Guillem Alsina (guillem@imatica.org) – “La seguridad de cualquier sistema informático es tan fuerte como el más débil de sus escalones” es una de las máximas del mundo de la seguridad informática, y en estos tiempos que corren es fácil afirmar que en muchos casos este eslabón más débil lo constituyen los equipos particulares que los trabajadores conectan a la red para copiar datos o volcar parte del trabajo hecho en casa.
Si bien por el lado de las computadoras portátiles y las unidades de almacenamiento removibles (léase llaves USB) el personal parece estar suficientemente alerta (en especial, los profesionales dedicados a la seguridad), no parece ocurrir lo mismo con los smartphones, un fenómeno relativamente reciente y para el que muchas empresas de cierta talla no parecen estar del todo preparadas.
En un estudio recientemente presentado por Juniper Networks y llevado a cabo tras entrevistar a unos 6.000 usuarios en 16 países diferentes, se revela que sobre un 70% de estos acceden a datos de la empresa sensibles, cuya pérdida o divulgación podría poner en algún aprieto a la organización.
Con los smartphones se acabó el tener dos teléfonos, uno para asuntos personales y otro para la actividad profesional. Solamente un 4% de los encuestados emplea su terminal solamente con fines laborales, mientras que el 44% hace un uso de él tanto para el ámbito personal como para el profesional. El resto (un 52%) lo utiliza sólo como teléfono personal. De entre los usuarios profesionales, un 81% admite acceder a la red corporativa sin conocimiento de sus superiores, lo que presupone también un acceso no controlado por parte del departamento encargado de la seguridad informática.
Si cruzamos estas cifras, vemos rápidamente que hay una gran cantidad de poseedores de smartphones que llevan con ellos su terminal a todas horas (ya que lo utilizan en todos y cada uno de los aspectos de su vida), aumentando con ello el riesgo de perderlo o que les sea substraído... con documentos y datos corporativos en su interior, o bien con una vía de acceso a la infraestructura corporativa.
Los usuarios son conscientes del riesgo al que se encuentran sometidos, y un alto porcentaje de ellos admite su temor ante la posibilidad de pérdida o sustracción del terminal, lo que podría llevar a consecuencias impredecibles en la organización para la que trabaja. Pero ¿qué hacer?
¿Hay soluciones?
En primer lugar, y desde la empresa (ya sea por parte de altos directivos o del departamento TIC), debe dejarse bien clara la política sobre uso de material informático a nivel personal, si se va a proveer a los trabajadores con computadoras portátiles y/o smartphones y cuales van a ser sus reglas de uso, así como las penalizaciones por su incumplimiento.
En caso de dejar la puerta abierta al uso de dispositivos propiedad de los trabajadores, la existencia de estos debe ser comunicada al departamento TIC encargado de la seguridad, cuyos miembros deberán revisar el equipo para instalar el software necesario (por ejemplo, un cliente de VPN con las medidas de seguridad apropiadas, programas de encriptación de datos, etc.) y dar el visto bueno para que pueda acceder.
Los sistemas de la empresa también deberán estar preparados para filtrar el tráfico entrante, permitiendo el paso a aquellos dispositivos validados por el departamento de seguridad e impidiéndolo a aquellos (cualquiera que sea su naturaleza: computadoras, tablets, smartphones,...) que no lo estén.
No hay comentarios:
Publicar un comentario