Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Mitigue aplicaciones maliciosas con capacitación en seguridad para dispositivos móviles

Mejorar el comportamiento del usuario como parte de una estrategia de seguridad móvil es vital, y tendrá un gran impacto en el éxito de la mitigación de esta amenaza.

Los dispositivos móviles, sin duda, juegan un papel importante en desdibujar los límites entre el trabajo y la vida personal. Sin embargo, compartir datos de negocios y personales en un solo dispositivo puede ser una receta para el desastre, si los empleados no se dan cuenta de cómo los hackers están apuntando a los dispositivos móviles, y aprovechando la naturaleza más relajada de las comunicaciones móviles para infectar sus dispositivos. Mejorar el comportamiento del usuario como parte de una estrategia de mitigación es vital, y tendráun gran impacto en el éxito global de la mitigación de esta creciente amenaza. Este artículo técnico ofrece algunas ideas de cómo cambiar el comportamiento del usuario, y limitar las posibilidades de las aplicaciones móviles maliciosas que se dirijan a los dispositivos de los empleados.

De acuerdo con el reciente Estudio de Movilidad Global de IDG, 70% de los empleados encuestados que acceden a la red corporativa utilizan un teléfono inteligente o una tableta de propiedad personal. El uso de dispositivos móviles personales para el trabajo solo seguirá creciendo, y los beneficios para la productividad hacen que valga la pena el esfuerzo de asegurar que no pongan en peligro la seguridad de datos. Debido a la diversidad de dispositivos móviles, a menudo es más efectivo centrarse en la educación de los usuarios, y gestionar y rastrear el acceso a los recursos de red, en lugar de tratar de controlar cada dispositivo.

Muchos usuarios ven las políticas sobre traer su propio dispositivo (BYOD) como una oportunidad para escapar de las restricciones de la seguridad aplicada en la red. Ellos no se dan cuenta de que los ciberdelincuentes están atacando cada vez más a los usuarios móviles, para aprovecharse de aquellos que bajan la guardia. Sin embargo, las técnicas de ataque establecidas y exitosas, como el spam y el phishing, se están adaptando para el entorno móvil para engañar a los usuarios para que faciliten información confidencial y descarguen aplicaciones maliciosas. Los usuarios necesitan entender esto y saber cómo evitar convertirse en una víctima.

El entrenamiento existente para formar la conciencia de seguridad tiende a estar basado en torno al usuario de escritorio. Esto debe ser actualizado para reflejar las marcadas diferencias en cómo los empleados utilizan un dispositivo móvil, en comparación con una computadora de escritorio, y los mayores riesgos asociados con la descarga de aplicaciones móviles. Por ejemplo, los usuarios móviles descargan aplicaciones dedicadas para acceder a contenido y realizar tareas específicas; ellos no utilizan motores de búsqueda y un navegador tanto como los usuarios de escritorio. Además, muchos usuarios móviles no son conscientes de cómo configurar los ajustes integrados de seguridad y privacidad de sus dispositivos, y cómo desactivar  funciones tales como la localización.

El entrenamiento de seguridad para el dispositivo móvil debe destacar la importancia de solo descargar aplicaciones de fuentes de confianza, y evitar aquellas que soliciten privilegios excesivos. Darle a "Continuar" durante el proceso de instalación sin comprobar lo que se está aceptando es un hábito que debe ser detenido. Los usuarios deben considerar las calificaciones de la aplicación y leer críticas, ya que a menudo se señalan las aplicaciones que se debe evitar. Los controles de seguridad, como la encriptación de datos personales, son características importantes que se debe buscar en la descripción de las aplicaciones. Cualquier aplicación que trata de imitar a otras aplicaciones o proveedores reconocidos, no deben ser instaladas.

Los hackers tienen muchas oportunidades para engañar a los usuarios móviles cuando navegan por la web, ya que es mucho más difícil verificar la dirección URL de un sitio. Los usuarios están acostumbrados a que los redirijan hacia páginas optimizadas para dispositivos móviles, y muchos vínculos URL están recortados, ocultando el verdadero destino. Un usuario tampoco puede colocar el cursor sobre el enlace en un correo electrónico para ver la verdadera URL. Estos aspectos de la navegación móvil significan que los usuarios tienen que ejercer más cautela cuando un sitio pide datos personales, o les pide descargar una aplicación.

Si bien los dispositivos móviles pueden introducir un método más informal de comunicación y trabajo, las políticas de seguridad y las medidas disciplinarias no se pueden relajar. Sin la apropiada aplicación de las  políticas móviles, los usuarios desecharán rápidamente las mejores prácticas. El despliegue de un sistema de gestión de dispositivos móviles para requerir contraseñas y cifrado, y para borrar de forma remota los dispositivos perdidos, puede ayudar a contraatacar el uso descuidado, proporcionando a la vez visibilidad al área de TI sobre cuáles aplicaciones están accediendo a los datos corporativos.

Seguirán surgiendo nuevas técnicas para atacar a los usuarios móviles, haciendo esenciales las actualizaciones regulares en el entrenamiento. Las políticas de seguridad móvil no serán eficaces si las organizaciones no prestan atención a la experiencia del usuario, y preparan la formación en seguridad para reflejar las diferentes amenazas y vectores de ataque a los que se enfrenta un usuario móvil. Para ayudar a insertar la seguridad en la vida laboral cotidiana de los empleados, se debe poner capacitación obligatoria para los nuevos empleados antes de permitirles el acceso móvil a los recursos de red. Asegúrese de que  pueden identificar signos de infección: los más comunes son batería y rendimiento de procesamiento disminuidos, y problemas con aplicaciones congeladas. También restrinja ciertas actividades o servicios para los usuarios que contravengan la política, para demostrar que la seguridad se toma en serio.

Fallar en incorporar el entrenamiento específico para el uso móvil dejará a los usuarios y sus dispositivos como el mayor agujero en las defensas de la red. Mejorar su situación de seguridad es la forma más eficaz de proteger los activos de la empresa del inevitable aumento en el uso de dispositivos móviles.

Sobre el autor: Michael Cobb, CISSP - ISSAP, es un reconocido autor de seguridad, con más de 15 años de experiencia en la industria de TI, y otros 16 años de experiencia en finanzas. Es el fundador y director gerente de Cobweb Applications Ltd., una consultora que ayuda a las empresas a asegurar sus redes y sitios web, y también les ayuda a lograr la certificación ISO 27001. Es co -autor del libro “Seguridad IIS” y ha escrito numerosos artículos técnicos para importantes publicaciones de TI. Michael es también un Microsoft Certified Database Administrator y un Microsoft Certified Professional.

Este artículo se actualizó por última vez en diciembre 2013

Profundice más

Únase a la conversación

1 comentario

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Easy Solutions está interesado en esta capacitación agradecería su colaboración si pueden enviarnos información al respecto sobre pagos horarios etc.
Gracias
Cancelar

- ANUNCIOS POR GOOGLE

Close