En esta entrada, voy a tratar el tema de actualidad de los BYOD ("Bring your own device"), ya que se está plantando un escenario de peligro en los últimos meses, ya que los usuarios cada día más reclaman un mayor uso de los mismos, pero a su vez los BYOD conllevan el uso de sistemas de almacenamiento externos (como por ejemplo el iCloud), lo que termina vulnerando la seguridad de la información interna de la empresa. Estos dispositivos en la mayoría de casos, son de obligado uso al tratarse de dispositivos no desarrollados por la propia empresa.
Esta nueva problemática no es más que el fiel reflejo del difícil equilibrio entre la seguridad y la operatividad productiva en la empresa. El impacto de esta tendencia, que viene para quedarse porque están siendo las capas directivas las principales precursoras de esa necesidad depende también de las circunstancias particulares de cada organización y de cómo haya ido resolviendo los problemas de gestionar la seguridad corporativa en estos últimos años.
El BYOD creo que no plantea mayores riesgos que los ya existentes respecto al uso de portátiles y los riesgos de interceptación de comunicaciones o dispositivos de almacenamiento USB y los riesgos de extravío o pérdida. Sin embargo, ahora se añaden como restricciones las posibles limitaciones respecto de la aplicación de las políticas corporativas de seguridad sobre dispositivos que no son propiedad de la organización. Obviamente a mayor número de dispositivos que pueden contener información corporativa, mayor probabilidad del extravío de algunos de ellos con las correspondientes fugas de información.
Esta nueva problemática no es más que el fiel reflejo del difícil equilibrio entre la seguridad y la operatividad productiva en la empresa. El impacto de esta tendencia, que viene para quedarse porque están siendo las capas directivas las principales precursoras de esa necesidad depende también de las circunstancias particulares de cada organización y de cómo haya ido resolviendo los problemas de gestionar la seguridad corporativa en estos últimos años.
El BYOD creo que no plantea mayores riesgos que los ya existentes respecto al uso de portátiles y los riesgos de interceptación de comunicaciones o dispositivos de almacenamiento USB y los riesgos de extravío o pérdida. Sin embargo, ahora se añaden como restricciones las posibles limitaciones respecto de la aplicación de las políticas corporativas de seguridad sobre dispositivos que no son propiedad de la organización. Obviamente a mayor número de dispositivos que pueden contener información corporativa, mayor probabilidad del extravío de algunos de ellos con las correspondientes fugas de información.
La importancia de los riesgos del BYOD ha cogido fuerza últimamente con la pérdida del Ipad del Ministro del interior (http://www.20minutos.es/noticia/1541193/0/ministro-interior/perdio-ipad/datos-eta/). Según los datos aportados por la noticia, se tuvo que montar un operativo para tratar de recuperar el dichoso dispositivo que fue extraviado en un viaje en Ave. Los dispositivos Apple incorporan una funcionalidad de localización si se tiene activo el servicio iCloud y la funcionalidad de localización.
En cualquier caso, también se permite el borrado remoto si se tiene activa la funcionalidad de localización, cuestión que en ningún momento se aclara si finalmente fue empleada. Sin embargo lo que resulta sorprendente es que el Ministro del Interior tenga activa la cuenta iCloud y el servicio de localización GPS dado que potencialmente podría permitir tenerlo localizado y controlado. Si además suponemos que se emplean los servicios habituales de Apple para tal efecto, con algo de ingeniería social podrían tratar de localizar la cuenta iCloud del Ministro para tratar de obtener acceso a ella y a toda su información. Y es aquí cuando se plantea otro problema de seguridad que es la dispersión de información en servicios de iCloud sobre entornos de alta confidencialidad que en cualquier caso y por comprometer la seguridad del Estado, no deberían usar servicios externos y no controlados por la propia Administración (Bajo la premisa de que sea el servicio de iCloud el que haya permitido la localización del dispositivo).
Dada la tendencia actual del mercado en la que los smartphones, tablets y portátiles están cogiendo cada vez mayor fuerza y son capaces de almacenar mayor información, la controversia con los BYOD cada vez coge mayor fuerza. En cualquier caso, el BYOD supone una reflexión seria para el mundo de la seguridad. Quizás esta tendencia supone un punto de inflexión respecto a las estrategias tradicionales que venían siendo utilizadas donde las tomas de decisiones se hacen en base a las necesidades de seguridad y el modelo de negocio pero teniendo al usuario como un "cliente/victima" de las imposiciones establecidas. El BYOD supone ahora tener que pensar y diseñar estrategias de seguridad bajo dos premisas importantes: "transparencia de las medidas" en el sentido de hacerlas lo más sencillas de utilizar para que no supongan una excesiva barrera de uso y "user center" en el sentido de que deben permitir o facilitar en la medida de lo posible la operatividad y acceso a los recursos corporativos para permitir a los empleados el trabajo desde cualquier lugar en cualquier momento. El BYOD es el triunfo de la movilidad materializado por la introducción de dispositivos tan sencillos de manejar como las tabletas que permiten disponer de un entorno de trabajo limitado pero suficientemente potente para poder resolver las cuestiones operativas más básicas como leer el correo, revisar documentación, elaborar escritos, etc.
La problemática, riesgos y cuestiones de los BYOD, tienen que ser resueltas desde perspectivas diferentes.
· La protección física del propio dispositivo que debe tratarse desde la seguridad física con pautas sobre la custodia y uso de estos elementos en entornos inseguros.
· La protección lógica del acceso y conexión a los sistemas de información corporativos, donde la autenticación toma ahora mayor relevancia dado que es el punto crítico para autorizar el acceso.
· La conectividad del dispositivo desde lugares externos a los sistemas de información en donde el uso de protocolos de comunicaciones seguros deben evitar la interceptación de comunicaciones y el robo de credenciales.
· La protección lógica de la información que reside en el dispositivo donde la criptografía puede garantizar que frente a la pérdida o robo, no habrá fugas de información.
· A esto pueden añadirse el uso de tecnologías proactivas en la detección y control del flujo de información como podrían ser los sistemas DLP de los que ya hablé hace unos años pero que no parecen haberse popularizado demasiado.
Todo esto abre las puertas a un nuevo mundo de riesgos en materia de seguridad de información en la empresa, ya que las tecnologías de información están cambiando constantemente y esto nos debe alertar a la hora de conocer los riesgos de los dispositivos que se utilizan en nuestra empresa. Debemos pensar en un entorno de seguridad funcional que nos permita un desarrollo fluido de nuestra actividad corporativa cuidando siempre de los riesgos que nos plantea constantemente el mercado.
No hay comentarios:
Publicar un comentario