Estamos en un momento donde la seguridad de la información sensible y confidencial es uno de los frentes más preocupantes con los que se enfrentan las organizaciones. Hoy día, la violación de la información se produce en ordenadores portátiles, Smartphones, iPads o memorias USB, entre otros, dispositivos cada vez más sofisticados y de gran popularidad en el lugar de trabajo, pero que, por sus características, pueden poner en alto riesgo activos de la organización como redes, datos o incluso su propia reputación, además de ser una violación costosa para las empresas.


Los datos hablan por sí solos. De acuerdo a un estudio llevado a cabo por el Instituto Ponemon en 2010 entre 116 organizaciones, el 62% de dispositivos móviles que fueron robados o se perdieron, contenían información confidencial.3 Además, hay que tener en cuenta que los empleados también utilizan los Smartphones para uso personal, de hecho, en el 40% de éstos dispositivos, convive información tanto profesional como privada.4


De acuerdo con el estudio de Ponemon Institute Seven Tips for Securing Mobile Workers” patrocinado por Sophos, mientras que el coste medio por una pérdida o robo fue de $ 214 dólares por registro, en el caso de una violación de datos con un dispositivo móvil perdido o robado fue de $ 258 por registro.


Esta investigación sugiere que la pérdida de datos por robo o extravío de dispositivos móviles es mucho más costosa que el robo de datos por cualquier otro medio, y que sin duda, puede deberse a que las investigaciones y análisis forenses en dispositivos perdidos y robados, suelen ser mucho más difícil, incontrolable y costoso.


A tenor de estos datos, algunos expertos de seguridad, ya han señalado a los SmartPhones y a otros dispositivos móviles como el vector de amenazas más serio para una organización, no sólo por el hecho de que los datos sensibles contenidos en ellos se desplacen a diario a consecuencia de la movilidad laboral, sino también porque este tipo de equipos son utilizados tanto con fines profesionales como personales.


Para ayudar a abordar estos riesgos, se han identificado siete áreas clave donde las organizaciones pueden hacer mejoras relacionadas con la seguridad de sus trabajadores móviles:


  1. Desarrollar una estrategia empresarial para la seguridad móvil. Se recomienda la realización de una auditoría para determinar dónde y cómo se utilizan los dispositivos móviles (portátiles, smartphone, etc) dentro de la organización. También debe realizarse una clasificación de los empleados que manejan datos sensibles en estos dispositivos. Los datos pueden clasificarse, por ejemplo, como datos regulados (tarjetas de crédito, datos de salud, número de seguro social y licencia de conducir), datos de clientes no regulados (historial de compras, lista de direcciones de correo electrónico, información de envío), datos confidenciales del negocio no regulados (planes de negocios IP, y los registros financieros) y los datos de los empleados.

En base a esta clasificación, las empresas deben asegurarse de que los empleados comprenden que son también responsables de la seguridad de los datos y realizar una evaluación de riesgos para determinar los posibles escenarios donde puede producirse el robo de los datos almacenados, procesados ​​o transmitidos por estos dispositivos, y adoptar las medidas apropiadas de seguridad para proteger tanto los datos como los portátiles.


  1. Concienciar al empleado que utiliza dispositivos móviles en el trabajo y crear una política integral con directrices detalladas. La política de seguridad debe abordar los riesgos asociados a cada dispositivo y los procedimientos de seguridad a seguir. Por ejemplo, qué tipo de temas no deben ser almacenados en estos dispositivos, la forma de determinar si una aplicación puede descargarse de forma segura, o cómo informar cuando un dispositivo se ha perdido o ha sido robado. Además, es importante establecer prácticas rigurosas de vigilancia y aplicación de tecnologías de apoyo para asegurar que las políticas y directrices se aplican estrictamente. Punto importante es el no desactivar la configuración de seguridad o “jailbreak”, una práctica que, según el Instituto Ponemon, se ha demostrado es un problema generalizado en las empresas y que puede suponer múltiples inconvenientes.


  1. Establecimiento de las responsabilidades de la organización. Y es que, las compañías tienen el compromiso de proporcionar a sus empleados políticas, procedimientos y tecnologías necesarios para la seguridad de los dispositivos móviles utilizados en el lugar de trabajo, pero también indicar pautas de uso responsable cuando lo hagan con fines personales. Así, y como parte del establecimiento de responsabilidad de los empleados, es aconsejable realizar una evaluación de riesgos para determinar los posibles escenarios donde podrían producirse el robo de los datos almacenados, procesados ​​o transmitidos por los dispositivos móviles y compartirlos con los empleados.


  1. Reconocimiento de las posibles amenazas y sensibilización y formación como usuarios finales para evitar errores de los empleados. Más allá de las políticas y el seguimiento de los comportamientos de los empleados, las organizaciones deben implementar un programa de entrenamiento para ayudar a su fuerza laboral a entender y reconocer las nuevas amenazas de seguridad que pueden estar presentes cuando utilizan sus dispositivos móviles. Aquí debe hacerse hincapié en la necesidad de cuidar la transmisión de información confidencial, en reconocer posibles casos de phishing que podrían atentar contra la información confidencial de las empresas y en observar que tanto Web 2.0 como las redes y medios sociales pueden ser también objetivo de estos ataques. Existen otros riesgos que tienen que ver con la vulnerabilidad de los datos de voz. Los empleados deben asumir que las llamadas de voz son confidenciales y no deben revelar información corporativa durante sus conversaciones telefónicas. Igualmente, deben estar atentos para evitar ataques de software malicioso contra los teléfonos. Para ello, se aconseja desactivar el Bluetooth cuando no se utilice y usar software de cifrado para las llamadas sensibles.


  1. Uso del control de aplicaciones, parches y otros para prevenir el hacking y las infecciones de malware. Efectivamente, según el Instituto Ponemon, los métodos de inclusión en listas negras no son suficientes para decidir qué aplicaciones son admisibles y pueden ser descargadas por los empleados en sus dispositivos móviles. Ya que los ataques se dirigen a explotar vulnerabilidades, es vital que los sistemas operativos y aplicaciones en dispositivos móviles, como navegadores, lectores de PDF y Flash sean parcheados y actualizados. En los Smartphones propiedad de la empresa, las políticas para bloquear aplicaciones improductivas o de riesgo deben estar habilitadas. Además, también se debe restringir el uso de Exchange Active Sync y otras herramientas de sincronización de correo electrónico en los equipos de los usuarios y que cumplen con políticas de seguridad tales como la duración mínima de la contraseña. Por último, es importante controlar y hacer seguimiento de los datos que viajan a través de la red.


  1. Utilizar el borrado remoto, el cifrado de dispositivos móviles y las tecnologías anti-robo de datos para reducir el riesgo de infracción. Un dispositivo móvil perdido o robado con tecnología de cifrado es mucho menos costoso para la organización que otro que contenga datos confidenciales o sensibles sin cifrar. Además del cifrado, las organizaciones deberían considerar seriamente la utilización de tecnologías anti robo idóneas para localizar un dispositivo perdido o impedir que terceros no autorizados reutilicen el mismo. Así, hoy en día, la mayoría de los teléfonos inteligentes incluyen la capacidad de borrado remoto, una característica que debería habilitarse para poder limpiar los datos de un Smartphone perdido o sustraído.


  1. Aunque el foco de este artículo se refiere a la seguridad, existen riesgos inherentes asociados con la privacidad de los dispositivos móviles, y que tiene que ver con la comprensión de los nuevos problemas de privacidad inherente a los dispositivos móviles. Partiendo de la base de que seguridad y privacidad son importantes para la creación de relaciones de confianza con las personas, la exposición de información personal de los empleados o clientes puede causar daños a la reputación y las costosas multas como consecuencia de su incumplimiento. También se recomienda la realización de evaluaciones de impacto de la intimidad para examinar de cerca los riesgos de privacidad y protección de datos asociados a los dispositivos móviles.


3 Ponemon Institute’s security tracking study of 116 global companies with a special carve-out on mobile-connected
devices used by employees, conducted September 2010 through March 2011
 
4  Ibid, Footnote 3
 
>