Por supuesto, los “Smartphones” o cualquier dispositivo de
movilidad son elementos que forman parte de nuestro día a día y que son
utilizados por la mayoría de nosotros. Sin embargo, tengo ciertas dudas acerca
del uso que se le da a los mismos y que éstos puedan convivir dentro de un
entorno que garantice un “mínimo” de seguridad.
Si a principios de este milenio, el sistema más comúnmente
utilizado para la infección y acceso a los sistemas de información de forma no
autorizada era vía correo electrónico, hoy en día poco le falta para ser
desbancado por las “Apps” y otros sistemas derivados del uso de “Smartphones”.
Grupos de WhatsApp, fotos, vídeos o correos puede incluir un
enlace que redirigirnos a una página casi exactamente igual a la original,
pudiendo infectar nuestro dispositivo o solicitando datos que son recibidos por
un tercero, y sin ni siquiera darnos cuenta.
Otras amenazas las encontramos en las famosas “Apps”. ¿De dónde descargamos las aplicaciones? ¿Del market o análogo? ¿Leemos las opiniones y valoraciones de usuarios? ¿Probamos aplicaciones para ver su funcionalidad con pocos votos?
Si la respuesta es afirmativa, probablemente seáis un blanco perfecto para tener una aplicación “zombie o backdoor” que permita el acceso a vuestro dispositivo recopilando la información de forma no autorizada debido a “Apps” de terceros aparentemente inofensivas y que luego han resultado ser un recopilador de datos encubiertos.
Incluso con aplicaciones “oficiales”, ¿habéis leído los permisos que concedéis al instalarlas? Véase un ejemplo de ellas:
Otras amenazas las encontramos en las famosas “Apps”. ¿De dónde descargamos las aplicaciones? ¿Del market o análogo? ¿Leemos las opiniones y valoraciones de usuarios? ¿Probamos aplicaciones para ver su funcionalidad con pocos votos?
Si la respuesta es afirmativa, probablemente seáis un blanco perfecto para tener una aplicación “zombie o backdoor” que permita el acceso a vuestro dispositivo recopilando la información de forma no autorizada debido a “Apps” de terceros aparentemente inofensivas y que luego han resultado ser un recopilador de datos encubiertos.
Incluso con aplicaciones “oficiales”, ¿habéis leído los permisos que concedéis al instalarlas? Véase un ejemplo de ellas:
¿A esto estáis dando a aceptar? Yo por mi parte me niego en
rotundo. Efectivamente, lo siguiente que nos pueden pedir es “pagar la
siguiente ronda”.
Otro riesgo de estos dispositivos es la posibilidad de tomar
instantáneas, efectuar vídeos, grabaciones de voz, geolocalización y otras
funcionalidades que permiten un gran almacenamiento de datos que además probablemente
estén sincronizados con sistemas Cloud.
Por poner un ejemplo, acceder a una instalación industrial,
de proyectos confidenciales o crítica (SCADA), solamente por ir con nuestro
Smartphone en el bolsillo con el modo grabación en “ON” la cantidad de
información que ser difundida al exterior es inimaginable. Esto es extensible a
conversaciones personales, en reuniones de trabajo o cualquier otro ejemplo que
estéis pensando en este mismo instante.
Con los ejemplos anteriormente expuestos no hace falta ser
muy astuto para conocer la capacidad que tienen estos dispositivos de difundir,
descentralizar y desperdigar información en un sólo “click” o tener acceso a la
totalidad del contenido de nuestro teléfono.
Para aquellos que después de leer esto estén aterrados, casi
mejor que no sigan leyendo. Pongámonos en situación. ¿Y si usted es un
responsable de alto nivel que debe garantizar la seguridad de los datos de un
hospital? ¿Cómo actuaría sabiendo que el 97% de sus empleados mientras
consultan expedientes, tratan datos de pacientes o expiden tratamientos tienen
su Smartphone consigo? Creo que no hace falta que continúe…
En efecto, hoy en día el uso de los dispositivos móviles en
los entornos laborales o dispositivos de movilidad es uno de los mayores enemigos
de la seguridad, más aun dependiendo de la criticidad de la información a
tratar.
Es por ello que los Responsables de TI, directores y CEO’s
necesitan de herramientas u otros sistemas para evitar la fuga de la
información de la empresa. ¿Cómo afronto esta situación?
La solución no es sencilla, si bien me apoyaré en la
ISO27001 como “herramienta” para mitigar los posibles daños derivados de este
uso. Como se indicó en post anteriores, la ISO27001 dispone de los “requisitos”
para la implementación de un SGSI, en el que se incluyen unos puntos de control
que deben cumplir las organizaciones para su garantizar la securización de la
información. Por tanto, ¿cuáles serían las actuaciones fundamentales según la
ISO27001 para mitigar los riesgos derivados del uso de dispositivos de
movilidad?
En primer lugar valorar la posibilidad de restringir el uso
de los mismos, dejándolos a la entrada en taquillas o consignas y recuperarlos
al finalizar la jornada laboral.
Otra solución podría centrarse en la asignación de móviles
de empresa según las necesidades de cada usuario con los controles pertinentes,
como por ejemplo con roles restringiendo la instalación de aplicaciones y apertura
de según qué tipo de archivos, implantación de software de plataforma MDM (Mobile
Device Management) respecto de los dispositivos, para poder efectuar borrados
remotos, control de tráfico, etc.
Si esa opción no fuese viable, existiría la posibilidad de
que los dispositivos “BYOD” (Bring Your Own Device) formaran parte del sistema
de información, si bien la monitorización de los mismos en este caso sería
complicada por la reticencia de los usuarios y los riesgos elevados asociados
al introducirse activos no controlados por la organización.
En este caso, las alternativas deberían tomarse a nivel de
gestión, concienciación y formación, ya que las medidas de seguridad técnicas en
el dispositivo no serían de excesiva utilidad dada la posibilidad de
desactivarlas por parte del usuario.
Según la ISO27001, el establecimiento de una “Política de
dispositivos móviles” se presenta como medida directora para que los usuarios
conozcan las restricciones y obligaciones con dichos dispositivos.
La formación en el uso de dichos dispositivos sería una
buena medida, incluyendo un “decálogo” de buenas prácticas y riesgos asociados
a su uso. Complementariamente un procedimiento sancionador en el caso de
saltarse dichas normas aumentaría el cumplimiento del mismo, sobre todo en caso
de materializarse una fuga de información debido a un uso malintencionado de
dichos dispositivos. Todas estas medidas deberían ser implementadas en las
organizaciones con acuse de recibo para garantizar su comprensión, así como
recordatorios periódicos para aumentar la eficacia de las medidas.
Y por hoy, aparco la exposición, de la cual se desprende que
con un coste reducido, puedes mejorar la gestión de la seguridad en tu
organización.
¿A qué esperas para ponerlas en marcha?
No hay comentarios:
Publicar un comentario