Conclusiones del primer Security Chat & Beers
En el marco de nuestro primer Security Chat & Beers (más información del evento acá), tuvimos la oportunidad de charlar acerca de la problemática residente en la implementación de los Smartphones en las organizaciones.
Gracias al buen clima generado durante todo el Security Chat & Beers, pudimos hablar muy abiertamente acerca de algunas preguntas que se plantearon a modo de disparador. En este post vamos a publicar las preguntas y las conclusiones obtenidas.
Para empezar, arrancamos preguntando ¿Qué plataformas existen actualmente en sus empresas?
Obviamente y como era de esperarse, nos encontramos que la diversidad de plataformas dentro de la empresa es muy grande. En algunos casos, las plataformas son homogéneas, esto quiere decir: la empresa implementó todo BlackBerry (una solución más que corporativa para Smartphones). En otros casos nos encontramos que existen empresas que tienen un parque algo más mezclado, por ejemplo un gran número de Blackberries, algunos Windows Mobile, varios equipos con Android y una creciente penetración de iPhones o iPads (sobre todo, iPads).
Pero el gran dilema toda esta implementación reside en el modo en el cual se sucede. Encontramos dos casos muy extremos cuando preguntamos ¿Cómo se realizó la evaluación de estas soluciones? Encontramos casos en donde el análisis se hizo pautadamente, a cargo de los departamentos de Tecnología de las empresas y casos en donde la decisión paso a nivel de directorio y luego tuvo que ser adoptada por el departamento de tecnología. Adicionalmente, muchas veces, a pesar de no tener poder de decisión o siquiera de evaluación sobre las plataformas de Smartphones que surgen dentro de las empresas, son los mismos departamentos de Sistemas/Tecnología/a fines los que deben tomar la responsabilidad del buen funcionamiento e inclusive de brindar un acceso seguro a los usuarios de estos dispositivos móviles.
Sin embargo, el mayor desafío surge justamente del punto anterior. ¿Cómo pueden asegurarse estas plataformas siendo tan variadas entre sí e inclusive si no fueron analizadas para su uso corporativo por un departamento de tecnología?
En este punto fue donde cada uno se explayó abiertamente, ya que surgió la fuerte necesidad de concientizar a los usuarios de estas plataformas y adicionalmente enmarcarlas dentro de las regulaciones vigentes dentro de las organizaciones. La evaluación de los riesgos asociados a los Smartphones pasa en primer lugar en la posibilidad de extravío o robo del dispositivo. Este punto, es sin dudas el de mayor preocupación entre los responsables de la seguridad de estos equipos. Tenemos que tener en cuenta que, en busca de una mayor productividad de los empleados a los cuales se les brindan estos equipos, el primer servicio que una organización abre a estas plataformas es el correo corporativo. Sin embargo, la cantidad de servicios provistos desde los departamentos de tecnología a los dispositivos Smartphones, puede abarcar el acceso al CRM, Intranet corporativa, acceso a escritorios virtuales, VPNs e inclusive servicios propios de la organización. Debido a que estos dispositivos se encuentran constantemente en movimiento y el riesgo de pérdida (ya sea por cualquiera de los puntos mencionados anteriormente), lo primero que se trata de implementar es la seguridad del dispositivo mediante el uso de contraseña o PIN. Esta medida es adoptada en gran parte de los dispositivos y todos ellos cuentan con la posibilidad de implementar esta medida, pero solo algunos permiten el refuerzo de la misma mediante una política centralizada y provista desde el departamento de sistemas. Otra medida necesaria, que siempre es acompañada de la anteriormente mencionada consiste en el borrado seguro de los datos contenidos dentro del equipo en caso de extravío, no solo dentro de la memoria interna del equipo, sino también de la memoria externa del mismo. Otro ejemplo de la importancia de los datos contenidos dentro de estos dispositivos puede observarse en la necesidad de muchos de los asistentes de cifrar o encriptar los datos dentro de los equipos, ya que si no existiera esta facilidad, se podría extraer la memoria del equipo y leerla en cualquier otro dispositivo.
Un gris importante surgió al momento de preguntar ¿Cómo podemos aplicar políticas de seguridad sabiendo que en los equipos existen datos personales y empresariales? En este punto toma un protagonismo muy importante el saber quién provee el equipo. Si los equipos son de propiedad del empleado, el nivel de llegada administrativa por parte de los departamentos de tecnología es bastante restringido, por el contrario pasa si el equipo es provisto por la misma empresa para tareas laborales. Cuando, como comentábamos más arriba, el despliegue de estas plataformas es un proceso medido, analizado y contemplado dentro de las políticas de seguridad de la organización, la seguridad de estos dispositivos ya se contempla dentro del proceso de decisión de compra, cosa que no pasa cuando aparecen en escena aquellos dispositivos orientados al consumo hogareño o personal. El ejemplo más claro de esto reside en las diferencias existentes entre las plataformas de Blackberry y Windows Mobile (con su Blackberry Enterprise Server – BES y el Active Directory / Active Sync), frente a plataformas como Android e iPhone/iPad, los cuales carecen de plataforma de administración centralizada y nativa (es decir, es necesario recurir a soluciones orientadas a proteger estos dispositivos).
A modo de conclusión, cuando preguntamos ¿Tenemos conocimiento y capacidad de actuar ante todas estas tecnologías? pudimos entender que la inserción de los Smartphones dentro de las organizaciones en algunos casos fue planificada y en otros casos no tanto. Sin embargo, siempre la responsabilidad de administrar y brindar seguridad sobre estos dispositivos recae siempre en los departamentos de tecnología de las empresas, los cuales, en su gran mayoría, no cuentan con las herramientas adecuadas para brindar una experiencia segura a sus clientes internos. Esto se debe en gran parte en la ausencia de decisión por parte de dichos departamentos al momento de incorporar una plataforma de Smartphones. Como consecuencia, estos departamentos se ven en la imposibilidad de actuar o establecer el mismo nivel de seguridad en estos dispositivos, que a su vez, acarrean nuevos desafíos como la misma movilidad, conectividad constante y acceso total a los servicios de la empresa. Hoy los departamentos de tecnología que “heredaron” las plataformas de Smartphones se encuentran en la necesidad de proteger los mismos, pero no encuentran las herramientas que tienen aquellos que si fueron actores durante el proceso de selección, en donde claramente, plataformas como Blackberry y, en mucho menor medida Windows Mobile, cuentan con herramientas de administración que se “acoplan” a las políticas de seguridad ya establecidas dentro de la organización. En tanto, quienes tienen que incorporar plataformas Android y iPhone/iPad parecen no encontrar una solución que cumpla con sus necesidades.
Es evidente que la problemática, lamentablemente, se hace fuerte debido a su presencia en todas las organizaciones, que de golpe se vieron inundadas con este tipo de dispositivos (ya sea provistos por la empresa o comprados por sus empleados), dejando muchas veces a los administradores expuestos a una seria brecha entre sus políticas de seguridad y la posibilidad de implementar las mismas medidas en estos dispositivos que cuentan con el mismo potencial que una PC o Notebook, pero con el agravante que siempre están en el bolsillo de alguien, viajando en la calle, subtes, taxis, casas, etc.
Aprovechamos, adicionalmente, para compartir con ustedes la convocatoria para nuestro próximo Security Chat & Beers que se realizará el día Jueves 10 de noviembre de 16hs a 19hs. Confirmá tu asistencia en el este link
¿Te gustó este artículo?
Aún no hay trackbacks.