¿Quién de vosotros no utiliza un smartphone a día de hoy? Excepcionalmente me viene a la cabeza el amigo o familiar anclado en el “pleistoceno tecnológico” que no lleva móvil o bien reniega de ellos por su extrema complejidad, o aquel obsesionado por la seguridad que continuamente indica “nos están observando”, cuando le hablamos de ordenadores y móviles.
Por supuesto, los smartphones, o cualquier dispositivo de movilidad, son elementos que forman parte de nuestro día a día y que son utilizados por la mayoría de nosotros. Sin embargo, tengo ciertas dudas acerca del uso que se le da a los mismos y que estos puedan convivir dentro de un entorno que garantice un “mínimo” de seguridad.
Si a principios de este milenio, el sistema más utilizado para la infección y acceso a los sistemas de información de forma no autorizada era vía correo electrónico, hoy en día está a punto de ser desbancado por las apps y otros sistemas derivados del uso de smartphones.
Grupos de WhatsApp, fotos, vídeos o correos puede incluir un enlace que nos redirige a una página casi exactamente igual a la original, pero que o trata de infectar nuestro dispositivo o nos solicita datos que acaba recibiendo por un tercero, y todo sin ni siquiera darnos cuenta.
Otras amenazas en las famosas apps.
¿De dónde descargamos las aplicaciones? ¿Del market o análogo? ¿Leemos las opiniones y valoraciones de usuarios? ¿Probamos aplicaciones para ver su funcionalidad con pocos votos? Si la respuesta es afirmativa, probablemente seáis un blanco perfecto para tener una aplicación “zombie o backdoor”, apps aparentemente inofensivas pero que permiten el acceso a vuestro dispositivo recopilando la información de forma no autorizada.
Incluso con aplicaciones “oficiales”, ¿leéis los permisos que concedéis al instalarlas? Véase un ejemplo de ellas:
¿Ante esto pulsáis en aceptar? Yo, por mi parte, me niego en rotundo. Efectivamente, lo siguiente que nos pueden pedir es “pagar la siguiente ronda”.
Otro riesgo de estos dispositivos es la posibilidad de tomar instantáneas, efectuar vídeos, grabaciones de voz, geolocalización y otras funcionalidades que permiten un gran almacenamiento de datos que probablemente estén sincronizados con sistemas cloud.
Por poner un ejemplo, acceder a una instalación industrial, de proyectos confidenciales o crítica (SCADA), con nuestro Smartphone en el bolsillo con el modo grabación en “ON” nos da la posibilidad de registrar y difundir en el exterior una cantidad de información inimaginable. Esto es extensible a conversaciones personales, reuniones de trabajo o cualquier otro ejemplo en que estés pensando en este mismo instante.
Con los ejemplos expuestos anteriormente no hace falta ser muy astuto para darse cuenta de la capacidad que tienen estos dispositivos para difundir, descentralizar y desperdigar información en un sólo “click”, un escenario que empeora si recordamos que frecuentemente damos permiso a numerosas apps para que tengan acceso a la totalidad del contenido de nuestro teléfono.
Para aquellos que después de leer esto estén aterrados, casi mejor que no sigan leyendo. Pongámonos en situación. ¿Y si usted es un responsable de alto nivel que debe garantizar la seguridad de los datos de un hospital? ¿Cómo actuaría sabiendo que el 97% de sus empleados tienen su smartphone consigo mientras consultan expedientes, tratan datos de pacientes o expiden tratamientos? Creo que no hace falta que continúe…
En efecto, hoy en día el uso de los dispositivos móviles en los entornos laborales o dispositivos de movilidad es uno de los mayores enemigos de la seguridad, más aún dependiendo de la criticidad de la información a tratar. Es por ello que los responsables de IT, directores y CEO’s necesitan de herramientas u otros sistemas para evitar la fuga de la información de la empresa. ¿Cómo se puede afrontar esa situación?
La solución no es sencilla, si bien me apoyaré en la ISO27001 como “herramienta” para mitigar los posibles daños derivados de este uso. Como se indicó en post anteriores, la ISO27001 expone los “requisitos” para la implementación de un SGSI, en el que se incluyen unos puntos de control que deben cumplir las organizaciones para su garantizar la securización de la información. Por tanto, ¿cuáles serían las actuaciones fundamentales según la ISO27001 para mitigar los riesgos derivados del uso de dispositivos de movilidad?
En primer lugar, valorar la posibilidad de restringir el uso de los mismos, dejándolos a la entrada en taquillas o consignas y recuperarlos al finalizar la jornada laboral. Otra solución podría centrarse en la asignación de móviles de empresa según las necesidades de cada usuario con los controles pertinentes, como por ejemplo con roles restringiendo la instalación de aplicaciones y apertura de según qué tipo de archivos, implantación de software de plataforma MDM (Mobile Device Management) respecto de los dispositivos, para poder efectuar borrados remotos, control de tráfico, etc.
Si esa opción no fuese viable, existiría la posibilidad de que los dispositivos “BYOD” (Bring Your Own Device) formaran parte del sistema de información, si bien la monitorización de los mismos en este caso sería complicada por la reticencia de los usuarios y los riesgos elevados asociados al introducirse activos no controlados por la organización. En este caso, las alternativas deberían tomarse a nivel de gestión, concienciación y formación, ya que las medidas de seguridad técnicas en el dispositivo no serían de excesiva utilidad dada la posibilidad de desactivarlas por parte del usuario.
Según la ISO27001, el establecimiento de una “Política de dispositivos móviles” se presenta como medida directora para que los usuarios conozcan las restricciones y obligaciones con dichos dispositivos. La formación en el uso de dichos dispositivos sería una buena medida, incluyendo un “decálogo” de buenas prácticas y riesgos asociados a su uso. Complementariamente, un procedimiento sancionador en el caso de saltarse dichas normas aumentaría el cumplimiento del mismo, sobre todo en caso de materializarse una fuga de información debido a un uso malintencionado de dichos dispositivos.
Todas estas medidas deberían ser implementadas en las organizaciones con acuse de recibo para garantizar su comprensión, así como recordatorios periódicos para aumentar la eficacia de las medidas.
Por hoy, aparco la exposición de la cual se desprende que, con un coste reducido, puedes mejorar la gestión de la seguridad en tu organización.
¿A qué esperas para ponerlas en marcha?
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.