Negocio Riesgoso: La Desconexión de Seguridad de los Dispositivos Móviles
Por Tyson Greer
CEO, Ambient Insight
En un día cualquiera, ¿sabe usted cuántos dispositivos móviles hay en su red? ¿Puede saber cuáles están autorizados y administrados y quién los está utilizando en un momento cualquiera? ¿Los empleados de su empresa saben qué es lo primero que deben hacer en caso de que “extravíen” su teléfono inteligente o su asistente personal electrónico (PDA)?
Ya no es verdad que lo que sucede en la red permanece en la red. Los administradores de TI conocen especialmente los riesgos potenciales que se esconden en los dispositivos ligeros. Numerosos teléfonos inteligentes ahora ofrecen 128 MB de almacenamiento y tarjetas de almacenamiento de 8 GB, más chips de Wi-Fi y 3G con tasas de transferencia de datos de alta velocidad capaces de descargar 2–6 Mbps de una red corporativa. Son muchos datos en su bolsillo. Y en la medida en que cada vez más empleados fuera de la oficina acceden a aplicaciones esenciales a través de diminutos dispositivos, cada vez más datos esenciales de la empresa vuelan “por las nubes” y esto ha generado la necesidad de que las organizaciones tomen medidas de protección.
Conexiones Riesgosas
Los dispositivos móviles son fáciles de amar y fáciles de perder. Los dispositivos móviles sin vigilancia son también blancos fáciles para el robo por parte de aquellos interesados en el dispositivo y de aquellos que desean robar la información. Los ladrones de dispositivos desean realizar llamadas sin costo o vender el dispositivo para obtener dinero rápido. Los ladrones de datos desean obtener acceso a sus datos o venderlos para obtener una atractiva ganancia. Los ladrones de datos pueden apuntar a individuos específicos para obtener información crediticia y bancaria, información personal, secretos militares o espionaje corporativo. Obviamente, estos son los que me preocupan.
Imagine el dispositivo móvil que lleva cualquiera de sus ejecutivos de nivel C y la información que poseen o pueden acceder con ese dispositivo. Piense: inteligencia competitiva, información personalmente identificable (PII) de clientes y/o empleados, información de contactos comerciales, notas para reuniones estratégicas, cronogramas propietarios, cuestiones administrativas y campañas de publicidad, para nombrar unos pocos. Ahora imaginen lo que sucede si esta persona se separa de este dispositivo en una sala de un aeropuerto, en un bar o en un taxi.
Usted sabe que ese dispositivo vale mucho más que su precio de compra de alrededor de $500. Piense: propiedad intelectual invaluable, ventajas competitivas incalculables para quien ahora posea los datos y el potencial de acceder a más y, según el analista de Gartner, Jack Heine, como se menciona en el artículo “¿Cuál es el costo de los teléfonos y PDA perdidos?”, al menos un gasto de $2.500 de datos comprometidos1 1. (Y la idea de que el “nuevo dueño” infecte su red con software mal intencionado es otra cuestión que no le permitirá conciliar el sueño.)
El riesgo de la pérdida o exposición de datos (lea: “pérdida de reputación o acciones legales”) se extiende mucho más allá del nivel C en su organización. En un estudio de 2006 realizado por el Business Performance Management Forum (BPMF), casi la mitad de los encuestados informó que al menos el 25 por ciento de todos los dispositivos móviles en sus organizaciones transportan información y aplicaciones esenciales.
Desconexiones Riesgosas
ASegún el informe del BPMF “Cumplir en el vuelo,”2 el 40 por ciento de las empresas no han implementado aún políticas de seguridad para dispositivos móviles. El sesenta y cinco por ciento de los encuestados manifestó que esto se debía a que la gerencia se concentra en otras áreas de cumplimiento. ¿Otras áreas de cumplimiento? La ironía muy pocas veces se pierde en TI. Aquellas empresas que no han implementado medidas para administrar el seguimiento, respaldo y retención de datos móviles no pueden cumplir con las reglamentaciones referidas a la protección de datos. En mi opinión, estas empresas están jugando a la ruleta rusa con riesgos legales. Más de la mitad de los estados en los Estados Unidos poseen legislación escrita que requieren la divulgación pública de datos perdidos.
Los gerentes de departamentos de TI ven los riesgos de no incluir el uso de dispositivos móviles en la planificación y capacitación de cumplimiento. Los ejecutivos de nivel C ven los beneficios de productividad de la propagación de dispositivos móviles, no los riesgos. Veo una de las desconexiones que ha impedido el progreso para asegurar los puntos finales de dispositivo móvil en una red empresarial.
Otro riesgo de desconexión es la conducta de los usuarios de dispositivos móviles de la organización, especialmente aquel 25 por ciento con acceso a datos críticos3. Numerosos usuarios no tienen conciencia de los enormes riesgos inherentes a los pequeños dispositivos. Y de aquellos que tienen conciencia, la necesidad de velocidad puede sobrepasar la cautela. En 2007, InsightExpress condujo una encuesta en línea, encargada por Cisco Systems y la Alianza Nacional de Seguridad Cibernética (NCSA), con 700 trabajadores móviles en siete países y encontró que el 73 por ciento de los usuarios móviles no tienen conciencia de los riesgos de seguridad y mejores prácticas. Entre los que habían recibido capacitación acerca de seguridad y conocían los riesgos, el 58 por ciento en China, el 55 por ciento en India y el 43 por ciento en los Estados Unidos admitió una consistente falta de vigilancia. Esa falta de vigilancia puede resultar cara.
El Costo de la Pérdida
La Red de Tecnología de Wisconsin estima que más de 250.000 teléfonos móviles y dispositivos portátiles serán olvidados en aeropuertos en los Estados Unidos solamente este año y solamente el 25-30 por ciento volverá a sus dueños. Las autoridades del London Underground (Subterráneos de Londres) informan que alrededor de 100.000 dispositivos son encontrados en sus subterráneos por año.
La empresa de investigación Gartner estima que el costo de cada teléfono móvil o PDA no recuperado es de $2.500 debido a los datos propietarios que contiene. Gartner anuncia que las empresas con más de 5.000 empleados podrían ahorrar desde $300.000 hasta $500.000 por año identificando y siguiendo los dispositivos. Para realizarlo sería suficiente contratar unas pocas personas, crear una estrategia e implementar un plan administrativo. Parece una ganancia sobre inversión razonable, aunque no la compute en función del precio de la reputación de la empresa o el valor de su marca.
La Tecnología Sola no es Suficiente
La 10° Ley Inmutable de Seguridad, establecida por el Centro de Respuestas de Seguridad de Microsoft (MSRC), aún se aplica en la actualidad: “La tecnología no es una panacea.”
Sí, ha habido ciertas mejoras importantes en arquitectura, políticas y funcionalidades de seguridad. Windows Vista, Windows Mobile 6, el Messaging and Security Feature Pack (MSFP) para Microsoft Exchange Server 2003 SP1 y Microsoft Exchange Server 2007 han ofrecido a la TI más controles granulares y mejores herramientas de administración que las que existían anteriormente. También, más y más desarrolladores aplican prácticas de codificación segura, tales como emplear el principio del menor privilegio y evitar cuestiones tales como desbordamiento de buffer, secuencias de comandos en sitios cruzados y otras cuestiones de ingresos de confianza que en 2001-2004 abarcaban alrededor del 47 por ciento de todas las vulnerabilidades listadas en Vulnerabilidades y Exposiciones Comunes (cve.mitre.org).
Por supuesto, la sofisticación del hackeo malicioso por diversión o beneficios tiende a mantener el ritmo. La tendencia actual en las estafas es una peligrosa mezcla de cosechar información pública fácilmente disponible y una ingeniería social que específicamente apunta a los empleados de nivel C a través del correo electrónico. Esto aumenta la importancia de proteger los datos en todos los puntos. Si aún no ha leído el artículo de Steve Riley en Viewpoint, Proteja sus datos, todo lo demás es plomería (Junio de 2007), les recomiendo que lo hagan.
Mitigando el Riesgo: Una Estrategia para la Seguridad de Dispositivos Móviles de Siete Etapas
La pregunta sencilla: “¿Qué necesitamos?” obtiene la respuesta obvia: “Eso depende.” Depende de los requisitos de cumplimiento de su industria, las necesidades de protección de datos de su organización, sus capacidades de red, los dispositivos que se conectan y sus usuarios. El Meta Group estima que tan sólo el 10 por ciento de las organizaciones poseen una política de dispositivos móviles formal y completa. Un estudio sobre 2.035 profesionales de TI en el Reino Unido realizado por Orange PLC y Quocirca Ltd mostró que una de cada cinco empresas con amplias implementaciones de dispositivos móviles no han aplicado políticas de seguridad móvil. Entre las que sí han aplicado políticas, más del 60 por ciento manifestó que su política no se cumple.
Una política de seguridad estratégica comienza con la evaluación del riesgo e incluye el inventario, monitoreo y administración. En el análisis, usted debe:
1. Establecer un plan de clasificación de sensibilidad. Se deben establecer clasificaciones tales como público, confidencial, restringido o controlado en niveles de confianza apropiados a la sensibilidad de los datos.
2. Seguir el flujo de datos. Crear esquemas que muestren los datos en reposo y datos en transmisión en todo el ciclo de vida de los datos. Un diagrama de relación de entidades (ER) puede ilustrar las interrelaciones entre los depósitos de datos y los flujos de entrada y salida de datos en sus bases de datos. Trace un mapa de sus procesos comerciales para identificar en qué momento los usuarios de dispositivos móviles se convierten en puntos finales en su red.
3. Mantener un inventario de dispositivos. La administración de activos es un aspecto central de la seguridad. No descuide el hecho de que los empleados pueden estar utilizando sus dispositivos personales para acceder a activos corporativos. ¿Esto es aceptable para su empresa?
4. Diseñar una matriz de controles. Determine qué tecnología y prácticas deben implementarse para controlar las diferentes clases de información que los dispositivos móviles pueden acceder o almacenar. Construya una matriz para cada nivel de confianza, incluyendo la restricción de ciertos tipos de información a dispositivos móviles. Ya sea que necesite cifrado a nivel de disco o un cifrado más flexible, basado en archivos, depende de la sensibilidad de los datos que necesitan ser protegidos. La práctica de permitir que los datos personales y corporativos se mezclen en un dispositivo añade otra capa de complejidad al diseñar la protección.
5. Decidir los tipos de dispositivos. Evalúe las fortalezas y vulnerabilidades de seguridad nativa de los tipos de dispositivos en relación con la función laboral del individuo. Algunos dispositivos pueden necesitar protección de software adicional, como firewalls personales o autenticación de dos factores. Luego habrá concesiones: si el usuario realiza copias de seguridad periódicamente y sincroniza con una computadora con protección antivirus actualizada, entonces puede no requerirse software antivirus en el dispositivo.
6. Diseñar planes de capacitación. Para los empleados técnicos, un análisis sobre brechas en las capacidades debe estar seguido por un plan de aprendizaje personalizado relacionado con las mediciones de desempeño anual y en definitiva con el progreso profesional. Para empleados no técnicos, es decir usuarios de dispositivos móviles, debe requerirse capacitación acerca de funcionalidades y prácticas de seguridad. El ochenta por ciento de las empresas encuestadas por Orange PLC y Quocirca Ltd también informaron que sus empleados representaban su mayor amenaza a la seguridad móvil.
7. Enjuagar y repetir. Un plan de seguridad estratégico es un plan vivo, no un documento muerto. Debe adaptarse a las nuevas tecnologías, cambios culturales y nuevos vectores de amenazas. Las amenazas de seguridad evolucionan, por lo que las estrategias de seguridad también deben hacerlo.
Un ingrediente importante en el plan, por supuesto, es un análisis de las amenazas, que incluye la ruta de ataque, la probabilidad y las consecuencias. El desarrollo de estos escenarios desde una perspectiva comercial tiene una mayor probabilidad de lograr compras y fondos. El proceso de modelado de una amenaza es un enfoque estructurado e iterativo para identificar, evaluar y mitigar los riesgos y puede ser utilizado efectivamente al construir nuevas aplicaciones o actualizar un sistema. El modelado de la amenaza comienza con la identificación de objetivos comerciales, su origen y el uso de datos. Los “árboles de amenazas” ilustran el flujo y los puntos vulnerables.
Cerrando la Brecha de Capacitación
Se encuentra disponible una capacitación formal sobre cómo asegurar dispositivos móviles y redes para profesionales y desarrolladores de TI. Se trata del curso "Curso de E-Learning de Microsoft 5145: Administración de la Seguridad de la Empresa para Dispositivos Móviles con Microsoft Windows" y una "Clínica 2807: Guía de Seguridad de Microsoft para Desarrolladores II” conducida por un instructor, más muchos otros eventos de aprendizaje. Los proveedores, como Core Competence, también ofrecen podcasts, webinars (seminarios por la Web) y acertijos para profesionales técnicos. Lo que es más difícil de encontrar son los cursos de capacitación a la venta para usuarios finales.
¿Cuántos de sus usuarios finales saben cómo protegerse para no ser víctimas del BlueBug, BlueDump, BlueJack, BlueSmack, BlueSnarf o BlueStab? Mi suposición es que no reconocerían un BlueStab, que emplea nombres mal formateados para hacer fallar un dispositivo durante el descubrimiento de Bluetooth, de un BlueSmack, que extrae los datos de contacto y calendario de un dispositivo con Bluetooth. Sin embargo, la creciente proliferación de dispositivos (como los auriculares) y servicios (como la impresión desde un dispositivo móvil) con Bluetooth introduce nuevas vulnerabilidades. En nuestra empresa, nuestra política de Bluetooth es tan simple como una cocina: si no lo está usando activamente, apáguelo y manténgase alejado.
La batalla entre la conveniencia del usuario y la seguridad se combatió primero en el escritorio. Desafortunadamente, los usuarios de escritorio aún La batalla entre la conveniencia del usuario y la seguridad se combatió primero en el escritorio. Desafortunadamente, los usuarios de escritorio aún evitan el requerimiento de contraseña segura escribiendo esa contraseña poderosa en un papel pegado sobre el monitor o la guardan a mano en el primer cajón de su escritorio. Las personas parecen atravesar cinco etapas: conciencia, evasión, ira, aceptación, adopción, antes de adoptar por completo las prácticas de seguridad. Los programas de capacitación bien diseñados pueden acortar el ciclo. Enfatizo “bien diseñados”, lo que no significa “atractivos,” sino que significa efectivos, porque todos hemos tenido la experiencia de ver fantásticos anuncios en la televisión pero después no podíamos recordar el producto que vendían.
Los resultados del estudio encargado por NCSA y Cisco Systems muestran que el 39 por ciento de los trabajadores móviles en los Estados Unidos manifestaron no haber recibido nunca capacitación en seguridad de TI, y el 14 por ciento no recuerda si recibió capacitación. Especularía que esto significa que las organizaciones tratan la capacitación en seguridad como un evento único: Tome el curso. Apruebe el curso. Listo.
Los usuarios de dispositivos móviles necesitan una capacitación que comience con una concientización del riesgo y del rol crítico de los individuos en la prevención del acceso no autorizado a su red. La capacitación necesita incluir el “por qué”, el “cómo” y el “cuándo”, como por ejemplo cómo y por qué establecer contraseñas; y cómo, por qué y cuándo usar funcionalidades de seguridad en sus dispositivos para el cifrado, autenticación o la Administración de Derechos de Información (IRM) de Microsoft Office. Y, por supuesto, necesita cubrir qué hacer en caso de que un dispositivo se pierda o sea robado. Puede que no sea una llamada fácil de realizar (informar que perdió su teléfono inteligente en el bar de un hotel), pero no será el primero.
Por sobre todas las cosas, los empleados necesitan ayuda en un ajuste de actitud: pensar en la seguridad del dispositivo móvil como parte de su trabajo. Si pierde su billetera, estaría menos preocupado por reemplazar la billetera que por su contenido: las tarjetas de crédito, las tarjetas bancarias, la tarjeta del seguro médico y los documentos de identidad como la tarjeta inteligente y la licencia de conducir. Estos elementos y los privilegios de acceso que acarrean se encuentran en peligro mucho antes de la pérdida o robo inicial. Los empleados necesitan hacer la conexión: la pérdida o robo de su dispositivo móvil significa más que una inconveniencia, trabajo perdido o el valor físico del dispositivo; significa el riesgo de exponer información sensible y propiedad intelectual de la empresa.
La capacitación en seguridad no está completa hasta que todos los participantes, es decir todos los que llevan un dispositivo móvil, firmen un acuerdo de seguridad. Quiero decir “firmar.” Un certificado de finalización es una agradable decoración en la pared y un ítem cumplido en el legajo de Recursos Humanos, pero firmar un documento tiene un mayor significado para un individuo. Luego, todos los años como mínimo, los usuarios de dispositivos móviles deben "renovar sus votos."
La importante es: Hasta que la gerencia superior se ocupe se la capacitación en seguridad, la misma no se realizará efectivamente.
La Seguridad es un Buen Negocio
Los códigos maliciosos y el acceso no autorizado son amenazas constantes. A medida que los dispositivos aumentan en capacidad y su precio continua bajando, son cada vez más atractivos de usar pero aun fácil de perder, o de perder por completo su control. El 15 de octubre de 2007, la página de inicio de Microsoft.com promocionó dispositivos Windows Mobile con esta frase muy atractiva: “Ocúpese del presupuesto. Ocúpese del correo electrónico. Ocúpese del almuerzo.”
La buena noticia es, y usted sabía y esperaba recibir alguna buena noticia en algún momento, que todos los que intervienen en la cadena de servicio/provisión de dispositivos móviles están ingresando al negocio de la protección. Un proveedor ofrece un paquete de 44 políticas listas para personalizar, cuatro de las cuales se relacionan con el uso de dispositivos móviles. Los proveedores de seguridad expanden sus ofertas para incluir administración basada en políticas; los proveedores de antivirus ofrecen protecciones a nivel de dispositivos; las empresas de celulares ofrecen nuevos paquetes de servicios administrados y avanzan a pasos agigantados para prevenir el acceso a redes por medio de dispositivos robados; los proveedores de VPN ofrecen “marcas de agua digitales” para impedir el acceso no autorizado; y los fabricantes de equipos originales (OEM) equipan sus microteléfonos con dispositivos integrados de administración y promueven las prácticas seguras a los usuarios finales. Cuando abrí la caja de un nuevo dispositivo HTO “Touch” de Windows Mobile, me complació ver que el segundo punto en el folleto de Puesta en Marcha se refería a las configuraciones de seguridad.
La mala noticia es: Tardará tiempo hasta que cada organización elija las opciones y ajuste los servicios y hardware apropiados de los proveedores a las necesidades de sus procesos comerciales e infraestructura de red. Pero, mañana será otro día. La seguridad nunca duerme.
Agregue esto a su “lista de cosas por hacer”: Haga lo que pueda para ayudar a su organización a unir los puntos y disfrutar un entorno informático móvil seguro y productivo.
Según el analista de Gartner, Jack Heine, según se menciona en el artículo “¿Cuál es el costo de teléfonos y PDA perdidos?”
http://www.techweb.com/wire/story/TWB20010425S0006
http://www.bpmforum.org/reports_list.htm
CEO, Ambient Insight
En un día cualquiera, ¿sabe usted cuántos dispositivos móviles hay en su red? ¿Puede saber cuáles están autorizados y administrados y quién los está utilizando en un momento cualquiera? ¿Los empleados de su empresa saben qué es lo primero que deben hacer en caso de que “extravíen” su teléfono inteligente o su asistente personal electrónico (PDA)?
Ya no es verdad que lo que sucede en la red permanece en la red. Los administradores de TI conocen especialmente los riesgos potenciales que se esconden en los dispositivos ligeros. Numerosos teléfonos inteligentes ahora ofrecen 128 MB de almacenamiento y tarjetas de almacenamiento de 8 GB, más chips de Wi-Fi y 3G con tasas de transferencia de datos de alta velocidad capaces de descargar 2–6 Mbps de una red corporativa. Son muchos datos en su bolsillo. Y en la medida en que cada vez más empleados fuera de la oficina acceden a aplicaciones esenciales a través de diminutos dispositivos, cada vez más datos esenciales de la empresa vuelan “por las nubes” y esto ha generado la necesidad de que las organizaciones tomen medidas de protección.
Conexiones Riesgosas
Los dispositivos móviles son fáciles de amar y fáciles de perder. Los dispositivos móviles sin vigilancia son también blancos fáciles para el robo por parte de aquellos interesados en el dispositivo y de aquellos que desean robar la información. Los ladrones de dispositivos desean realizar llamadas sin costo o vender el dispositivo para obtener dinero rápido. Los ladrones de datos desean obtener acceso a sus datos o venderlos para obtener una atractiva ganancia. Los ladrones de datos pueden apuntar a individuos específicos para obtener información crediticia y bancaria, información personal, secretos militares o espionaje corporativo. Obviamente, estos son los que me preocupan.
Imagine el dispositivo móvil que lleva cualquiera de sus ejecutivos de nivel C y la información que poseen o pueden acceder con ese dispositivo. Piense: inteligencia competitiva, información personalmente identificable (PII) de clientes y/o empleados, información de contactos comerciales, notas para reuniones estratégicas, cronogramas propietarios, cuestiones administrativas y campañas de publicidad, para nombrar unos pocos. Ahora imaginen lo que sucede si esta persona se separa de este dispositivo en una sala de un aeropuerto, en un bar o en un taxi.
Usted sabe que ese dispositivo vale mucho más que su precio de compra de alrededor de $500. Piense: propiedad intelectual invaluable, ventajas competitivas incalculables para quien ahora posea los datos y el potencial de acceder a más y, según el analista de Gartner, Jack Heine, como se menciona en el artículo “¿Cuál es el costo de los teléfonos y PDA perdidos?”, al menos un gasto de $2.500 de datos comprometidos1 1. (Y la idea de que el “nuevo dueño” infecte su red con software mal intencionado es otra cuestión que no le permitirá conciliar el sueño.)
El riesgo de la pérdida o exposición de datos (lea: “pérdida de reputación o acciones legales”) se extiende mucho más allá del nivel C en su organización. En un estudio de 2006 realizado por el Business Performance Management Forum (BPMF), casi la mitad de los encuestados informó que al menos el 25 por ciento de todos los dispositivos móviles en sus organizaciones transportan información y aplicaciones esenciales.
Desconexiones Riesgosas
ASegún el informe del BPMF “Cumplir en el vuelo,”2 el 40 por ciento de las empresas no han implementado aún políticas de seguridad para dispositivos móviles. El sesenta y cinco por ciento de los encuestados manifestó que esto se debía a que la gerencia se concentra en otras áreas de cumplimiento. ¿Otras áreas de cumplimiento? La ironía muy pocas veces se pierde en TI. Aquellas empresas que no han implementado medidas para administrar el seguimiento, respaldo y retención de datos móviles no pueden cumplir con las reglamentaciones referidas a la protección de datos. En mi opinión, estas empresas están jugando a la ruleta rusa con riesgos legales. Más de la mitad de los estados en los Estados Unidos poseen legislación escrita que requieren la divulgación pública de datos perdidos.
Los gerentes de departamentos de TI ven los riesgos de no incluir el uso de dispositivos móviles en la planificación y capacitación de cumplimiento. Los ejecutivos de nivel C ven los beneficios de productividad de la propagación de dispositivos móviles, no los riesgos. Veo una de las desconexiones que ha impedido el progreso para asegurar los puntos finales de dispositivo móvil en una red empresarial.
Otro riesgo de desconexión es la conducta de los usuarios de dispositivos móviles de la organización, especialmente aquel 25 por ciento con acceso a datos críticos3. Numerosos usuarios no tienen conciencia de los enormes riesgos inherentes a los pequeños dispositivos. Y de aquellos que tienen conciencia, la necesidad de velocidad puede sobrepasar la cautela. En 2007, InsightExpress condujo una encuesta en línea, encargada por Cisco Systems y la Alianza Nacional de Seguridad Cibernética (NCSA), con 700 trabajadores móviles en siete países y encontró que el 73 por ciento de los usuarios móviles no tienen conciencia de los riesgos de seguridad y mejores prácticas. Entre los que habían recibido capacitación acerca de seguridad y conocían los riesgos, el 58 por ciento en China, el 55 por ciento en India y el 43 por ciento en los Estados Unidos admitió una consistente falta de vigilancia. Esa falta de vigilancia puede resultar cara.
El Costo de la Pérdida
La Red de Tecnología de Wisconsin estima que más de 250.000 teléfonos móviles y dispositivos portátiles serán olvidados en aeropuertos en los Estados Unidos solamente este año y solamente el 25-30 por ciento volverá a sus dueños. Las autoridades del London Underground (Subterráneos de Londres) informan que alrededor de 100.000 dispositivos son encontrados en sus subterráneos por año.
La empresa de investigación Gartner estima que el costo de cada teléfono móvil o PDA no recuperado es de $2.500 debido a los datos propietarios que contiene. Gartner anuncia que las empresas con más de 5.000 empleados podrían ahorrar desde $300.000 hasta $500.000 por año identificando y siguiendo los dispositivos. Para realizarlo sería suficiente contratar unas pocas personas, crear una estrategia e implementar un plan administrativo. Parece una ganancia sobre inversión razonable, aunque no la compute en función del precio de la reputación de la empresa o el valor de su marca.
La Tecnología Sola no es Suficiente
La 10° Ley Inmutable de Seguridad, establecida por el Centro de Respuestas de Seguridad de Microsoft (MSRC), aún se aplica en la actualidad: “La tecnología no es una panacea.”
Sí, ha habido ciertas mejoras importantes en arquitectura, políticas y funcionalidades de seguridad. Windows Vista, Windows Mobile 6, el Messaging and Security Feature Pack (MSFP) para Microsoft Exchange Server 2003 SP1 y Microsoft Exchange Server 2007 han ofrecido a la TI más controles granulares y mejores herramientas de administración que las que existían anteriormente. También, más y más desarrolladores aplican prácticas de codificación segura, tales como emplear el principio del menor privilegio y evitar cuestiones tales como desbordamiento de buffer, secuencias de comandos en sitios cruzados y otras cuestiones de ingresos de confianza que en 2001-2004 abarcaban alrededor del 47 por ciento de todas las vulnerabilidades listadas en Vulnerabilidades y Exposiciones Comunes (cve.mitre.org).
Por supuesto, la sofisticación del hackeo malicioso por diversión o beneficios tiende a mantener el ritmo. La tendencia actual en las estafas es una peligrosa mezcla de cosechar información pública fácilmente disponible y una ingeniería social que específicamente apunta a los empleados de nivel C a través del correo electrónico. Esto aumenta la importancia de proteger los datos en todos los puntos. Si aún no ha leído el artículo de Steve Riley en Viewpoint, Proteja sus datos, todo lo demás es plomería (Junio de 2007), les recomiendo que lo hagan.
Mitigando el Riesgo: Una Estrategia para la Seguridad de Dispositivos Móviles de Siete Etapas
La pregunta sencilla: “¿Qué necesitamos?” obtiene la respuesta obvia: “Eso depende.” Depende de los requisitos de cumplimiento de su industria, las necesidades de protección de datos de su organización, sus capacidades de red, los dispositivos que se conectan y sus usuarios. El Meta Group estima que tan sólo el 10 por ciento de las organizaciones poseen una política de dispositivos móviles formal y completa. Un estudio sobre 2.035 profesionales de TI en el Reino Unido realizado por Orange PLC y Quocirca Ltd mostró que una de cada cinco empresas con amplias implementaciones de dispositivos móviles no han aplicado políticas de seguridad móvil. Entre las que sí han aplicado políticas, más del 60 por ciento manifestó que su política no se cumple.
Una política de seguridad estratégica comienza con la evaluación del riesgo e incluye el inventario, monitoreo y administración. En el análisis, usted debe:
1. Establecer un plan de clasificación de sensibilidad. Se deben establecer clasificaciones tales como público, confidencial, restringido o controlado en niveles de confianza apropiados a la sensibilidad de los datos.
2. Seguir el flujo de datos. Crear esquemas que muestren los datos en reposo y datos en transmisión en todo el ciclo de vida de los datos. Un diagrama de relación de entidades (ER) puede ilustrar las interrelaciones entre los depósitos de datos y los flujos de entrada y salida de datos en sus bases de datos. Trace un mapa de sus procesos comerciales para identificar en qué momento los usuarios de dispositivos móviles se convierten en puntos finales en su red.
3. Mantener un inventario de dispositivos. La administración de activos es un aspecto central de la seguridad. No descuide el hecho de que los empleados pueden estar utilizando sus dispositivos personales para acceder a activos corporativos. ¿Esto es aceptable para su empresa?
4. Diseñar una matriz de controles. Determine qué tecnología y prácticas deben implementarse para controlar las diferentes clases de información que los dispositivos móviles pueden acceder o almacenar. Construya una matriz para cada nivel de confianza, incluyendo la restricción de ciertos tipos de información a dispositivos móviles. Ya sea que necesite cifrado a nivel de disco o un cifrado más flexible, basado en archivos, depende de la sensibilidad de los datos que necesitan ser protegidos. La práctica de permitir que los datos personales y corporativos se mezclen en un dispositivo añade otra capa de complejidad al diseñar la protección.
5. Decidir los tipos de dispositivos. Evalúe las fortalezas y vulnerabilidades de seguridad nativa de los tipos de dispositivos en relación con la función laboral del individuo. Algunos dispositivos pueden necesitar protección de software adicional, como firewalls personales o autenticación de dos factores. Luego habrá concesiones: si el usuario realiza copias de seguridad periódicamente y sincroniza con una computadora con protección antivirus actualizada, entonces puede no requerirse software antivirus en el dispositivo.
6. Diseñar planes de capacitación. Para los empleados técnicos, un análisis sobre brechas en las capacidades debe estar seguido por un plan de aprendizaje personalizado relacionado con las mediciones de desempeño anual y en definitiva con el progreso profesional. Para empleados no técnicos, es decir usuarios de dispositivos móviles, debe requerirse capacitación acerca de funcionalidades y prácticas de seguridad. El ochenta por ciento de las empresas encuestadas por Orange PLC y Quocirca Ltd también informaron que sus empleados representaban su mayor amenaza a la seguridad móvil.
7. Enjuagar y repetir. Un plan de seguridad estratégico es un plan vivo, no un documento muerto. Debe adaptarse a las nuevas tecnologías, cambios culturales y nuevos vectores de amenazas. Las amenazas de seguridad evolucionan, por lo que las estrategias de seguridad también deben hacerlo.
Un ingrediente importante en el plan, por supuesto, es un análisis de las amenazas, que incluye la ruta de ataque, la probabilidad y las consecuencias. El desarrollo de estos escenarios desde una perspectiva comercial tiene una mayor probabilidad de lograr compras y fondos. El proceso de modelado de una amenaza es un enfoque estructurado e iterativo para identificar, evaluar y mitigar los riesgos y puede ser utilizado efectivamente al construir nuevas aplicaciones o actualizar un sistema. El modelado de la amenaza comienza con la identificación de objetivos comerciales, su origen y el uso de datos. Los “árboles de amenazas” ilustran el flujo y los puntos vulnerables.
Cerrando la Brecha de Capacitación
Se encuentra disponible una capacitación formal sobre cómo asegurar dispositivos móviles y redes para profesionales y desarrolladores de TI. Se trata del curso "Curso de E-Learning de Microsoft 5145: Administración de la Seguridad de la Empresa para Dispositivos Móviles con Microsoft Windows" y una "Clínica 2807: Guía de Seguridad de Microsoft para Desarrolladores II” conducida por un instructor, más muchos otros eventos de aprendizaje. Los proveedores, como Core Competence, también ofrecen podcasts, webinars (seminarios por la Web) y acertijos para profesionales técnicos. Lo que es más difícil de encontrar son los cursos de capacitación a la venta para usuarios finales.
¿Cuántos de sus usuarios finales saben cómo protegerse para no ser víctimas del BlueBug, BlueDump, BlueJack, BlueSmack, BlueSnarf o BlueStab? Mi suposición es que no reconocerían un BlueStab, que emplea nombres mal formateados para hacer fallar un dispositivo durante el descubrimiento de Bluetooth, de un BlueSmack, que extrae los datos de contacto y calendario de un dispositivo con Bluetooth. Sin embargo, la creciente proliferación de dispositivos (como los auriculares) y servicios (como la impresión desde un dispositivo móvil) con Bluetooth introduce nuevas vulnerabilidades. En nuestra empresa, nuestra política de Bluetooth es tan simple como una cocina: si no lo está usando activamente, apáguelo y manténgase alejado.
La batalla entre la conveniencia del usuario y la seguridad se combatió primero en el escritorio. Desafortunadamente, los usuarios de escritorio aún La batalla entre la conveniencia del usuario y la seguridad se combatió primero en el escritorio. Desafortunadamente, los usuarios de escritorio aún evitan el requerimiento de contraseña segura escribiendo esa contraseña poderosa en un papel pegado sobre el monitor o la guardan a mano en el primer cajón de su escritorio. Las personas parecen atravesar cinco etapas: conciencia, evasión, ira, aceptación, adopción, antes de adoptar por completo las prácticas de seguridad. Los programas de capacitación bien diseñados pueden acortar el ciclo. Enfatizo “bien diseñados”, lo que no significa “atractivos,” sino que significa efectivos, porque todos hemos tenido la experiencia de ver fantásticos anuncios en la televisión pero después no podíamos recordar el producto que vendían.
Los resultados del estudio encargado por NCSA y Cisco Systems muestran que el 39 por ciento de los trabajadores móviles en los Estados Unidos manifestaron no haber recibido nunca capacitación en seguridad de TI, y el 14 por ciento no recuerda si recibió capacitación. Especularía que esto significa que las organizaciones tratan la capacitación en seguridad como un evento único: Tome el curso. Apruebe el curso. Listo.
Los usuarios de dispositivos móviles necesitan una capacitación que comience con una concientización del riesgo y del rol crítico de los individuos en la prevención del acceso no autorizado a su red. La capacitación necesita incluir el “por qué”, el “cómo” y el “cuándo”, como por ejemplo cómo y por qué establecer contraseñas; y cómo, por qué y cuándo usar funcionalidades de seguridad en sus dispositivos para el cifrado, autenticación o la Administración de Derechos de Información (IRM) de Microsoft Office. Y, por supuesto, necesita cubrir qué hacer en caso de que un dispositivo se pierda o sea robado. Puede que no sea una llamada fácil de realizar (informar que perdió su teléfono inteligente en el bar de un hotel), pero no será el primero.
Por sobre todas las cosas, los empleados necesitan ayuda en un ajuste de actitud: pensar en la seguridad del dispositivo móvil como parte de su trabajo. Si pierde su billetera, estaría menos preocupado por reemplazar la billetera que por su contenido: las tarjetas de crédito, las tarjetas bancarias, la tarjeta del seguro médico y los documentos de identidad como la tarjeta inteligente y la licencia de conducir. Estos elementos y los privilegios de acceso que acarrean se encuentran en peligro mucho antes de la pérdida o robo inicial. Los empleados necesitan hacer la conexión: la pérdida o robo de su dispositivo móvil significa más que una inconveniencia, trabajo perdido o el valor físico del dispositivo; significa el riesgo de exponer información sensible y propiedad intelectual de la empresa.
La capacitación en seguridad no está completa hasta que todos los participantes, es decir todos los que llevan un dispositivo móvil, firmen un acuerdo de seguridad. Quiero decir “firmar.” Un certificado de finalización es una agradable decoración en la pared y un ítem cumplido en el legajo de Recursos Humanos, pero firmar un documento tiene un mayor significado para un individuo. Luego, todos los años como mínimo, los usuarios de dispositivos móviles deben "renovar sus votos."
La importante es: Hasta que la gerencia superior se ocupe se la capacitación en seguridad, la misma no se realizará efectivamente.
La Seguridad es un Buen Negocio
Los códigos maliciosos y el acceso no autorizado son amenazas constantes. A medida que los dispositivos aumentan en capacidad y su precio continua bajando, son cada vez más atractivos de usar pero aun fácil de perder, o de perder por completo su control. El 15 de octubre de 2007, la página de inicio de Microsoft.com promocionó dispositivos Windows Mobile con esta frase muy atractiva: “Ocúpese del presupuesto. Ocúpese del correo electrónico. Ocúpese del almuerzo.”
La buena noticia es, y usted sabía y esperaba recibir alguna buena noticia en algún momento, que todos los que intervienen en la cadena de servicio/provisión de dispositivos móviles están ingresando al negocio de la protección. Un proveedor ofrece un paquete de 44 políticas listas para personalizar, cuatro de las cuales se relacionan con el uso de dispositivos móviles. Los proveedores de seguridad expanden sus ofertas para incluir administración basada en políticas; los proveedores de antivirus ofrecen protecciones a nivel de dispositivos; las empresas de celulares ofrecen nuevos paquetes de servicios administrados y avanzan a pasos agigantados para prevenir el acceso a redes por medio de dispositivos robados; los proveedores de VPN ofrecen “marcas de agua digitales” para impedir el acceso no autorizado; y los fabricantes de equipos originales (OEM) equipan sus microteléfonos con dispositivos integrados de administración y promueven las prácticas seguras a los usuarios finales. Cuando abrí la caja de un nuevo dispositivo HTO “Touch” de Windows Mobile, me complació ver que el segundo punto en el folleto de Puesta en Marcha se refería a las configuraciones de seguridad.
La mala noticia es: Tardará tiempo hasta que cada organización elija las opciones y ajuste los servicios y hardware apropiados de los proveedores a las necesidades de sus procesos comerciales e infraestructura de red. Pero, mañana será otro día. La seguridad nunca duerme.
Agregue esto a su “lista de cosas por hacer”: Haga lo que pueda para ayudar a su organización a unir los puntos y disfrutar un entorno informático móvil seguro y productivo.
Según el analista de Gartner, Jack Heine, según se menciona en el artículo “¿Cuál es el costo de teléfonos y PDA perdidos?”
http://www.techweb.com/wire/story/TWB20010425S0006
2 Informe del Business Process Management Forum, “Cumplir en el vuelo: Manteniendo el paso con los desafíos gerenciales de la administración de datos móviles” (Noviembre de 2006)
http://www.bpmforum.org/reports_list.htm
http://www.bpmforum.org/reports_list.htm
Tyson Greer ([email protected]) es CEO de Ambient Insight LLC, una empresa de investigación y análisis de mercado basada en integridad que se especializa en herramientas inalámbricas de productividad y productos y servicios móviles.
Fuente: http://www.microsoft.com/latam/technet/articulos/articulos_seguridad/2007/noviembre/sm1107.mspx
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!