Acceso, uso, sincronización, almacenamiento y borrado de datos corporativos son las cinco acciones más sensibles de la seguridad de la movilidad
Un mundo más móvil no ha significado haberse dejado las amenazas de ciberseguridad encima del escritorio, precisamente. Hay que revisar algunas pautas de comportamiento, porque lo que está claro es que aquello de que vendrían malware para los teléfonos a medida que fueran más inteligentes ha sido de sobra superado.
NetMediaEurope organiza una mesa redonda con cuatro expertos que trabajan a diario junto a los mejores desarrolladores de soluciones informáticas para repasar diversos aspectos que nos ayuden a conseguir un entorno más ciberseguro. Con:
–Bosco Espinosa de los Monteros, Key Presales Manager de Kaspersky Lab Spain: «Las empresas deben ser más rápidas en reaccionar, dándole a los empleados las herramientas seguras para hacer lo mismo: ‘No uses Dropbox, y usa esto que es corporativo’. Al usuario le da igual si tiene la alternativa»
–Ignacio Sánchez Marcos, Global Product Marketing Manager de Panda Security: «Los usuarios son muy avanzados, sobre todo para hacer mal las cosas. En todas las capas está presente el usuario, pero su responsabilidad es compartida. No se le puede demonizar, las empresas deben educar de los riesgos»
–Ángel Vitoria, Director Comercial de GData Software: «El problema es que se ve al responsable de las TI como un coste, como el mal menor. Pero la inversión en tecnología va a ser cada vez mayor, no es su culpa, pero debe afrontar los retos: el mercado va muy rápido, no le queda otra que delegar en el canal especializado»
–César Pablo Funes, Enterprise Channel Systems Engineer de Commvault: «Los usuarios han forzado a las empresas a utilizar ciertas apps y no al revés, para hacer negocios. Pero cuando se lo cambias, tiene que ser muy parecido. La experiencia de usuario es muy importante»
¿Cómo están securizando la movilidad las empresas españolas?
Ya nadie duda de que las empresas son cada vez más móviles. La revolución se inició con el BYOD (bring your own device), pero esta tendencia se ha visto superada; los empleados ya no sólo quieren decidir qué dispositivos utilizar, sino a qué aplicaciones acceder y cómo utilizar sus terminales. En este escenario, la seguridad no llegó primera, precisamente… «Se nota que a medida que hay más concienciación, hay más inversión. Aunque la seguridad vino después. Primero fue la gestión de dispositivos, pero el usuario estaba más preocupado por la privacidad de sus datos que por la seguridad corporativa», cuenta Ángel Vitoria, director comercial de GData.
De un día para otro, las empresas se fueron encontrando un parque tan grande, variado y distribuido, que al final no tuvieron otra opción que gestionarlo sí o sí, creándose un nuevo perímetro con la dificultad añadida de que éste era tan dilatado como el mundo fuera del entorno seguro de la oficina. Según una encuesta, en España el 80% de los empleados usan móviles propios, pero menos del 30% sigue una política de seguridad fijada por los responsables TI. Acceso, uso, sincronización, almacenamiento y borrado de datos corporativos son las cinco acciones más sensibles. «Por eso yo no diría que ha habido tanto un BYOD (trae tu propio dispositivo) como un simple UYOD (usa tus dispositivos), porque estos aparatos no están en la red WLAN de la oficina, sino que se utilizan fuera», destaca César P. Funes, responsable del canal empresas de Commvault. Y ese es el reto.
¿Qué impacto tiene la movilidad en la seguridad de la red teniendo en cuenta la presión que se ejerce ahora sobre las redes móviles?
Una solución recurrente para prevenir esta avalancha de peticiones de conexión provenientes de visitantes externos, socios y clientes, personal eventual o in-house, incluso invitados, todos con sus propios dispositivos a cuestas, ha sido la creación de redes “de cortesía”, generalmente separadas de las WLAN corporativas. «Pero eso en las grandes, porque en las pequeñas, lo típico es decirle al visitante que le dé la vuelta al router y se apunte la clave WEP. Está muy lejos de la perfección la gestión WLAN, de hecho nunca va a poder serlo, los cambios van muy deprisa, lo que dificulta poder elaborar y definir políticas», avisa el responsable de GData.
Para las redes de cortesía se tiene más en cuenta el requerimiento de la capacidad y no tanto el de la seguridad. Lo que pasa es que aquí el administrador tiene en mente a dos usuarios concurrentes y cuando se quiere dar cuenta tiene a cien enganchados saltándose todas las limitaciones. «Con el WiFi sí hay algo más de concienciación respecto a esa inseguridad “latente”, especialmente a nivel corporativo, donde fue más fácil entrar vendiendo capas de seguridad complementarias para portátiles, impresoras, etc.», señala Ignacio Sánchez, director de Marketing de Panda. «Después llegaron los móviles y la movilidad. Y cuando ocurre un conflicto o surge un problema, algunos prefieren mejor apagarla a capón para poder seguir trabajando».
Ha costado tiempo convencer a empresas y usuarios de la necesidad de instalar antivirus en los PC, ¿está ocurriendo lo mismo con los dispositivos móviles?
Las soluciones de seguridad deberían estar dentro del pack básico a instalar en cualquier dispositivo nada más encenderlo. Pero la sensación es que empezamos también desde cero con los móviles. Sin duda, la labor del administrador sigue siendo fundamental… «En ordenadores es más fácil automatizar las tareas, pero con los móviles no es así: creas, unificas, pero no hay backups sincronizados», comenta el responsable de Commvault. «Hasta ahora accedíamos al centro de datos de la empresa desde el escritorio, pero con los móviles en plena expansión empezamos a hacerlo desde fuera de la empresa, sacamos esa información y la llevamos encima o la ponemos en Dropbox o en el servidor de otra empresa».
A veces se tienen ciertos requisitos, por ejemplo que debería borrarse después de su uso, pero normalmente se queda ahí. La solución sería que el Data Center propio permitiese esa compartición desde el exterior con una capa añadida y garantizase la encriptación de la información. «Pero los usuarios machacan a los administradores de TI porque descubrimos algo cómodo y lo usamos sea como sea, y si se ponen obstáculos ya nos lo saltamos», comenta Bosco Espinosa de los Monteros, director de Preventas de Kaspersky. «Sin embargo, su figura es fundamental y deberíamos verle más bien como un colaborador, como el facilitador, hay que ir a hablar con él y decirle: “oye, necesito este tipo de servicios”, en vez de emprender una lucha soterrada».
¿Es cierto entonces que las necesidades de los usuarios van por delante de los requerimientos de los administradores?
A menudo, los “estándares de facto”, como en su día fue Windows 95 y Office y ahora es Google, se acaban imponiendo en los entornos de trabajo sobre las recomendaciones de la industria establecida. Los empleados quieren esa facilidad de uso, pero primero deberían ser enseñados en las normas básicas de seguridad. Ya se sabe que algunos, con tal de conseguir el acceso al WiFi público, dan a aceptar cualquier condición sin leerla, incluso la “cláusula Herodes” por la que darían la potestad al propietario del acceso de reclamar su primogénito… «Y luego nos extrañamos de las apps de linternas que piden acceso a todos tus datos y cuentas de correo por encender la luz del flash. En algunas corporaciones se ponen trampas de phishing al financiero, y a la cuarta que cae le echan», cuenta el responsable de Kaspersky. Pero al usuario no se le debería demonizar, la empresa está en la obligación de educar de los riesgos. «Primero deben haberse dado cursos trabajando la educación por parte del administrador para que no pinches donde no debes, y luego sí, mandar trampas a ver si lo has entendido. Y para los nuevos, aprovechar el welcome pack para que le cuenten lo que se deba hacer o no».
En segundo lugar, las empresas deben ser más rápidas en reaccionar, dándole a los empleados las herramientas seguras para hacer lo mismo. Al usuario le da igual si tiene la alternativa y funciona bien. «Los usuarios han forzado a las empresas a utilizar ciertos interfaces y no al revés. Usaban Facebook, Twitter o Whatsapp incluso para hacer negocios. Pero cuando se lo cambias, tiene que ser muy parecido. La experiencia de usuario es muy importante. Y debe seguir los patrones de sencillo y agradable», asegura el representante de Commvault.
¿Se está produciendo un cambio de roles en el departamento TI?
El administrador TI, el CIO en el escalafón más elevado, debe reorientar también su perfil. Ya no puede ser una mera figura técnica que se quede en la disponibilidad de las infraestructuras. Tiene que conseguir alinear el uso de las nuevas tecnologías con los objetivos del negocio, participando en la confección de los planes estratégicos. Esto supone que se le van a amontonar los frentes abiertos. «Le llega el social media, la productividad, el hacer mejor las cosas, y tantas tendencias, la nube es el último reto. Y va detrás con la lengua fuera», señala el responsable de Panda. «Los fabricantes debemos ayudar. Porque con la tarjeta de visita, la seguridad se asume como el valor en la Legión. Pero le traemos también herramientas de productividad y gestión y mejores procesos».
Va a necesitar más presupuesto, y va a tener que delegar y confiar en el canal especializado. Su misión va a empezar a tener más que ver con poner a disposición de los empleados la información de manera ágil, actual y segura. «Tiene que hablar el lenguaje de negocio. El backup era el cortijo del administrador: un sótano oscuro con la cinta en la caja fuerte ignífuga, y una semana para atender las peticiones. Pero no tiene sentido que no esté también en manos de los usuarios finales ese acceso, porque esa información de negocio, para el administrador es sólo una tabla, pero para el comercial tiene más valor. Abre: haz una capa de acceso, da el servicio, no impidas hacer negocio con la información», recomienda César P. Funes.
Políticas de acceso reforzadas y gestión de identidades en un entorno móvil
Si lo de las políticas de seguridad corporativas se queda en papel mojado en muchos entornos por los malos hábitos de los usuarios, hablar de biometría y otros sistemas avanzados de control es aún ciencia-ficción. Apenas si hay proyectos consolidados, sólo piezas sueltas. Estamos todavía en el password de doble factor, la tarjeta de coordenadas, la confirmación por SMS y poco más. Poco a poco, se irá viendo más en banca (transferencias financieras…) pero en el día a día no, es más complicado y engorroso «Es que tiene que ser fácil para el usuario final, que no suele tener esos dispositivos con lectores biométricos… Menos los niños de doce años que tienen un iPhone, lo demás tenemos gama media. Vamos, si le digo a mi madre que tiene que meter la huella o mirar a la cámara para sacarse una foto del ojo ni te cuento», comenta Bosco Espinosa.
Pero el futuro anuncia nuevos escenarios como el Internet de las Cosas, la domótica, los coches inteligentes… Si nos pueden espiar desde un móvil activando la cámara y el micrófono, si una nevera ha mandado ya spam, da miedo qué no se podrá hacer con un marcapasos. Dice Ignacio Sánchez: «Si el frigo empieza a hacer la compra y a pagar, esa información es muy valiosa: gustos, gastos, cuándo, qué compras y consumes… La seguridad va a tener que estar ahí también presente».
Tras la era post-Snowden se habla de un Internet cifrado, ¿qué papel juegan los dispositivos móviles en una propuesta que pone los pelos de punta a agencias como la Interpol?
Con precedentes como la Patriot Act, los Gobiernos quieren cambiar las reglas de las comunicaciones como se conocían hasta ahora. Pero a las empresas les fastidia tanto que les hackeen los “malos” como que les espíen los “buenos”… Los casos extremos se producen cuando una empresa norteamericana debe dar cuenta de un cliente que ha usado su servicio fuera de las fronteras de los EEUU, algo que con la nube y los centros de datos remotos es muy común. No puede mentir ni decir toda la verdad: «Como empresa quiero estar lo más protegido posible, pero tanto frente a hackers como frente a Gobiernos. ¿De quién te fías más, de una empresa americana que no te puede decir que te está espiando, o de una europea que se rige por el derecho a la propiedad intelectual y a la intimidad?» se pregunta Ángel Victoria.
Una salida es tener las propias conexiones monitorizadas y auditadas, para poder trazar revisiones forénsicas que indiquen por dónde ha corrido la información, desde qué accesos han salido o por dónde han entrado, y tener toda la información cifrada. Si los Gobiernos pueden espiar, al menos que las empresas puedan saberlo. «Se crea cierta desconfianza en el cliente, que no está seguro que su información no vaya a acabar en otras manos; sin embargo, para otras cosas, sí hay una cierta despreocupación de lo que hacen sus empleados en la nube, usando Dropbox u otros servicios ajenos», señala el responsable de Panda.
Servicios corporativos de confianza y otros externos auditados componen los escenarios híbridos en los que se están moviendo las empresas. Porque como señala el representante de Commvault, «el ordenador es muy potente, de propósito dedicado, una vez conectado va ya todo cifrado. Pero en móvil, usas una app para una cosa, otra app para otra cosa, y cada una de distinto fabricante y no sabes si todas cifran o no. Es más inseguro».
¿Qué problemas de seguridad plantean los servicios de Enterprise File Synchronization and Sharing (EFSS) en el móvil?
El EFSS trae más quebraderos de cabeza que soluciones… Los datos viajan en el bolsillo y no estamos seguros de dónde pueden ir a acabar. Una respuesta híbrida sería dejar compartir pero desde dentro de la red, y lo que salga fuera encriptado y se autoborre después, trabajando en el goodware, procesos de ejecución que garanticen que está sucediendo lo que debe ocurrir. «Sirve para saber que se han compartido datos, no tanto por quién o si es de mala fe. Por otro lado puede registrar esas actualizaciones, algunas aplicaciones no se actualizan solas automáticamente y otras sí», advierte Bosco Espinosa.
Dicen que la ciberdelincuencia tiene más presupuesto que el narcotráfico. Solo queda tratar de ir por delante, pensar como un hacker. No puedes actuar como ellos, pero sí estar a la última. A veces se emplean tácticas militares que han pasado de ser un secreto de Estado a alta tecnología en el mercado negro. «Incluso los Gobiernos que quieren luchar contra el ciberterrorismo están limitadísimos, ni Interpol tiene poder de pegada. Recientemente, un microfraude a móviles se sacaron 5 millones de euros, y se llevaba desde el 2011 intentando cerrarles. Los hackers no tienen ninguna legislación que cumplir, pero yo no puedo atacar un servidor sospechoso a base de fuerza bruta», reconoce el representante de GData.
¿Cuáles son las propuestas de vuestras compañías para securizar la movilidad?
Intel ya no habla de MHz, sino de lo que puedes hacer; con el Cloud, se supera cualquier potencia, los TB que quieras a tu disposición. Mucha gente estaría dispuesta a ver películas, oír música o leer libros en streaming a cambio de un precio razonable. Igual ocurre con el software o la seguridad. «Igual que pagas la luz o el agua. Todo lo basado en la electrónica tiene obsolescencia, incluso un coche, igual tienes que cambiarlo porque no te vale ya el software. Por eso aparecen modelos de negocio que tienen que ver más con el concepto de movilidad. El mismo interés de las empresas de telefonía, abriendo canales de negocio, con el servicio SAT trasladado al punto de venta: leasing, seguros de rotura, recompra, reciclado solidario, backup en la nube…», comenta César P. Funes.
Para todos los presentes, lo fundamental sería obligar al uso de contraseñas seguras y cifrar el contenido. Y si ha tenido que salir de la empresa y estar en otro sitio, saltándose la capa de seguridad, asegurarse después su borrado. Finalmente, otro aspecto básico es el de la gestión de parches de seguridad en sus dispositivos móviles, pero no trasladarle al usuario la misión de actualizar, que sea el fabricante con su capacidad de hacerlo gestionado, en un proceso transparente y automatizado.