos Android y BlackBerry.
“Los teléfonos se utilizan principalmente para tener acceso al correo electrónico y al calendario, y son usados por la alta administración, los directores y los empleados autorizados quienes viajan o que tienen que ser localizados”, apuntó el CIO Frank Scafidi. Las tablets son utilizadas principalmente por directores y administradores de alto nivel, y cada vez más por doctores, para tener acceso a las aplicaciones.
El producto de AirWatch, que Georgetown implementó en 2010, permite a TI poner restricciones en los dispositivos, aplicar las políticas de seguridad, asegurar y borrar remotamente los dispositivos y monitorear el uso. La organización planea pasar a los usuarios de BlackBerry al entorno de AirWatch y retirar el servidor de BlackBerry para mantener un entorno de administración móvil unificado, apunta Scafidi.
Además de implementar tecnologías de seguridad, las compañías están desarrollando políticas para el uso adecuado de dispositivos móviles. HomeTown Bank, de Roanake, Virginia, implementó hace cuatro años una política de seguridad de información de los clientes y de uso aceptable que define la estrategia de dispositivos móviles del banco. Por ley, la institución tiene que hacer que los empleados revisen y acepten la política anualmente, dice Michael Wright, vicepresidente y director de TI.
La política “está diseñada para educar a los empleados del banco sobre la información de los clientes y la seguridad”, indica Wright. “Es un documento vivo” que evoluciona conforme cambia la tecnología móvil. También requiere que los usuarios implementan funcionalidades como mecanismos de bloqueo y cifrado para ciertos tipos de información sensible.
Los usuarios de dispositivos como iPads deben aceptar permitir que el banco reinicie y borre remotamente los datos en los dispositivos si es necesario. Sólo los individuos de la compañía que requieran entrar al correo electrónico corporativo para hacer su trabajo tienen acceso a la red a través de dispositivos móviles, asegura Wright. Todos los dispositivos que tienen acceso al correo electrónico corporativo deben tener un mecanismo de bloqueo de modo que los intentos fallidos repetidos de adivinar un PIN borrarán el dispositivo.
¿Cómo prepararse en su empresa?
Viendo hacia 2013, los ejecutivos de TI continuarán los esfuerzos de usar las herramientas y servicios disponibles para reducir el riesgo de los dispositivos móviles.
“Creo que BYOD será un área de enfoque en 2013, y por tanto puedo buscar ayuda para cosas como escribir la política, evaluar e implementar soluciones para cortafuegos en los dispositivos móviles, herramientas antivirus y software de administración”, asevera Libiszewski.
HomeTown Bank planea usar una herramienta de administración de dispositivos móviles bajo el modelo de software como servicio para asegurar que los dispositivos se utilicen adecuadamente. El software le permitirá al banco definir los requerimientos de PINs, eliminar una aplicación de un dispositivo remotamente o realizar un borrado completo de los datos si es necesario, explica Wright.
Asimismo, el banco también realizará una capacitación de reforzamiento anual sobre los requerimientos mínimos para la seguridad de los dispositivos y el cumplimiento regulatorio para los empleados con dispositivos que tienen acceso al correo electrónico corporativo. Además, ofrecerá educación continua sobre las técnicas de ingeniería social, invalidación de malware y uso aceptable.
En 2013, las organizaciones buscarán más herramientas de administración para ayudar a garantizar la seguridad de los documentos y la seguridad de la red sin infringir la privacidad de los empleados o pedirles cambiar sus patrones normales de uso de los dispositivos, comenta Vishal Jain, analista de servicios móviles de 451 Research.
“Creemos que la seguridad móvil, la administración de aplicaciones, la inteligencia y la detección de amenazas serán muy solicitadas”, añade Jain.
Los riesgos asociados con la movilidad sólo crecerán conforme más gente traiga sus propios dispositivos al trabajo y las amenazas sean más sofisticadas. “La mayor amenaza que enfrentan las amenazas es la pérdida o robo de dispositivos que contienen datos empresariales”, afirma.
Es vital tener una estrategia de riesgos móviles formales e incluirla como parte de los lineamientos de seguridad de la información, comenta Jain, resaltando que “los empleados ya están trayendo sus dispositivos al trabajo”, creando esencialmente “programas BYOD no administrados”.
Bob Violino, Computerworld EE.UU.
