Guía Esencial

Guía esencial: Protección de datos en las plataformas móviles

Una completa colección de artículos, videos y más, seleccionados a mano por nuestros editores
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Consejos de expertos para mejorar la seguridad de sus dispositivos móviles

La movilidad es una gran ventaja, pero puede conllevar grandes riesgos si no se aplica con los cuidados adecuados al mundo empresarial. Estos consejos de expertos lo ayudarán a protegerse.

El intenso uso que se le da hoy a los dispositivos móviles dentro del mundo empresarial obliga a poner atención a las innumerables amenazas y vulnerabilidades de seguridad que afectan a estos aparatos.

La lista es larga. Las principales amenazas móviles se relacionan con aplicaciones falsas o intervenidas, es decir, aplicaciones que están comúnmente en tiendas de apps no originales, y que tienen una imagen igual que la app original, pero muy probablemente –al venir de una tienda no genuina– estén intervenidas para capturar y robar información personal.

También están los permisos innecesarios que muchas aplicaciones solicitan al instalarlas, para acceder a distintos componentes del dispositivo, como la cámara, el GPS, los contactos o las fotos. Acá, el usuario debe analizar si los accesos que esta aplicación solicita son coherentes con la naturaleza de esa app.

Maximiliano Geoffroy

Están los correos de phishing, que tratan de suplantar, mediante información aparentemente de interés para la víctima, páginas de bancos o instituciones financieras. O los SMS que buscan engañarlo con algún enlace con código malicioso. Mayoritariamente se busca el robo de información, como listas de contactos o acceso al correo electrónico o al root de la máquina. Con esto, se puede usar los dispositivos para, por ejemplo, enviar SMS masivos. También se enfrenta a inyección de código para la generación de tráfico de publicidad.

Adicionalmente, el número de usuarios atacados por ransomware orientado a dispositivos Android ha aumentado cuatro veces en solo un año, y ha alcanzado al menos 136,000 usuarios en todo el mundo, según un reciente estudio del Panorama de Amenazas de Kaspersky Lab.

Considerando este complejo escenario, conversamos con un selecto grupo de expertos para pedirles consejos y recomendaciones sobre gestión empresarial de accesos móviles; protección ante amenazas; políticas de uso de información empresarial; y medidas para mantener la privacidad y velar por la protección de los datos empresariales en dispositivos móviles.

Gestión empresarial de accesos móviles

Las tecnologías móviles sin duda, mejoran la productividad en la empresa, por lo cual más que prohibirlas, una buena estrategia móvil debe normar y controlar su uso. Para Maximiliano Geoffroy, subgerente de productos y preventa de Novared, lo primero en una estrategia es normar qué tipo de aparatos se admitirán y bajo qué condiciones, especificando marcas, modelos y versiones de sistema operativo. Lo segundo, es establecer los controles para el cumplimiento de la norma; es decir, contar con tecnología MDM para gestionar y controlar los dispositivos. Y la tercera fase es usar la MDM para establecer el modelo de consumo de los servicios empresariales (correo, calendario, carpetas compartidas, SAP, etc.).

Roberto Martínez

“Nuestra recomendación es aislar las aplicaciones personales de las aplicaciones empresariales. Esto significa que, tecnológicamente, la información empresarial dentro del aparato se encuentra completamente aislada del resto, protegiendo su acceso frente a intentos de mal uso y gestión en caso de eventuales pérdidas del aparato”, señaló Geoffroy.

Sin embargo, la actitud con respecto a proteger los datos en los dispositivos móviles está muy lejos de ser una preocupación de seguridad ideal, dijo Roberto Martínez, analista de seguridad para Kaspersky Lab América Latina. De acuerdo con la encuesta sobre riesgos de seguridad de los consumidores del fabricante, seis de cada diez (60%)  encuestados están preocupados por la amenaza de vigilancia y robo de información mediante dispositivos móviles, pero no se protegen activamente y dependen de sus empleados en este aspecto.

Al mismo tiempo, los empleados guardan archivos de trabajo en sus laptops, tabletas y teléfonos inteligentes, conservan correos electrónicos relacionados con el trabajo, y con frecuencia también ahí tienen contraseñas de cuentas de correo electrónico y de las redes corporativas o VPN. “En cuanto a los empresarios y propietarios de pequeñas empresas, una tercera parte (32%) no percibe ningún peligro en que los empleados utilicen sus dispositivos móviles en el trabajo. Sin embargo, los representantes de negocios más grandes sí están más preocupados de que sus empleados pierdan sus dispositivos móviles: el 58% teme que el robo o pérdida de un dispositivo pudiera dañar a la compañía. Esta clase de actitud –de parte de las personas que usan sus dispositivos móviles para cuestiones de trabajo y sus empleadores– abre una vulnerabilidad grave para una red corporativa”, explicó Geoffroy. Él recomendó educar a los empleados respecto a las posibles amenazas y las acciones que deben tomar para minimizar los riesgos.

Otra cuestión por considerar es que las tecnologías de procesamiento de información siguen desarrollándose, de modo que lo que hoy es difícil o imposible de descifrar –como el correo o los mensajes con cifrado de punto a punto y autoborrado– no lo será en unos años (o, en algunos casos, meses), dependiendo de la fuerza de las llaves de cifrado utilizadas.

Marcelo Díaz, gerente general de Makros, considera que lo más importante es definir normas sobre el uso de los dispositivos móviles, tanto los propios como los BYOD. “Ya con esta base establecida, se puede tomar decisiones sobre las políticas de administración y gestión de los mismos, siempre considerando por delante los principios de confidencialidad de la información. Así se puede seleccionar una serie de herramientas (EMM o MDM) –que van desde las gratuitas, hasta las de clase empresarial– que permiten una serie de controles sobre los mismos”, dice.   

Protección ante amenazas

Aunque la mejor protección básica es contar con una herramienta antivirus, se debe considerar otros elementos de seguridad, como chequeos de privacidad, localización del dispositivo en caso de pérdida y respaldos.

David Nieto

David Nieto, ingeniero de sistemas de Intel Security, destacó que la protección contra amenazas puede abarcarse desde dos puntos principales: “O bien desde el mismo dispositivo móvil, instalando un sistema de seguridad para móviles; o bien desde la red, en el caso de conectarse en la red corporativa, con un sistema de protección contra malware avanzado”.

Geoffroy recomendó mantener el software actualizado de su aparato, instalando las últimas versiones de aplicaciones y de sistema operativo. Igualmente, solo bajar aplicaciones desde las tiendas oficiales, proteger el acceso al dispositivo y respaldar la información. “Hoy la mayoría de aparatos permiten controlar el acceso usando claves (pin) o algún factor biométrico, como la huella digital. Y el respaldo: al menos una vez al mes, trate de respaldar la información de su teléfono”.

Martínez recomendó usar una buena contraseña que no contenga datos personales, cambiándola a menudo para evitar el secuestro de datos o el ingreso de virus. Igualmente, recalcó la importancia de hacer copias de seguridad de los archivos periódicamente. “Es importante crear dos copias de seguridad: una almacenada en la nube (utilizando Dropbox, Google Drive, etc.) y la otra en un dispositivo físico (un disco duro portátil, USB, otro PC, etc.). Una vez que su copia de seguridad esté lista, asegúrese de configurar ciertas restricciones en sus archivos: su dispositivo para el “plan B” solo debería tener permiso de lectura/escritura, sin la opción de modificarlos o eliminarlos”, dijo.

El experto enfatizó que se debe verificar periódicamente el funcionamiento de la copia de seguridad. Para evitar el phishing, se debe revisar la configuración antispam y nunca abrir documentos adjuntos enviados por remitentes desconocidos.

Políticas de uso de la información empresarial

La política de seguridad de una organización debe contemplar tanto aspectos técnicos como no técnicos, asociados a la protección del usuario y su privacidad: los dispositivos móviles, las comunicaciones asociadas, las apps, y los datos corporativos y personales.

De acuerdo con Miguel Ángel Fernández, director de VeriTran Chile, “el objetivo principal es mitigar los riesgos identificados por la organización, asociados a la utilización de dispositivos móviles y a la posible exposición de datos confidenciales y sensibles. Estas políticas estarán condicionadas por el cumplimiento y conformidad con los requisitos impuestos por las leyes y regulaciones que apliquen al sector y al negocio de la organización, así como otros aspectos propios del país de aplicación”.

Miguel Ángel Fernández

Geoffroy, de Novared, enfatizó que se debe normar y controlar qué tipo de información se almacena en el dispositivo, asegurando a la vez la integridad y confidencialidad de la misma. De igual forma con las aplicaciones de uso personal, ya que terminan conviviendo en el entorno empresarial. Para esto es fundamental el uso de tecnologías de MDM.

No obstante, un estudio de Kaspersky Lab encontró que muchos propietarios de pequeños negocios creen que la política de trabajo BYOD no representa una amenaza para sus compañías, ni tienen interés en invertir algún esfuerzo en la seguridad de los dispositivos móviles. Lo que es peor, sus empleados piensan que la seguridad es responsabilidad del negocio.

Martínez, de Kaspersky Lab, resaltó que, entre los primeros pasos que deben planear las organizaciones para implementar, de manera segura, una política de trabajo BYOD se encuentran: evaluar el uso de dispositivos personales para trabajar, y elegir una solución de seguridad móvil que los pueda proteger de manera eficiente contra el malware y otras ciberamenazas, y que permita una fácil administración.

El experto subrayó que otro paso importante debe ser la educación del personal, para que no confíen en trucos de ingeniería social, que no revisen códigos QR que los pueden llevar a páginas web de phishing, o que reporten la pérdida de un dispositivo tan pronto como sea posible. “La organización deberá desarrollar escenarios minuciosamente con respecto a la eliminación de los dispositivos personales de la red corporativa en caso de que se pierdan o se los roben, o también en caso de que el empleado deje la empresa. En estos casos, se debe planear con antelación para eliminar los datos corporativos confidenciales de tales dispositivos, y que se pueda bloquear el acceso a la red corporativa desde ellos”, explicó Martínez.

Privacidad y protección de datos empresariales

En protección de datos empresariales, Nieto, de Intel Security, dijo que se debe tener en cuenta la educación al usuario sobre las buenas prácticas del uso de la información, cifrar de los equipos para asegurar la información, y contar con un sistema de seguridad instalado en los equipos para asegurar que los archivos y apps que se ejecuten son los adecuados.

Para garantizar la protección de los datos, un activo sumamente valioso para las compañías, Fernández, de VeriTran, recomendó contar con tecnologías disruptivas que reconozcan esta dificultad y planteen funcionalidades con seguridad. “Resulta fundamental trabajar con tecnologías que validen la autenticidad del usuario y las transacciones para alivianar las preocupaciones. El reconocimiento biométrico, el cual puede ser facial, de voz o de huella digital, dependiendo del modelo de teléfono, resulta un nuevo atributo adicional a los ya existentes”, indicó.

Los expertos también aconsejaron utilizar siempre una conexión de red privada virtual para conectarse a internet fuera de la empresa, pues esto ayuda a asegurar que el tráfico de red no se pueda interceptar fácilmente, y reduce la probabilidad de que se inyecte malware en una aplicación legítima descargada de internet. Además, no se debe cargar los dispositivos móviles utilizando un puerto USB conectado a una computadora, ya que podría infectarse con malware del PC.  Es mejor conectar el teléfono directamente al adaptador de corriente.

Proteja sus dispositivos con una contraseña, no un PIN. Si alguien encuentra el PIN, los ciberatacantes pueden obtener acceso físico a su dispositivo móvil e instalar el implante de malware sin su conocimiento. Utilice la función de cifrado en las memorias para almacenamiento de datos que vienen con sus dispositivos móviles (…), especialmente en los dispositivos que permiten la extracción de discos de memoria. (…) No destrabe (jailbreak) su dispositivo. No utilice teléfonos celulares de segunda mano, que pueden venir con malware preinstalado. (…) Y, por último, tenga en cuenta que las conversaciones convencionales en un entorno natural siempre serán más seguras que las llevadas a cabo electrónicamente”, concluyó Martínez, de Kaspersky Lab.

Este artículo se actualizó por última vez en julio 2016

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Guía Esencial

Guía esencial: Protección de datos en las plataformas móviles

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close