El uso de dispositivos móviles con fines laborales, fenómeno conocido como BYOD por las siglas en inglés de “traiga su propio dispositivo”, es una tendencia que ha irrumpido con fuerza en el mundo corporativo. De hecho, de acuerdo con el Barómetro de Movilidad de Motorola Solutions, son las empresas mismas quienes, cada vez más, equipan a sus gerentes y mandos medios con computadoras robustas de mano, laptops, tablets y smartphones.
Ante este escenario, Khu Technologies (Khutech), empresa líder en gestión de seguridad de la información, realizó un análisis sobre las principales incidencias que el crecimiento del BYOD tiene a nivel de Seguridad de la Información para las empresas.
“Lo primero a tener en cuenta con el uso de los dispositivos móviles -explica Alejandro Mitaritonna, Director de Khutech- es que, más allá de la seguridad física del dispositivo en sí mismo, que puede ser sustraído por un ladrón cualquiera, lo más importante es la información que estos equipos llevan dentro, ya que es esta pérdida la que puede tener costos altísimos para la organización.”
Además de las amenazas más conocidas, como el típico ladrón o hacker, existen otras más sofisticadas como, por ejemplo, las técnicas de war-driving que incluyen el Wi-Fi o blue-driving. Estas prácticas implican buscar e interceptar dispositivos mediante las conexiones de Wi-Fi o Bluetooth, es decir, interceptar (robar) datos on-the-fly, desde otro dispositivo utilizando una simple placa Arduino con placas compatibles con esos sistemas de transmisión. Estas técnicas son un claro ejemplo de cómo se puede apuntar a la sustracción de los datos sin importar el dispositivo físico.
El malware es un peligro que también el BYOD debe afrontar. Mitaritonna afirma que “de acuerdo a las estadísticas la mayoría de los ataques de este tipo se producen a través de troyanos por SMS o por bajar aplicaciones desde fuentes desconocidas.”
Sin embargo, al igual que en la mayoría de las amenazas de seguridad, el eslabón más débil sigue siendo el usuario. “La falta de concientización y de conocimiento sobre los riesgos que se corren al perder o ser substraído un dispositivo móvil, y sobre todo la información que contiene, es altísima”, asegura el ejecutivo de Khutech. “Es evidente que las empresas deben contar con políticas claras que se apliquen a la protección de la información en circulación y protocolos sobre qué medidas deben tomar los empleados que transporten un dispositivo móvil corporativo.”
En este sentido, Mitaritonna especifica algunas recomendaciones básicas para protegerse ante las amenazas derivadas del BYOD:
• Concientizar al personal sobre los riesgos y consecuencias del robo o pérdida de los dispositivos móviles que provee la empresa. Advertir de los peligros que conllevan determinadas actuaciones y de la importancia de contar con protección es clave para que la seguridad sea eficaz.
• Establecer políticas y procedimientos en la empresa que se centren en la protección de los datos, definiendo protocolos de acción ante siniestros de los dispositivos o de la información que contienen los mismos.
• Proteger las redes inalámbricas de la empresa. Este es un factor clave, ya que si no cuentan con el nivel de seguridad mínimo requerido, se podría interceptar y robar la información que circula incluso dentro de la compañía.
• Cifrar los dispositivos en su totalidad o establecer una partición cifrada dentro de los mismos (aplicable sobre todo a dispositivos con sistema operativo Android). De esta forma, se dificulta el acceso al contenido por parte de terceros.
• Utilizar, y mantener constantemente actualizados, anti malwares y antivirus de empresas reconocidas y con versiones completas, ya que las gratuitas carecen de funcionalidades importantes para el ámbito empresarial.
• Descargar aplicaciones solo de fuentes conocidas y nunca de tiendas de terceros. De esta forma, se disminuye el riesgo de infección de malware. Además, es importante tener en cuenta que, por más que se actualice el sistema operativo de los dispositivos móviles, las aplicaciones continuarán teniendo acceso a la información personal y privada almacenada en los mismos.
