La crisis del coronavirus ha hecho que las empresas dediquen más tiempo a pensar en la ciberseguridad. En este tiempo, las organizaciones han comprobado cómo la desaparición del tradicional perímetro de seguridad es ya una realidad, y se ha impuesto el denominado Zero Trust. Una de las empresas que viene advirtiendo desde hace años sobre ello es MobileIron.
Byte TI habló con Daniel Madero, Director Regional Iberia de MobileIron sobre esta nueva realidad y cómo la están afrontando las empresas en la actualidad.
¿Qué ha supuesto la crisis del coronavirus para las empresas y el mundo TIC?
En realidad, el coronavirus no ha supuesto nada nuevo; lo que sí ha hecho es poner en evidencia aspectos en los que desde MobileIron – y desde la industria en general – veníamos insistiendo desde hace tiempo y que algunas empresas todavía se estaban planteando desarrollar. El más significativo es la desaparición del tradicional perímetro de seguridad, como consecuencia de la necesidad de los empleados de trabajar con dispositivos móviles de forma remota desde diferentes lugares, y del desplazamiento de las aplicaciones a la nube.
Hasta ahora, las soluciones tradicionales de seguridad estaban basadas en proteger el perímetro de la red corporativa, pero desde el momento en que abres una brecha en ese perímetro éste deja de existir, y surge la necesidad de ir a un nuevo modelo de seguridad, el modelo que ha impuesto la movilidad. Porque los móviles, una vez que los conectas a la red de las empresa y les proporcionas acceso a los datos corporativos, se convierten en dispositivos remotos que van a estar permanentemente conectados y que requieren el mismo nivel profesional de seguridad.
Por tanto, lo que el coronavirus ha supuesto para las empresas y el mundo TIC es un fuerte impulso a los procesos de trabajo en movilidad, un cambio que desde hace tiempo se veía venir.
¿Han asumido las empresas muchos riesgos a la hora de poner a teletrabajar a sus empleados?
En mi opinión, muchas empresas han tenido que improvisar y recurrir a procedimientos de emergencia, y ahora se ven obligadas a segmentar bien la solución que hayan implementado y hacerlo de forma correcta, pues tengo la sensación que han dejado cabos sueltos en muchos sitios.
Como he mencionado, el cambio fundamental que han experimentado las empresas es el paso de un entorno de seguridad con perímetro a un entorno en el que éste no he existe, el denominado entorno Zero Trust.
«Hasta ahora, las soluciones tradicionales de seguridad estaban basadas en proteger el perímetro de la red corporativa»
Se trata de un entorno del que MobileIron y toda la industria llevamos tiempo hablando, y que empezó con el auge de los smartphones. Con la aparición del Covid-19, los empleados se ven obligados a trabajar en remoto y fuera de la red corporativa, en unas condiciones de seguridad que encajan perfectamente con la definición de Zero Trust.
Así, trabajando en remoto, los empleados utilizan la red wifi de sus casas – en la mayoría de los casos muy insegura -, además de conectarse con dispositivos que posiblemente no estén debidamente gestionados por la empresa. Todo ello supone la creación de un importante agujero de seguridad, con el riesgo añadido de mezclar las aplicaciones personales con las corporativas y la posibilidad de que la información de la empresa pueda perderse o verse seriamente comprometida.
Esta combinación de una red insegura y de dispositivos no gestionados es muy peligrosa, pues aunque exista una VPN, si el dispositivo que está “al otro lado”no está debidamente gestionado, es como si no hubiera nada.
Ha hablado de la poca seguridad de las conexiones de los hogares. Por ejemplo, el router personal es un foco para los ciberdelincuentes, ¿Cómo cree que va a evolucionar esta deficiencia?
Lo más fácil es segurizar el dispositivo de trabajo y disponer de un dispositivo gestionado; es el paso básico. Como he mencionado, ese perímetro que antes se establecía en la red corporativa ahora se establece en el propio dispositivo, sobre el que se incorpora una capa de protección contra posibles ciberataques, como phishing, malware o cualquier ataque de red; protección que en el mundo del PC se denomina antivirus y en el mundo móvil se denomina MTD o Mobile Threat Defense. Esta es la solución más segura y viable, y sin duda más rentable que la instalación masiva de equipos en los hogares de los trabajadores.
Y esto es en definitiva Zero Trust, un modelo en el que desde MobileIron llevamos mucho tiempo incidiendo y es nuestra razón de ser, pues somos una empresa que viene de proteger el end-point, el dispositivo, no venimos de proteger la red. Por este motivo, creemos que en el mundo móvil (el portátil, el smartphone o la tableta), lo más completo, lo más seguro y lo que menos impacta en la experiencia de usuario es la protección del propio dispositivo, base de nuestro modelo de seguridad.
¿Qué cree que es lo que más va a cambiar a medio plazo en lo que a ciberseguridad se refiere?
Yo creo que lo que va a cambiar más a medio plazo va a ser que se va a empezar a trabajar en implementar una arquitectura de gestión y de segurización Zero Trust, un proceso que se va a empezar a implantar y a generalizar en las empresas.
¿Está viendo que se están produciendo cambios en este sentido?
Lo que hemos notado ha sido la urgencia de las empresas por adaptarse tecnológicamente a un estado de emergencia que les sobrevino de golpe. Desde MobileIron, y puesto que fuimos conscientes del notable incremento de sus necesidades de seguridad, nuestra respuesta fue lanzar una promoción que permitía a nuestros clientes aumentar el uso de nuestra plataforma de forma ilimitada, ampliándoles el plazo para regularizar sus licencias. Este ha sido nuestro granito de arena para ayudar en esta situación.
Lo que vimos en un principio fue la urgencia de las empresas por resolver la situación impuesta por la pandemia. Lo que vemos ahora es más interés por conocer los módulos de seguridad, como el Mobile Threat Defense y que se empiezan a planificar cambios en la arquitectura y en el modelo de seguridad. Además, observamos cómo nuestros interlocutores, los CISOs y los responsables de seguridad, empiezan a tener de más apoyo y comprensión por parte del comité de dirección de sus empresas, por lo que les costará menos justificar sus inversiones.
Finalmente, lleváis tiempo anunciando el fin de las contraseñas. ¿Cuál cree que es la situación actual de este método de protección?
Creemos que es un camino, no es un todo o nada. No es que todas las contraseñas, o mejor dicho, que la contraseña como método de autentificación desaparezca de todas las aplicaciones de un día para otro. Lo que sí vamos a ver es que las empresas empezarán poco a poco a tener una menor dependencia de las contraseñas como método de autenticación.
En este sentido, lo que MobileIron ofrece es que si una empresa tiene un dispositivo gestionado y dispone de un método seguro de autentificación del usuario con el dispositivo – como es el caso de la biométrica, que ya viene incorporada en la mayoría de los móviles corporativos en la actualidad – puede hacer que todas sus aplicaciones se conecten a nuestro método de federación, como ocurre para cualquier servicio.
Es un proceso bastante simple, pues si el dispositivo está gestionado se le puede implementar determinadas políticas. Una de ellas es la necesidad de desbloquear la pantalla para usarlo, empleando para ello la biometría del dispositivo. De esta forma, ya no se dispone de una contraseña en un servidor que cualquiera puede robar en cuestión de segundos, o robarlas todas. Ya no existe el hackeo de contraseña, pues se trata de un método mucho más seguro; tan seguro como el que utiliza un banco para que la autenticación, o el que emplea Facebook, Dropbox, etc.
La realidad es que si se dispone de un smartphone y ese smartphone está gestionado, ya existe un token de seguridad muy potente, que la empresa tiene controlado. Por este motivo creo que la biometría es una buena candidata para sustituir a las contraseñas, y en MobileIron estamos detectando muchísimo interés por utilizar este tipo de tecnología.
¿Cuáles son los objetivos que se han planteado en MobileIron de aquí a los próximos meses?
Tenemos tres objetivos principales. El primero está relacionado con la gestión de los ordenadores Mac que existen en las empresas, que en la actualidad suelen ser pocos y en la mayoría de los casos no están gestionados. Nuestro objetivo es hacer entender a todos nuestros clientes que esos equipos tienen que estar gestionados, y que sean conscientes del riesgo que corren si no lo están. Nosotros tratamos los Mac como si fueran un móvil más; nuestra solución los soporta plenamente y nuestra VPN de móvil funciona perfectamente también en Mac.
El segundo objetivo es conseguir que los clientes que tienen solo una parte de su parque de dispositivos móviles gestionados y el resto sin gestionar, entiendan que es necesario cierren ese agujero de seguridad.
Por último, nuestro tercer objetivo es conseguir que los clientes que utilizan MobileIron para la gestión de sus dispositivos móviles pero aún no han descubierto nuestra solución de MTD, la conozcan, pues tenemos el único MTD del mundo que está integrado en el agente de MDM. Esto es una gran ventaja exclusiva de MobileIron y con la que nuestros clientes están verdaderamente encantados, pues no requiere desplegar una aplicación de antivirus ni contar con una conexión de red activa para funcionar, como ocurre con el resto de soluciones MTD del mercado. Nuestros competidores están intentando solventar esa carencia, pero por el momento es algo en lo que somos líderes, y queremos aprovechar esta ventaja para que todos nuestros clientes gocen de esta capa de protección de antivirus que antes no tenían.
