Tips para seguridad móvil y la práctica BYOD

3En la actualidad equipos como los teléfonos celulares inteligentes ‑conocidos como smartphones (dispositivos que poseen características similares a las de una computadora portátil), laptops, netbooks y tabletas son cada vez más rápidos y accesibles, por lo que los usuarios cuentan con poderosas computadoras portátiles, que representa nuevos retos y consideraciones para la seguridad de las empresas. Utilizamos los dispositivos móviles para conectarnos a Internet, navegar en la web, revisar el correo electrónico, jugar, comprar, pagar cuentas y hasta compartir nuestros pensamientos a través de las redes sociales. Para nosotros los consumidores, el delito cibernético puede parecer una amenaza lejana que está relacionada con el espionaje internacional o piratería informática en las empresas grandes; sin embargo, en una compra en línea también podemos ser dañados.

En la actualidad existen diversos tipos de ataques y/o riesgos que puedan existir para los usuarios de smartphones: malware, phishing, fraudes y robo o pérdida del dispositivo. Cada uno de estos riesgos puede perjudicar al consumidor de diferentes maneras. Phishing es una técnica que consiste en obtener información personal o financiera del usuario haciéndole creer que quien solicita esos datos es un ente de confianza como un banco o una reconocida empresa. Malware es un término que engloba a todo tipo de programa o código de computadora con fines dañinos que, al infectar una computadora, realizan diversas acciones, como el robo de información, el control del sistema o la captura de contraseñas.

En adición, la práctica Bring Your Own Device (BYOD) en las empresas se está convirtiendo en algo común y, aunque representa un importante ahorro en dispositivos y tiempo para las empresas, también abre brechas de seguridad que pueden ser aprovechadas por el malware, con el riesgo inherente de pérdida y robo de tabletas y smartphones.4

Con tantas personas teniendo acceso a datos corporativos, desde diferentes lugares y en cualquier momento, a través de dispositivos personales ¿cómo se puede administrar adecuadamente la seguridad? Y ante la interrogante de ¿quién es el responsable por las vulnerabilidades –o de evitarlas? La respuesta es tanto el usuario como la empresa.

Recuerda que la medida de protección más importante que hay que tomar es el sentido común y la precaución. Dicho esto, considera las siguientes recomendaciones de seguridad:

  1. Cuida tus datos de carácter personal, incluyendo el número de tu tarjeta de crédito –y si lo haces, verifica que el sitio sea de confianza.
  2. Coloca una contraseña o a patrón de desbloqueo de acceso al teléfono. Esto hace más difícil el acceso a la información personal si el dispositivo se pierde o lo roban.
  3. No guardes información relacionada con el trabajo en dispositivos de tu propiedad a menos que se autorice otra cosa.
  4. No hay necesidad de que publique a los ladrones que tienes un dispositivo móvil. El robo en sí mismo, como mínimo, es frustrante, inconveniente y desconcertante, pero lo que está realmente en riesgo es la información contenida en los dispositivos móviles y sólo su propietario puede determinar el valor de esta información, especialmente si puede simplemente perderse o, peor, caer en manos equivocadas.
  5. No olvides mantener operativo y actualizado algún software antivirus y de mantener actualizado el sistema operativo de tu dispositivo móvil. Si tu dispositivo móvil cuenta con firewall, úsalo.
  6. Realiza respaldos periódicos de la información que guardas en tu dispositivo móvil. Cifra tus datos cada vez que puedas para mantenerlos en secreto. El cifrado de datos es el proceso por el que una información legible se transforma mediante un algoritmo (llamado cifra) en información ilegible, llamada criptograma o secreto.
  7. Presta atención a la información que proporcionas para poder utilizar una aplicación.
  8. Ten cuidado con las ofertas ‘incomparables’; navega directamente en las páginas oficiales de las marcas en las redes sociales o en el sitio web para comprobar la oferta.
  9. Lee atentamente los permisos de todas las nuevas aplicaciones y actualizaciones que vayas a instalar.
  10. Asegúrate de descargar aplicaciones sólo de sitios seguros.
  11. Antes de cerrar el navegador desconéctate siempre de los servicios web que requieran contraseña. Si cambias de dispositivo móvil, como mínimo borra la caché y contraseñas almacenadas en el navegador.
  12. No olvides desactivar el bluetooth o Wi-Fi cuando no los utilices. Sólo acepta conexiones de quienes conoces y no publiques tu identidad. No actives el bluetooth de tu móvil si no lo vas a usar así como no te deberías conectar a un dispositivo bluetooth desconocido y solicita siempre autorización cuando intenten conectar contigo. Asegúrate que cuando activas el bluetooth esté en modo “oculto” y evita asociaciones en lugares públicos. En cuanto a las conexiones a través de la WIFI, actívala solo cuando vayas a usarla y no te conectes a puntos de acceso desconocidos.

Una estrategia de seguridad de datos no tiene por qué dificultar la productividad –temor entendible. Para definir con exactitud la situación de los dispositivos BYOD, se recomienda que en las organizaciones el área responsable:

  1. Especifique qué dispositivos móviles están permitidos, qué aplicaciones están autorizadas y cuáles están prohibidas. Precaución es la clave.
  2. Deje bien claro quién es el dueño de las aplicaciones y los datos corporativos. Considere el teletrabajo y el acceso mediante VPN.
  3. Establezca políticas coordinadas con la institución para desarrollar, aplicar y actualizar unas políticas de seguridad sólidas que permitan proteger los datos sin dificultar el rendimiento de los usuarios, insistir en el uso de contraseñas seguras que aplique a todos los dispositivos conectados a la red, obligar el uso de contraseñas para bloquear los equipos, y reglamentar el uso de la red empresarial por todos los dispositivos móviles, ya sean corporativos o en formato BYOD.
  4. La institución debe ser capaz de controlar el uso, cuando el dispositivo se esté utilizando en la red de la compañía o en sus oficinas. Por ejemplo, activar la opción de bloqueo de terminal cada cierto tiempo (ej. 10 minutos), y la solicitud de una contraseña para desbloquear el terminal.
  5. Evalúe instalar un sistema para poder borrar el dispositivo de forma remota, y cifrar datos cuando sea posible.
  6. Deje en claro que la institución puede suspender el acceso (total o segregado) en caso de detectar actividad no autorizada y que se debe seguir siempre las instrucciones de seguridad relacionadas. No olvide considerar los servicios de almacenamiento en la nube.
  7. Considere el aspecto contractual con los empleados, así como el aspecto normativo. El cumplimiento normativo protege a los activos de la información y asegura que los dispositivos cumplan las normas mínimas. Considerar que lo que se publica deja rastro.
  8. Desarrolle una estrategia que asegure la información y accesos durante la permanencia del empleado en la empresa y cuando el empleado deje la empresa.

El seguimiento de estas medidas mantiene una seguridad adecuada de los dispositivos móviles, pero sólo si el usuario y la institución están concientizados y actúan en consecuencia. La gente a veces piensa que en el móvil o la tableta no tienen nada que interese robar sin embargo, olvidan los correos electrónicos, los archivos adjuntos, las libretas de direcciones y contactos y, por supuesto, la configuración inalámbrica y VPN que permiten al acceso a la red corporativa.

Bibliografía

  • Carlos Solís Salazar (http://www.solis.com.ve/10-tips-para-seguridad-movil/)
  • Rosa Martínez (http://www.ohmygeek.net/2012/09/19/sugerencias-para-la-seguridad-ante-la-practica-byod/)
  • Dan Sullivan (http://searchdatacenter.techtarget.com/es/consejo/Seguridad-de-datos-moviles-y-retos-de-cumplimiento-normativo-en-la-empresa)
  • José Carreón (http://www.siliconweek.es/opinion/opinion-almacenamiento/como-disenar-una-estrategia-de-seguridad-de-datos-sobre-la-red-de-almacenamiento-796)
  • Ana Laura Sarmiento      (http://mundocontact.wordpress.com/?s=Recomendaciones+para+mantener+la+seguridad+de+la+informaci%C3%B3n+aun+en+movilidad)
  • Negocio inteligente (http://www.negociointeligente.co/index.php/component/k2/item/1100-tips-de-seguridad-para-mantener-la-privacidad-en-dispositivos-m%C3%B3viles)
  • ESET      (http://www.eset-la.com/pdf/documento_guia_de_seguridad_para_usuarios_de_smartphone_baj.pdf)
  • Telecomunicaciones para gerentes (http://www.telecomunicacionesparagerentes.com/10-consejos-de-seguridad-para-dispositivos-moviles/)

2 comments on “Tips para seguridad móvil y la práctica BYOD

  1. Pingback: Seguridad de la información con la tendencia BYOD | El techblog de Jagi S.A.C.

  2. Pingback: Mobility -¿un problema para la seguridad de la información? | El techblog de Jagi S.A.C.

¿Me comentas?