BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía esencial: Protección de datos en las plataformas móviles
Lo básico Póngase al día con nuestro contenido introductorio.

Los mejores planes de seguridad móvil examinan primero los riesgos, y luego prescriben

¿Cómo los CIO ofrecen la mejor seguridad móvil? Tome el ejemplo del gran psicólogo Abraham Maslow, dice el CTO Niel Nickolaisen.

La jerarquía de necesidades de Maslow comienza con lo básico (requisitos "fisiológicos" y "seguridad") y se abre camino al más alto nivel de necesidad humana: la autorrealización. En el camino, pasa a través de la pertenencia, el amor y la estima. Pertenencia, amor y estima son patrones de dos vías; queremos conectar con y amar a otros seres humanos, y queremos otras personas que conecten con nosotros y nos amen. Queremos tener respeto a uno mismo y ser respetados.

Como líderes de TI, una de las maneras más rápidas en que podemos acabar con nuestra relación con nuestros clientes y perder su amor y estima es ser las personas que ejercen demasiado control sobre las personas que desean la autorrealización. Tal vez debería hacer esto más concreto: el entorno de TI está lleno de CIO que trataron de limitar lo que sus clientes internos podían y no podían hacer con la tecnología. Aprendí hace mucho tiempo que las TI en las sombras existen porque mis clientes no están recibiendo de mi equipo lo que realmente necesitan.

La mejor seguridad móvil desafía las respuestas fáciles

Al mismo tiempo, debemos tener en cuenta cierto nivel de control contra los riesgos de comportamientos nocivos. Necesitamos detener a alguien de recoger una unidad flash USB de la calle, insertarla en su disco duro USB y desatar un virus o ransomware. Nosotros necesitamos tener controles instalados para que nadie pierda datos críticos de clientes o empleados.

El equilibrio entre el riesgo y el control se agrava cuando se aplica a los dispositivos móviles. Los dispositivos móviles (teléfonos inteligentes y tabletas) están, por su propia naturaleza, diseñados para integrarse a las experiencias de computación de la organización y personal. Mi teléfono está lleno de fotos personales y fotos de arquitectura de pizarras y diagramas de flujo. Mis apps incluyen mi correo electrónico corporativo y mi aprobación de gastos, así como mi banca móvil personal.

¿Cómo proporcionamos la mejor seguridad móvil sin ser el idiota que está haciendo la experiencia de cómputo móvil una pesadilla para todos los miembros de la organización? ¿Qué permito y qué bloqueo?

Cuando estoy frente a situaciones ambiguas, aparentemente sin posibilidad de ganar, trato de volver a algunos principios fundamentales. Uno de esos principios fundamentales es tomar decisiones sobre el riesgo solo después de evaluar los riesgos. Admito que eso suena un poco trillado, pero demasiado a menudo he tomado decisiones que tratan a todos los riesgos por igual.

La mejor seguridad móvil evalúa la probabilidad/impacto del riesgo

Para los dispositivos móviles, ¿cuáles son los riesgos? ¿Estamos almacenando datos confidenciales o críticos en los dispositivos? Si es así, ¿qué datos? Si alguien pudiera obtener esa información, ¿qué podrían hacer para dañarme a mí o a la organización? ¿Qué tipo de información contiene nuestro correo electrónico? ¿Esas fotos de los flujos de procesos de negocio dañarían la organización si alguien los capturara? ¿Qué podría hacer una persona si tuviera acceso a mi aplicación de informes de gastos móvil?

Cuando se trata de evaluar los riesgos, me gusta primero identificar los riesgos específicos y, a continuación, para cada riesgo, definir la probabilidad y el impacto del riesgo. Luego, averiguo la mejor y más pragmática manera para mitigar los riesgos con la combinación más alta de probabilidad/impacto.

Por ejemplo, ¿qué datos de información de identificación personal (PII) de un empleado o cliente puede alguien almacenar en su teléfono móvil? Si alguien puede almacenar una gran cantidad, hay una probabilidad de que podamos perder los datos y, dependiendo de la profundidad y amplitud de la PII, el impacto podría ser significativo. En este caso, el mejor plan de seguridad móvil tendría una fuerte mitigación de riesgos PII instalada, y esa  mitigación puede requerir que pongamos ciertos controles. Pero, al menos, delineando la combinación de probabilidad/impacto, podemos articular los riesgos y los controles atenuantes.

Si, por el contrario, nadie puede recibir o almacenar información de identificación personal crítica en sus teléfonos, la combinación de probabilidad/impacto es más pequeña y podríamos no necesitar controlar las vidas de nuestros usuarios. Este enfoque alinea nuestras contramedidas de seguridad a las necesidades de nuestros usuarios de control individual. Y, si usted está sujeto a auditorías de seguridad de la información, este es un enfoque que usted puede explicar a cualquier auditor (aunque, con base en mi experiencia personal, algunos auditores no están familiarizados con la evaluación de riesgos antes de definir la mitigación de riesgos).

Existen riesgos al no hacer lo suficiente para asegurar los dispositivos móviles, pero también existen riesgos al hacer demasiado. Tomar un enfoque basado en el riesgo siempre me ha ayudado a encontrar el equilibrio correcto.

Próximos pasos

Revise también:

Seguridad móvil e innovación, prioridades en Brasil

Consejos para mejorar la seguridad de sus dispositivos móviles

Pruebe su conocimiento de seguridad para dispositivos móviles

 

Investigue más sobre Movilidad

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close