La seguridad en tiempos del móvil

Este pasado mes de mayo, Carnegie Mellon University y McAfee publicaron el estudio Mobility and Security en el cual se relaciona la expansión y alcance de los dispositivos móviles y el impacto en la seguridad de nuestra organización.

De acuerdo con este estudio, el 95% de las empresas entrevistadas manifestaron tener una política sobre el uso de equipos celulares, pero que solamente uno de cada tres empleados conoce a detalle dichos procesos.

En la actualidad nuestros teléfonos contienen información personal sensible como correos electrónicos, directorios, fotografías y videos, nuestra agenda, entre muchos otros datos importantes.

Algunas de las principales amenazas a nuestros dispositivos son el robo o pérdida de los equipos, para lo cual se requiere tener implementado un sistema de encripción que permita garantizar la confidencialidad de los datos, así como mecanismos de borrado de manera remota para desactivar la funcionalidad de nuestros equipos en caso de presentarse el caso.

Se requiere también clasificar la información y los permisos asignados a cada cuenta de  teléfono, así prevenir posibles ataques por otros vectores.

También es importante que los usuarios estén conscientes de los controles que deberán tener en cuenta al hacer uso de sus dispositivos, para esto se requiere capacitación y documentación clara sobre la funcionalidad.

Sugerimos los siguientes controles para el buen uso de la tecnología móvil:

- Proteger la información sensible. Aquí se recomiendan respaldos, los cuales se deberán guardar en un servidor externo y no dentro del mismo dispositivo, y mecanismos de encripción, contraseñas que cumplan con los requerimientos mínimos.

- Tener un sistema de autenticación que permitan o restrinjan la utilización de cuentas, manejo de sesiones y almacenamiento de datos.

- Utilizar solamente herramientas para las cuales se haya realizado un proceso de programación seguro, se validen y autoricen para su uso y distribución dentro de la empresa y se realicen análisis de vulnerabilidad y manejo de actualizaciones previniendo ataques que ponen en peligro la seguridad de nuestra información.

- Otorgar permisos y privilegios mínimos donde el usuario tiene restricciones sobre los roles que desempeña, limitando la interacción con el sistema operativo y configuración, instalación de programas entre otras tareas para las cual se debe requerir privilegios de administrador.

- Desactivar los servicios de localización, al menos que exista una justificación valida expresada por la empresa, los equipos móviles deberán tener restricciones sobre los datos de posicionamiento que comparte ya sea en fotografías y documentos generados, o simplemente la publicación en redes sociales de los famosos “check-ins”, esto puede darle ventaja a un posible atacante y convertirse en un problema.

No debemos olvidar que los teléfonos contienen nuestra información más sensible, y que de no tener control y gestión sobre este contenido, podemos sin querer poner en riesgo a toda nuestra empresa, asi como nuestra integridad y la de personas cercanas a nosotros.