Inicio / Protege tu empresa / Blog / Ser o no ser móvil, he aquí el dilema

Ser o no ser móvil, he aquí el dilema

Publicado el 27/01/2016, por INCIBE
Ser o no ser móvil, he aquí el dilema

En la actualidad, los dispositivos móviles son protagonistas en cualquier entorno empresarial, independientemente de su tamaño. Gracias a ellos, los empresarios y sus empleados pueden acceder desde su teléfono a la información de la organización. Pero, ¿qué riesgos en cuanto a seguridad representa el acceso a la información desde el teléfono que llevamos en nuestro bolsillo?

Los costes totales por fuga de datos ascienden cada año a millones de euros, y algunos sectores con fuertes regulaciones (sanitario, financiero y farmacéutico) sufren costes por fugas un 70% más altos que en otros sectores. Los errores humanos representan un 25% de las causas de las fugas de información y los fallos técnicos un 29%.

Esto significa que mediante un buen plan de concienciación a los empleados y una mejor política de mantenimiento de sistemas se podría reducir hasta un 50% los casos de fuga de información.

Ser o no ser (móvil), ésa es la cuestión

Muchas veces los propios empleados son los que, sin darse cuenta, atacan o dejan en bandeja los ataques a los ciberdelincuentes. La necesidad de muchos empleados de llevarse trabajo a casa para poder cumplir con las fechas de entrega o de llevar sus documentos de trabajo de viaje, hace que los empleados no duden en copiarse documentos corporativos a sus dispositivos móviles personales.

No en vano, según un estudio, hasta un 62% de los empleados consideraba aceptable transferir datos corporativos hacia afuera de la empresa, usando dispositivos móviles, lo que demuestra la gran necesidad que existe en concienciación en ciberseguridad.

Con la masificación de este tipo de prácticas, las empresas se encontraron con un dilema: evitar que los usuarios conecten sus dispositivos a las redes de la empresa o permitirlo y correr el riesgo de sufrir un accidente de fuga de información.

La respuesta correcta es diferente dependiendo del sector al que pertenezca la empresa, pero como siempre la solución consiste en llegar a un equilibrio entre conveniencia/funcionalidad y seguridad.

En muchos casos la respuesta de las empresas ha sido evitar fulminantemente el uso de dispositivos móviles, generando políticas restrictivas de control de acceso físico a los equipos y prohibiendo la conexión de dispositivos personales.

Pero incluso con estas normas tan estrictas, los canales de fuga de información siguen existiendo. Por ejemplo, si un empleado quiere llevarse una Excel con el balance de la empresa, podría simplemente subirlo a algún servicio de almacenamiento en la nube (como Dropbox o Google Drive) o enviárselo por correo electrónico a una cuenta gratuita.

La empresa por su parte podría reaccionar restringiendo el acceso web a dichos destinos, pero el correo aún podría mandarse desde el Outlook corporativo. Incluso si los emails fueran auditados para determinar su destino (lo cual debería estar explicitado en la política de uso de recursos informáticos, en cuanto a la prohibición del uso personal de la cuenta corporativa) aún tendría que resolverse el gran problema de lidiar contra los teléfonos móviles.

No existen soluciones concretas y definitivas para evitar la fuga de información, ya que el riesgo cero no existe, pero parece claro que la respuesta está más en la concienciación de los empleados y en la securización de dispositivos que en la limitación del uso de dispositivos móviles.

Medidas

Existen por tanto, dos tipos de medidas: medidas técnicas, que se implantarán en los propios dispositivos y medidas organizativas, como políticas, normativas, cursos de formación, etc.

Entre las medidas técnicas que una empresa puede tomar para securizar los dispositivos móviles de sus empleados están:

 

  • Cifrado de los dispositivos. De esta manera en caso de que el empleado pierda su dispositivo, nadie podrá acceder a los documentos corporativos almacenados en éstos. Para cifrar un dispositivo móvil, existen multitud de aplicaciones de cifrado en los markets (Play Store, App Store) oficiales.
  • Uso de Redes Privadas Virtuales. Este tipo de conexiones son cifradas. Con ellas tanto el empleado como la empresa están seguros de que nadie podrá «escuchar» la información que viaja por la red, ni podrá interceptar los documentos enviados a través de la red.
  • Se deben establecer mecanismos para la actualización periódica tanto del sistema operativo del dispositivo móvil como de las apps que tiene instaladas.

Entre las medidas organizativas se pueden mencionar:

  • La primera y más importante es definir una normativa en la empresa del uso de dispositivos propios (BYOD). Los empleados deben aceptar por escrito esta normativa antes de que se les dé acceso a la red y sistemas corporativos.
  • También es necesario definir una política de contraseñas robustas en estos dispositivos. La política de contraseñas empresarial debe estar activa también en los dispositivos móviles personales que se acojan al BYOD.

Por último y tal vez más importante, es necesario que el empleado sea consciente de los peligros que suponen las malas prácticas en seguridad. Por esa razón en la empresa nunca sobran sobra la realización de un proceso formativo de concienciación y formación en ciberseguridad como el que proponemos desde INCIBE.

Aparte de esto es necesario que el empleado sea consciente de que:

  • Los dispositivos móviles personales van con el empleado a donde éste vaya y se conectan a las redes a las que éste se conecte. Se debe evitar el uso de redes desconocidas porque cualquier podría estar interceptando nuestras comunicaciones y además podríamos ser un objetivo fácil para los ciberdelincuentes. Cuando se conecten a Internet, lo ideal es que utilicen una Red Privada Virtual (VPN) que les conecte con la empresa y sea a través de ésta y con la protección que ésta les brinda, cuando se conecten a Internet.
  • El empleado debe ser consciente de que va a ser necesario instalar en su dispositivo aplicaciones que permitan protegerlo ante las diferentes amenazas, como sistemas antivirus, herramientas de cifrado o de bloqueo de redes. Estas aplicaciones deben estar convenientemente configuradas y actualizadas.

    En este sentido, será necesario dotar de cierta capacidad de administración a la empresa sobre estos terminales.

Si bien los productos comerciales denominados DLP (Data Loss Prevention) avanzan en el mercado, de momento se considera que no es posible administrar una única medida para mitigar la fuga de información y es la suma de varias de las medidas antes propuestas, las que aportan un mayor nivel de seguridad a los empleados en el uso de dispositivos móviles.

Cierre

Los dispositivos móviles ya han superado en número a los PC y de hecho España es el país con más smartphones por habitante de la UE. Casi todos estos dispositivos tienen la capacidad de conectarse a internet y muchas empresas dejan que los dispositivos privados accedan a los datos corporativos. Esto significa que la cantidad de dispositivos con documentos corporativos que se encuentran conectados a Internet es enorme.

Todo esto, unido a que el 70% de los móviles son vulnerables, puede llevar a un inminente accidente de fuga de información de los documentos privados de tu empresa.

Es el momento de evitarlo aplicando algunas de las medidas antes mencionadas. ¡No lo dejes para mañana!