BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía esencial: Protección de datos en las plataformas móviles
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Usuarios ‘promiscuos’ redefinen los límites de la buena seguridad móvil

Para satisfacer las demandas de movilidad actuales –y entregar una buena seguridad móvil– las organizaciones deben balancear las necesidades de negocios y de los usuarios, dice Dionisio Zumerle en Gartner.

Dionisio Zumerle utiliza una palabra llamativa para describir una de las tendencias que está remodelando cómo las organizaciones tendrán que asegurar los dispositivos móviles que sus empleados utilizan: promiscuidad. La definición del analista de Gartner es decididamente menos vaporosa de lo que muchas mentes evocarán, pero es imprescindible para una buena seguridad móvil hoy.

Zumerle está hablando de la tendencia de las personas a utilizar indiscriminadamente sus teléfonos inteligentes y tabletas para negocios y uso personal, alternando entre, digamos, una aplicación de Salesforce para comprobar datos del cliente y el servicio de noticias en Facebook, o una herramienta de análisis de datos y un correo electrónico de una tía en Gmail.

Añada a ese tipo de promiscuidad esto: habilitación, dijo Zumerle, quien coescribió el recientemente actualizado informe "Cómo los negocios digitales remodelan la seguridad móvil". Las organizaciones desean dar a sus trabajadores libertad para acceder a internet en sus teléfonos iPhones y Android, en sus tabletas. Están menos interesados ​​en imponer confinamientos en dispositivos en el lugar de trabajo.

"Se trata de cómo lo móvil puede permitir a las empresas ver más allá, ser más eficiente, incluso para presentarle nuevos modelos de negocio si usted lo desea o nuevas formas de interactuar dentro de la empresa", dijo Zumerle en una entrevista con SearchCIO. "La seguridad debería ser algo que debe ser construido sobre esto, debe estar incorporada. Es fácil de decir, pero debe interferir lo menos posible".

La última tendencia es la convergencia, los sistemas operativos y las aplicaciones trabajando en los dispositivos móviles y las PC. Póngalos juntos –promiscuidad, habilitación y convergencia– y usted tiene un nuevo mandato, no solo instrucciones sobre cómo implementar una herramienta de gestión de movilidad empresarial (EMM) para gestionar y asegurar los dispositivos móviles. Para una buena seguridad móvil, las organizaciones tienen que equilibrar la necesidad de aplicaciones seguras con la necesidad de los usuarios de acceder a los datos, cualquiera que estos sean.

En su conversación con SearchCIO, Zumerle detalló qué medidas de seguridad móvil deben tomar hoy las organizaciones, y cómo deben empezar. Aquí están los extractos de esa conversación.

¿Con qué necesitan ayuda ahora la mayoría de las organizaciones respecto a la seguridad de dispositivos móviles?

Dionisio Zumerle: Si tuviera que resumir la mayor parte de mis llamadas sobre movilidad, la principal cuestión subyacente es, ¿cuánto es suficiente? ¿Y estamos haciendo lo suficiente, o estamos haciendo demasiado ahora? Hay algunas empresas, por ejemplo, que pasan, digamos, el 80% de su tiempo tratando de eliminar el 20% de su riesgo. Ellos se preocupan por el malware avanzado, pero luego se les pregunta acerca de la complejidad de los códigos de acceso y tienen códigos de acceso de cuatro dígitos. O se les pregunta si bloquean las aplicaciones de carga lateral, y no lo hacen. Es el enfoque equivocado que tratar para protegerse contra ataques dirigidos avanzados en los dispositivos móviles cuando no se han hecho las cosas básicas.

Algunas empresas tienen dificultades incluso para instalar herramientas básicas, porque hay campañas en contra de la alta dirección. El CIO podría decir: "Bueno, necesitamos herramientas EMM en la empresa para mitigar algunos de los riesgos que tenemos". La respuesta [de los líderes de negocios] sería: "¿Qué hicimos el año pasado?". Y probablemente la respuesta [del CIO] sería: "Realmente no hicimos nada. No teníamos una herramienta el año pasado". [El negocio diría]: "Está bien, si nada pasó el año pasado, hagan lo mismo el próximo año".

¿Cómo deberían las organizaciones estar pensando acerca del riesgo de la seguridad móvil?

Zumerle: Es importante entender la organización, el ambiente en el que se encuentra, los riesgos que podría tener, el marco regulador también. A partir de ahí, defina los requisitos –¿cuál es la necesidad de seguridad?– y luego trate de traducir esos requisitos en una política móvil lógica. Usted tendrá una mejor idea de qué tipo de herramientas técnicas necesitará para traducir esa política lógica en una aplicación técnica.

Hicimos una encuesta [en la cual] preguntamos a los usuarios de BYOD [traiga su propio dispositivo], "¿Qué haría usted si su dispositivo fuera hackeado, o si perdió su dispositivo o si algo malo le pasó a su dispositivo?". Le preguntamos a los usuarios que eran BYOD subterráneos, que no le habían dicho su empleador; luego preguntamos a los usuarios que tenían BYOD de una política [empresarial]. Dos tercios de los usuarios de BYOD subterráneos dijo: "Yo no diría nada. Yo no le diría a mi empleador". Cuando preguntamos a los usuarios que sí tienen una política formal BYOD, un tercio de ellos dijeron que no informarían de un dispositivo perdido o hackeado. Eso le dice que es necesario que haya algún tipo de imposición técnica. Cuán estricta y cuán completa depende del perfil de riesgo de la empresa.

¿Cuáles son las tendencias que impulsan la necesidad de cambiar las estrategias de seguridad móvil?

Zumerle: Las tres principales tendencias son la promiscuidad, la habilitación y la convergencia. La promiscuidad: usted tiene usuarios utilizando dispositivos con datos personales y de negocios. Piense en las aplicaciones para tomar notas, por ejemplo, y el almacenamiento basado en la nube. Piense en las aplicaciones de sincronización e intercambio en la nube. Piense en los asistentes personales virtuales; usted puede enviar mensajes de texto, por ejemplo, a sus colegas. Hay más y más uso promiscuo de estos dispositivos, y vamos a tener aún más. Eso te dice que es necesario encontrar maneras inteligentes de hacer frente a ese uso promiscuo cuando usted quiere tener seguridad en los dispositivos.

La segunda cosa es la habilitación. Hay una peculiaridad sobre el mercado de la seguridad móvil: En realidad no es el mercado de la seguridad móvil. Es el mercado de la movilidad segura, y eso hace una gran diferencia. La seguridad es una característica que es importante, pero es un mercado de habilitación. Si nos fijamos en los jugadores de gestión de la movilidad empresarial, no encontrará los actores tradicionales de seguridad de punto final allí, [como] líderes en el mercado. Una de las razones es que los compradores de esta tecnología buscan habilitación. Ellos quieren saber que con estas soluciones mi fuerza de trabajo puede ir a la internet, que puedo movilizar mis aplicaciones empresariales. Que la mensajería alrededor sea capaz de trabar dispositivos, sea capaz de detener o bloquear funcionalidades, eso es menos interesante para ellos. Así que es un mercado que tiene que llevar seguridad, pero si solo aporta seguridad, no va a ser suficiente.

La tercera cosa es la convergencia. Por ejemplo, ahora las aplicaciones de Android serán soportadas por Chrome OS. Usted tiene Windows 10 que tiene el mismo núcleo entre móviles y computadoras portátiles. También tiene aplicaciones Metro ejecutándose en ambas plataformas. Así que usted está empezando a tener plataformas que pueden alcanzar más factores de forma y pueden hacer interoperar diferentes objetos. Eso se está volviendo más interesante para las empresas. Cuando nos fijamos en el lugar de trabajo digital, por ejemplo, usted puede empezar a encontrar nuevas formas de trabajar o formas más flexibles de trabajo, pero también amplía la superficie de ataque.

¿Qué prácticas deben adoptar todas las organizaciones para una buena seguridad móvil?

Zumerle: Una de las cosas de las que siempre hablamos es de ser táctico. Usted tiene un importante lanzamiento del sistema operativo para el móvil –me refiero a iOS y Android– básicamente todos los años. Para Windows o Mac OS, es alrededor de tres años. Eso por sí solo puede decirle que con el móvil usted tiene una tecnología que se mueve tres veces más rápido que la TI tradicional.

Hay un montón de cosas interesantes que están saliendo ahora para las empresas. Usted tiene, por ejemplo, contención nativa: Se está empezando a tener plataformas móviles que por sí mismas le dan la posibilidad de contener sus aplicaciones. Lo que se quiere hacer es poner en práctica soluciones que le permitan responder a sus necesidades actuales y también le permitan mantenerse flexible y ser capaz de reconsiderar su arquitectura o sus opciones en los próximos 24 meses. Lo que no quiere hacer es tener opciones que lo mantengan encerrado por, digamos, cinco años a partir de ahora. Eso es porque las cosas son muy, muy volátiles en este momento en el mercado de la movilidad empresarial.

La otra cosa es que es importante tratar, en lugar de alinear a los usuarios a sus decisiones, tratar de alinear sus herramientas, sus prácticas, a cómo los usuarios están utilizando sus dispositivos. Así que, en lugar de, digamos, bloquear una aplicación de sincronización e intercambio de archivos, ofrecerles una alternativa legítima. Ofrézcales una aplicación de sincronización e intercambio de archivos empresa que sea utilizable. Ofrézcales encriptación de datos basada en archivo para archivos específicos, y luego permítales enviar esos archivos a través de la aplicación de sincronización e intercambio de archivos de su elección, por ejemplo. ¿Y por qué es eso? Porque hay tanta actividad de TI que tiene lugar fuera de TI. Se le puede llamar TI en las sombras, se le puede llamar BYOx, se le puede llamar TI ciudadanas –un término mejor, un término más constructivo– pero la realidad es que hay una gran cantidad de usuarios que solo siguen adelante y deciden usar una aplicación o un dispositivo, y no hay mucho que una empresa pueda hacer al respecto. Lo que tiene que hacer es ser un facilitador de esas decisiones, proporcionar opciones y no tratar de poseer el riesgo.

¿Algún consejo final para los CIO sobre la gestión de riesgos de seguridad móvil?

Zumerle: Es importante no tratar de ver lo que todos los demás están haciendo y poner en práctica la misma cosa. Es importante pensar en cuáles son sus propios casos de uso, cuáles son sus propias necesidades, quién es su población de usuarios. En algún momento, también necesita involucrar a las partes interesadas, desde [recursos humanos], hasta legal [y otros departamentos] para llegar a una política móvil. Esa política móvil le mostrará el camino hacia las herramientas que puedan permitirle hacer cumplir esa política, en cierta medida, en sus dispositivos. También es importante entender que, en esta etapa, la empresa puede necesitar obtener [otro tipo de herramienta] solo para pequeños compartimentos de la población con necesidades muy específicas. Es difícil encontrar alguna herramienta de una sola talla para todo, que cubra toda la empresa.

Próximos pasos

Revise también:

Pruebe su conocimiento de seguridad para dispositivos móviles

Seguridad móvil e innovación son prioridades en el mercado brasileño

La privacidad y la seguridad móvil no son lo mismo

Este artículo se actualizó por última vez en julio 2016

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close