Mesa Redonda: La seguridad en movilidad
La explosión de dispositivos móviles incide directamente en la seguridad de las empresas, que ahora más que nunca tienen que tener en cuenta la movilidad.
BYOD, ataques dirigidos o APTs, vulnerabilidades… Estos y otros muchos temas salen a colación al sentar a la misma mesa a Pedro García, director técnico de Kaspersky, y a Emilio Castellote, director de canal de Panda Security, y proponerles dialogar sobre la seguridad de los entornos móviles.
El primer reto para los fabricantes de seguridad de un entorno en el que conviven PCs con portátiles, smartphones y tabletas es que los clientes ya no sólo necesitan “un perímetro de seguridad” alrededor de los sistemas tradicionales, sino además otro que abarque los múltiples dispositivos que ahora lleva encima cualquier empleado. “Ese cambio ha supuesto que pasemos de una política de prohibición en la que la empresa dictaminaba a qué podía acceder el empleado (aplicaciones, páginas web…) o qué podía hacer; a comprender con la movilidad que una política de restricción será siempre limitada, por no decir imposible”, asegura Emilio Castellote.
Así, los administradores de TI han aprendido que en la batalla de la seguridad es fundamental el papel del usuario. “Estamos viendo que hay una labor de educación y concienciación del usuario”, señala Castellote. “Yo te doy estas herramientas. Tú puedes usarlas para tu disfrute personal, puedes aprovecharlas, pero a cambio te voy a pedir que trabajes desde cualquier parte y a cualquier hora. Y, además, tienes que ser consciente de que tu terminal móvil o tu dispositivo corporativo no puedes dejárselo a tu hijo para que juegue online o no puedes utilizarlo como si fuera un terminal propio”, explica el director de canal de Panda.
Tráete tu propio dispositivo
Una advertencia que puede igualmente escucharse en el caso cada vez más frecuente de que sea el propio empleado el que use su dispositivo personal para trabajar. Y es que movilidad se asocia ya indefectiblemente a BYOD (siglas del célebre Bring Your Own Device), una tendencia que ambos invitados están de acuerdo en definir como “un privilegio”, puesto que “aporta comodidad y la posibilidad de disponer de una serie de equipos que le van a facilitar al empleado el desempeño de su trabajo”, como apunta Pedro García. Eso sí, sin olvidar que la empresa también se beneficia porque surge de la necesidad de mantener el negocio vivo desde cualquier parte y en cualquier momento.
Al extenderse el uso de los teléfonos personales en el trabajo, surge la duda de dónde empieza y acaba la privacidad de ese usuario. En un momento en el que los dos califican como de transición, las empresas van a ser, si no lo son ya, conscientes de los riesgos que implica que su plantilla utilice sus propios dispositivos. Por eso, Castellote prevé que se impondrán en algunos casos políticas que implicarán que el usuario tenga que dar “su consentimiento por escrito” si quiere utilizar su dispositivo, al tiempo que la empresa le va a instalar un servicio que va a monitorizar el terminal, “para ver qué haces, cómo lo haces y, si se pierde, tener capacidad para bloquearlo y localizarlo”.
De todos modos, García apunta que el propietario no debe de preocuparse porque los fabricantes están desarrollando tecnologías que permiten crear dos repositorios dentro del propio terminal. “En uno se va a almacenar aquella información relacionada con la empresa y el otro será un repositorio personal. La empresa va a poder tener acceso al repositorio de la parte empresarial, mientras que la personal no será administrable por la empresa”, aclara el director técnico de Kaspersky.
El gran tema de las aplicaciones
Los términos concienciación y educación salen a relucir de nuevo cuando se les pregunta sobre las aplicaciones móviles y se ponen sobre la mesa datos recientes que hablan de que el 97% de ellas accede a los datos de los usuarios o que el 90% presentan vulnerabilidades. Para García, no hay duda de que los fabricantes de seguridad tienen soluciones que van a proteger los terminales frente a esas aplicaciones maliciosas. Aun así, señala, “si el usuario no es consciente del riesgo que corre y se instala algo y da su permiso para que esa aplicación acceda a todo lo que le pide, y además no toma las precauciones adecuadas para el correcto uso de ese terminal, seguiremos teniendo un problema”.
Castellote cree que las aplicaciones es el gran tema de la seguridad. Y se detiene en dos puntos que considera muy importantes. Por una parte, recuerda que hay muchas aplicaciones vulnerables que ya desde el propio pliego de condiciones, que los usuarios deben leer antes de firmar la licencia de uso, dejan claro que enviarán datos personales al desarrollador o a un tercero. “Una tarea clave es la educación porque es el usuario el que da acceso y permite, al firmar las condiciones, que esa aplicación transmita todo tipo de datos”.
El otro aspecto en el que se detiene es el cambio de tendencia que están viviendo empresas como la suya, Panda Security, que ya no se dedican tanto a localizar el malware, sino que, debido a su extensión, ahora se centran en “descubrir qué es lo bueno”. “Estamos lanzando actualmente servicios para empresas que van a garantizar que cualquier aplicación que ejecutemos sea una aplicación segura, es decir, que no tenga vulnerabilidades y, por tanto, no pueda ser la puerta de entrada para robar la información”, explica Castellote.
La aproximación de Kaspersky es similar. Como cuenta Pedro García, la firma rusa está trabajando en el nuevo MDM (Mobile Device Management), que permite a los administradores “analizar, descargar y certificar esas aplicaciones que previamente se han descargado de las grandes plataformas, y crear su propio ‘app market empresarial’, al que sólo tiene acceso esa empresa y sus empleados”. En su opinión, es la manera de controlar que lo que se van a descargar está totalmente certificado y es seguro.
Seguridad en sistemas operativos
De las aplicaciones pasamos a los sistemas operativos, con Android en el punto de mira de los hackers. La pregunta va con segundas: “¿Están el resto de plataformas a salvo?” García no necesita pensar para responder que no. “Android es el preferido de los hackers porque es el más extendido. Pero el resto no está a salvo. No es que sea más seguro o menos seguro que los otros sistemas; es simplemente que lo usa más gente”.
Castellote piensa igual, aunque para reforzar la idea añade que estamos hablando de “un modelo de negocio que da mucho dinero a muchas personas”. “Por eso se van a lo más rentable: la plataforma que tiene el 80% del mercado”, explica. En cualquier caso, y pese al boom de smartphones y tabletas, el mundo PC sigue siendo el gran objetivo. Por otro lado, “todavía no existe ese concepto de amenaza multiplataforma, que sea capaz de saltar del móvil al mundo PC”.
Pasado y presente
Y dadas las fechas en las que estamos, no podemos terminar sin pedirles a los invitados un resumen de las amenazas del año y preguntarles por lo que nos deparará 2014. Más que con una amenaza, el director de canal de Panda se queda con una tendencia. “Ha sido el año de las APT [Advanced Persistent Threat], de las amenazas avanzadas, totalmente indetectables por los sistemas de seguridad existentes en el mercado”. Un honor que corrobora el dato publicado por Gartner de que las principales empresas del Fortune 500 han admitido que entre el 3 y 4% de sus equipos están infectados por este tipo de amenazas. “Nuestro objetivo para el 2014 es ser capaces de cubrir ese espacio, del 2, 3, 5% de aplicaciones indetectables”.
También desde Kaspersky han comprobado como la principal amenaza a la que han estado expuestas las empresas han sido los ataques dirigidos. “Ataques dirigidos realizados por grupos más organizados, con mayores recursos y utilizando cada vez tecnologías más avanzadas. Esa va a ser también la tendencia para 2014, y mucho más teniendo en cuenta el tema del BYOD y de la movilidad”, aventura Pedro García.