BYOD, un nuevo reto para la seguridad de la red
Acacio Martín, Director General de Fortinet Iberia, repasa en este artículo cómo la tendencia BYOD es una práctica muy peligrosa para las empresas que no estén preparadas en materia de seguridad.
No se puede negar que la tendencia BYOD (Bring Your Own Device) avanza a pasos agigantados. Cada vez más, el usuario escoge libremente su plataforma, su smartphone y su propia tarifa plana mensual en lugar de aceptar un dispositivo TI estándar. Consecuentemente, más y más empresas se ven empujadas a permitir que se acceda a sus redes con dispositivos no corporativos, como sus iPad o el último dispositivo Android.
Para las organizaciones, la proliferación de dispositivos personales en el entorno de trabajo mejora la eficiencia y la productividad, además de reducir los costes. El trabajador puede contestar a los emails, descargarse información de los archivos de la compañía, compartirlos o actualizar un site desde el tren, la playa o mientras asiste al partido de fútbol de sus hijos – normalmente en su tiempo libre. A un nivel más personal, los estudios demuestran que los empleados están más felices y son más eficientes cuando utilizan los dispositivos y aplicaciones que ellos mismos han elegido para su trabajo.
Parece que estemos ante una estrategia win-win, ¿verdad? Pero he aquí el dilema – mientras que todos quieren ser más productivos, sorprendentemente son pocas las compañías que disponen de políticas concretas para asegurar la adecuada entrada de dispositivos móviles en la red corporativa. Y sin estas políticas, a las organizaciones no les quedará más opción que impedir el uso de estos dispositivos y consecuentemente el incremento de la productividad y el importante ahorro de costes.
De acuerdo con una investigación independiente realizada entre los gestores de 300 medianas y grandes compañías de TI en Europa, hasta un 60% de los encuestados estaban preocupados por la capacidad de sus empresas para asegurar los datos corporativos en este nuevo entorno de consumerización de las TI. La mayoría de las compañías no tienen medios o no saben cómo asegurar los dispositivos móviles personales: el 66% de los encuestados señalaron que sólo permiten el uso de dispositivos corporativos móviles dentro de sus políticas de seguridad. El 21% de las empresas considera que la responsabilidad de asegurar los endpoints móviles personales recae directamente en el usuario/propietario del dispositivo, una práctica muy peligrosa.
Por un lado, es comprensible que las empresas sean reacias a incorporar los dispositivos personales de sus empleados a la red. Generalmente, estos carecen de las funcionalidades de seguridad básicas – como un antivirus o la protección mediante password – incorporadas prácticamente en todos los PCs corporativos. Por otro lado, la agilidad que ofrecen implica que muchas aplicaciones críticas puedan ser accesibles desde cualquier red y localización. Esto supone que los datos sensibles almacenados en estos dispositivos se vean expuestos, lo que puede perjudicar al negocio.
Para la empresa es complicado decir que no al trabajador y estos buscarán la manera de seguir utilizándolo con fines laborales.
En este contexto, ¿cuál es la solución para afrontar los retos de seguridad que implica la BYOD? Lo resumiremos en tres puntos:
Implementar una política móvil: Analizar los objetivos y determinar las amenazas relevantes (como websites maliciosos, pérdida de productividad, uso excesivo del ancho de banda) para la red. Algunas preguntas que el departamento de TI debería hacerse son: ¿Qué aplicaciones se requieren y cuáles no están permitidas?, ¿Qué empleados tendrán permiso para acceder a esos dispositivos?, ¿Quién tiene acceso a la red, a qué, dónde y cuándo?
Las compañías deberían controlar el acceso según las necesidades de información y llevar a cabo continuas evaluaciones de vulnerabilidad. Y por supuesto, deben hacer cumplir estas políticas.
Software de gestión remota: Es importante aplicar las funciones de seguridad básica, como antivirus o el borrado remoto de los datos de software, a cualquier dispositivo con información corporativa. El software de gestión remota permite actualizar automáticamente los dispositivos de los usuarios con los últimos patches para evitar vulnerabilidades frente a un ataque móvil. Las compañías deberían implementar un sistema remoto que permita localizar, rastrear, bloquear, borrar, hacer backup y restaurar las aplicaciones para que puedan proteger, recuperar y restaurar los datos corporativos de los dispositivos móviles perdidos o robados.
Bloquear los dispositivos que no cumplan la normativa: Las organizaciones pueden poner en práctica el arte del compromiso. Con frecuencia los trabajadores son partidarios de utilizar sus dispositivos móviles personales en el trabajo pero son reacios a instalar software adicional – que potencialmente puede borrar los contactos y fotos de su teléfono, tablet o portátil. Como compromiso, las compañías pueden permitir que sus trabajadores utilicen sus propios dispositivos si acceden a instalar determinadas apps de acuerdo con las políticas de seguridad. Si no, se denegará el acceso a la red corporativa. Una solución alternativa es que las empresas consideren la posibilidad de particionar los teléfonos– una parte dedicada a uso personal, y otra al profesional – estando sometida, ésta última, a la política corporativa.
Sin embargo, en última instancia las organizaciones deben ser conscientes de que para proteger sus redes corporativas y sus datos frente a cualquier potencial amenaza procedente de los dispositivos móviles, deben llevar la seguridad a nivel de red más que a nivel de endpoint. De hecho, es muy difícil proteger el teléfono o la tablet como tal a través de agentes de seguridad: técnicamente, los dispositivos móviles no tienen suficiente potencia y hay muchos tipos de sistemas operativos y dispositivos para mantener actualizados los agentes; por otro lado es muy complicado obligar a los empleados a instalar un software de seguridad en los dispositivos móviles que traen a la oficina.
La única solución efectiva es asegurarse de que el núcleo de la red está protegido y que la empresas puede controlar los accesos de entrada y salida a la red corporativa desde cualquier dispositivo externo. Esta estrategia de seguridad de red requiere un fuerte control sobre los usuarios y las aplicaciones, en la parte superior de la gestión del dispositivo. Esto requiere que las compañías de TI tengan capacidad para detectar y controlar el uso de las aplicaciones en sus redes y endpoints en base a la clasificación de aplicaciones, análisis de comportamientos y asociación con el usuario; y para detectar y controlar, a nivel granular, las aplicaciones basadas en web, como la inspección del tráfico de aplicaciones cifradas, sea cual sea el puerto o protocolo utilizado.
Está claro que las organizaciones tendrán que esforzarse para adaptarse a una nueva forma de apoyo a sus empleados, pero no hay alternativa – BYOD está aquí para quedarse, y los gestores de TI tienen que aprovechar esta oportunidad.