La evolución de la tecnología y del mercado TIC ha ampliado hasta límites insospechados las capacidades de conectividad remota para un creciente número de dispositivos. Las organizaciones se han aprovechado de estas nuevas capacidades para dotar a sus empleados de mayores niveles de movilidad, incrementando la productividad y la flexibilidad a la hora de utilizar sus recursos.
A ello han contribuido asimismo las mayores facilidades de acceso para los usuarios, que se ven apoyadas por la tecnología de telecomunicaciones y por la proliferación de dispositivos móviles, el abaratamiento de las tecnologías de almacenamiento y de los servidores. En suma, todos estos movimientos de mercado han empujado en la misma dirección: la proliferación de una gran diversidad de mecanismos o vías de acceso a la información, cada vez más complejos.
La forma en que las tecnologías móviles están cambiando el modo de trabajo dentro de las empresas se pone de manifiesto en multitud de facetas: por ejemplo, son cada vez más las grandes empresas en cuyos edificios de oficinas ya no hay puestos de trabajo asignados a una persona determinada.
Son escritorios multiuso a disposición de cualquier trabajador de la empresa o departamento, dotados de un punto de acceso (puerto LAN, teléfono IP). En ellos, el usuario se autentica y una vez autorizado, tiene acceso a los recursos de TI que necesita para realizar su trabajo. Este nuevo concepto de puesto de trabajo aporta una mayor flexibilidad organizativa, optimiza el uso de recursos y está más acorde con un nuevo perfil de profesional, que desarrolla una parte importante de su jornada laboral fuera de la oficina.
Por otro lado nos encontramos con múltiples posibilidades de conexión remota a los recursos de información de la organización: desde el domicilio a través de conexiones de banda ancha, desde un ciber café o un lugar público, a través de una PDA, de redes WIFI, etc.
Todas estas posibilidades están proliferando de manera continua y veloz, debido no sólo a que ayudan a hacer las empresas más eficientes, sino también a que ayudan a conciliar el desarrollo profesional con la vida familiar o personal. Esto último, que es una tendencia social en auge, es una garantía de que la movilidad seguirá ganando terreno en los próximos años.
Todo esta transición a lo móvil es sin duda deseable, pero plantea también muchos retos desde el punto de vista de la seguridad de la información. Movilidad significa apertura, y a mayor apertura mayores son las amenazas que se ciernen sobre los sistemas de información de las organizaciones. Cada una de las múltiples vías de acceso que nos facilita la tecnología es una puerta más que es necesario proteger, ya sea por el puro valor de negocio que tiene la información, o por cumplimiento con la normativa vigente en materia de protección de datos.
Tecnológicamente hablando, existen múltiples soluciones para abordar este problema. Lo importante sin embargo es tener un sistema de gestión de la seguridad de la información que cumpla con la normativa vigente. Merece en este punto destacar como referencia la norma ISO 27001, que de una manera sencilla y certera recoge todos los puntos que es necesario controlar, así como los procedimientos y políticas de uso interno.
La normativa relacionada con las políticas de seguridad tiene mucho que ver con la capacidad de las empresas de incorporar la seguridad a la cultura de la organización y de que toda ella se involucre y haga suyos las reglas, protocolos y recomendaciones de las normas.
Como en muchos otros ámbitos, la tecnología es una extraordinaria herramienta para alcanzar el objetivo de securizar los activos de información de la organización, pero por sí sola no basta. Es necesaria una labor previa de definición de las políticas adecuadas, dentro del SGSI, e incorporar efectivamente la seguridad en la cultura empresarial, y que se fomente y estimule en todos los miembros de la organización el cumplimiento de dichas políticas. La mejor solución tecnológica de seguridad puede ser inútil si luego los trabajadores no adoptan en su trabajo las buenas prácticas de seguridad recomendadas.
Desde el punto de vista estrictamente tecnológico, se pueden esbozar algunas líneas maestras de lo que debe ser una plataforma que haga posible la seguridad en movilidad.
-* Se debe contemplar la seguridad con un enfoque global, que abarque toda la arquitectura de TI y no se limite a ser una yuxtaposición de diferentes dispositivos, que actúan de forma inconexa o fragmentada (firewalls, IPS, etc.)
-* La seguridad no debe focalizarse en las amenazas que vienen de fuera, con un enfoque estrictamente perimetral. Téngase en cuenta que alrededor del 80% de la amenazas que soporta una organización se debe a ataques o usos inadecuados que provienen del interior de la propia organización.
-* La seguridad ha de ser proactiva, no reactiva. En muchas ocasiones, el daño que las amenazas de seguridad pueden ocasionar a la organización es tan elevado que evitarlo es la única opción aceptable.
-* Este enfoque proactivo tiene su extensión la necesidad de una respuesta de seguridad automática. Las amenazas actuales rápidas y pueden interrumpir durante días la actividad de la organización. Las medidas paliativas no pueden dejarse en manos de los responsables de TI, que en el mejor de los casos pueden tardar horas en extender esas medidas a toda la organización. Son necesarios mecanismos de respuesta dinámica que respondan automáticamente a las amenazas.
Dado que un alto número de amenazas se deben a un uso inadecuado de los recursos de TI por parte de miembros de la propia organización, se recomienda establecimiento de políticas, como pueden ser las políticas de red, que únicamente permitan determinados tipos de tráfico en función de la aplicación, servicio y perfil de usuario.
