La movilidad empresarial continúa siendo un desafío importante. Los responsables de TI necesitan evaluar la seguridad de todo aquello que se conecta a su red con el fin de prevenir costosas brechas al tiempo que cumplen la legislación vigente sobre protección de datos y privacidad. Los diversos dispositivos que se utilizan para acceder a los datos empresariales a través de todo tipo de servicios representan otra superficie más de ataque para los hackers y una nueva forma de fuga de datos.
Trabajar desde cualquier lugar, a cualquier hora y desde cualquier dispositivo conlleva una serie de riesgos y retos que hay que saber manejar para que, por un lado, la seguridad no suponga una traba en el rendimiento y productividad de los empleados; y por otro, para garantizar la adecuada protección evitando pérdidas de información que signifiquen perjuicios tanto económicos como de reputación.
Las políticas que prohíben el acceso a determinados sitios tienen un éxito muy limitado
Vamos a hacer una breve descripción de algunos de los retos que plantea este escenario de movilidad empresarial.
Políticas de acceso. Una de las quejas más habituales entre los trabajadores en movilidad es que el software de seguridad y las políticas corporativas no se actualizan mientras se encuentran fuera de la oficina. De esta forma, cuando vuelven, los sistemas que no cumplen las normativas simplemente no pueden acceder a la red y toda actividad queda paralizada mientras los equipos descargan las actualizaciones de seguridad y aplican la política más reciente.
El antiguo planteamiento por capas, que combinaba la protección de la red con la configuración de los dispositivos locales y el mantenimiento del software de seguridad, ha dejado de ser viable. Para que la protección sea realmente eficaz, es necesario automatizar la configuración de las políticas de seguridad y la actualización de las amenazas, así como su posterior implementación en todos los dispositivos móviles, se encuentren o no dentro de la red corporativa.
Personal o corporativo. La mayoría de los empleados tienen buenas intenciones y son conscientes de la necesidad de una serie de prácticas en lo que respecta a la seguridad, pero, a medida que la línea que separa la vida laboral de la personal se va difuminando, el uso de los dispositivos “corporativos” para tareas personales se va haciendo cada vez más habitual. La navegación personal por Internet y el uso de redes sociales crean nuevas oportunidades de ingeniería social maliciosa que los ciberdelincuentes están encantados de aprovechar.
Facebook, LinkedIn, Twitter y otras redes sociales ayudan a los empleados a conectar con amigos, familiares y compañeros, pero también constituyen una brecha de seguridad que es necesario prevenir. Las políticas estrictas que prohíben este tipo de sitios tienen un éxito muy limitado, porque muchos empleados las ignoran o simplemente encuentran formas de burlarlas. El bloqueo de las amenazas con una solución de filtrado web eficaz es una medida más práctica.
Datos sensibles. La protección de los datos confidenciales debería ser otra prioridad vital en el ámbito de la movilidad corporativa. Los empleados suelen almacenar listas de clientes, números de cuentas, planes de marketing y empresariales, así como otros datos sensibles en sus dispositivos móviles. Pero ¿qué ocurre con toda esa información si uno de estos dispositivos se pierde o es objeto de robo? En estos casos, una solución de cifrado, que sea sencilla de administrar y no añada complejidad a estos procesos, es una buena forma de proteger los datos en sistemas remotos y móviles.
Autoprotección. Dejar la seguridad de la información corporativa manos de los usuarios es como poner al equipo de marketing al frente del mantenimiento o al departamento comercial al mando de la contabilidad. Para un empleado, la seguridad no es una competencia básica, ni algo de máxima prioridad. Muchos de ellos tienen dificultades con la tecnología y es poco probable que instalen, configuren, actualicen y utilicen correctamente software de seguridad. Aunque es cierto que los empleados que se desplazan podrían llevar a cabo tareas relacionadas con la seguridad, nadie quiere que inviertan el tiempo del que disponen protegiendo los sistemas en lugar de haciendo su trabajo.
Almacenamiento externo. Los dispositivos USB suelen contener espacio suficiente para almacenar grandes cantidades de datos. Están destinados a un ámbito de consumo, no cuentan con seguridad intrínseca, pueden ser difíciles de administrar y se pierden fácilmente. El uso de este tipo de dispositivos debería estar restringido en los sectores con altos requisitos de cumplimiento normativo (como es el caso de sanidad, servicios financieros, seguros, etc.). Aunque las normativas del sector no lo exijan, es aconsejable vigilarlos e imponer políticas de uso.
Es importante separar de forma adecuada los datos empresariales de los personales
Cloud y EMM
La movilidad empresarial debe plantearse como un reto constante para las empresas. En este ámbito, la seguridad debe no solo estar a la altura de las innovadoras técnicas empleadas por los cibercriminales, sino que ha de adelantarse a estas tendencias y mantenerse siempre un paso por delante para garantizar la confidencialidad y privacidad de los datos empresariales. Al mismo tiempo es recomendable ser capaces de mantener la productividad y todos los beneficios derivados del BYOD (bring your own device).
En este contexto, es importante contar con una solución integral para la gestión de movilidad empresarial, que sea fácil de instalar, configurar y utilizar; y que cuente con contenedores seguros que separen los datos empresariales de los personales. Por ejemplo, este es el caso de Sophos Mobile Control, que protege la información de la compañía y mantiene la necesaria privacidad personal, algo muy importante para quienes utilizan sus propios dispositivos en el trabajo.
En lo que se refiere a la protección en los puestos de trabajo, es importante encontrar características como las que incluye Sophos Central, que plantea una solución como plataforma para gestionar este tipo seguridad desde la nube, asegurando que los usuarios estén bajo control, reciban las actualizaciones y las nuevas políticas, registren su actividad, etc.
Desde esta plataforma se puede proporcionar protección contra amenazas, ransomware, exploits, control de dispositivos extraíbles (qué se puede conectar o no por USB), de navegación y de aplicaciones. Todo ello sin importar dónde esté el cliente y desde dónde se conecte.
De este modo, por ejemplo, aquel usuario que intente ver contenido no seguro o prohibido, o trate de ejecutar aplicaciones no permitidas, seguirá cumpliendo las políticas corporativas —esté dentro o fuera del entorno empresarial— y se le denegará el acceso.
