Cinco riesgos claves y un reto en la seguridad de los dispositivos móviles en el lugar de trabajo. El reto de la productividad: ¿Bendición o maldición?
Los empleados no sólo están trayendo sus dispositivos móviles al lugar de trabajo – Están viviendo en ellos. Un estudio del 2015 hecho por el Bank of America encontró que el 55 por ciento de los entrevistados duerme con sus smartphones en la mesilla de noche para evitar perder una llamada, un mensaje de texto u otra actualización durante la noche. Los dispositivos también son la primera cosa en su cabeza por la mañana: mientras el 10 por ciento afirmó pensar en su pareja, el 35 por ciento reservó su primer pensamiento del día para su smartphone.
En la medida en que los smartphones y las tablets se han vuelto compañeros constantes, los atacantes cibernéticos está usando cualquier vía posible para acceder a ellos. Mucha gente espera que los dispositivos iPhone o Android sean seguros por defecto, cuando en realidad está en manos del usuario el hacer los cambios en la configuración de seguridad de los dispositivos móviles en el lugar de trabajo. Con un equipo correcto (y barato), los hackers pueden conseguir acceder a dispositivos móviles cercanos en menos de 30 segundos e incluso hacer un espejo del dispositivo para ver todo lo que haya en él, o instalar malware que les permita desviar datos desde estos a su antojo.
La naturaleza y los tipos de ciber ataques están evolucionando rápidamente, y los dispositivos móviles se han vuelto una parte crítica de los esfuerzos por la ciber seguridad en una empresa por una buena razón. Los analistas predicen que para 2018, el 25% de los datos corporativos habrán pasado por encima del perímetro de seguridad e irán directamente desde los dispositivos móviles hacia la nube.
Los jefes de seguridad de la información (CISOs por sus siglas en inglés) y otros ejecutivos de seguridad están encontrándose con que la proliferación de los dispositivos móviles y de los servicios en la nube constituyen una barrera importante para dar una respuesta eficaz a las violaciones de seguridad. Para poder asegurar los datos corporativos que pasan a través o que residen en los dispositivos móviles, es imperativo entender completamente los problemas que presentan.
5 riesgos de seguridad de los dispositivos móviles en el lugar de trabajo, y un reto sorprendente.
Los vectores de amenazas y ataques para los dispositivos móviles están compuestos en gran parte por versiones reorientadas de ataques dirigidos a otros dispositivos. Estos riesgos pueden ser categorizados en cinco áreas.
- Acceso físico
Los dispositivos móviles son pequeños, fáciles de transportar y extremadamente ligeros. Mientras que su diminuto tamaño los hace los compañeros de viaje ideales, también los hace fáciles de robar o de perder en aeropuertos, aviones o taxis. Como con los dispositivos más tradicionales, el acceso físico a un dispositivo móvil equivale a “perder el juego”. El mejor sistema de detección de intrusos y los mejores softwares anti virus son inútiles contra una persona con acceso físico. Sortear una contraseña o un bloqueo es una tarea trivial para un atacante experimentado, e incluso se puede acceder a la información encriptada. Esto puede incluir no sólo los datos corporativos que se encuentren en el dispositivo, sino también las contraseñas que se encuentren en lugares como el llavero del iPhone, lo que puede permitir el acceso a los servicios corporativos como el correo electrónico y la red virtual privada (VPN por sus siglas en inglés). Para empeorar las cosas, el borrado completo de los datos no es posible usando el restablecimiento incorporado en el dispositivo o reseteando el sistema operativo. El software forense de recuperación de datos – que está disponible para el público en general – permite recuperar los datos desde los teléfonos u otros dispositivos incluso después de haber sido borrados manualmente o de haber sido reiniciados.
2. Código malicioso
Las amenazas con malware suelen ser de ingeniería social y se centran en engañar al usuario para aceptar lo que el hacker le está vendiendo. Las más prolíficas incluyen spam, links armados en los sitios de redes sociales o aplicaciones falsas. Aunque los usuarios de móviles aún no están sujetos al mismo bombardeo al que se enfrentan los usuarios de PCs, los anuncios en los móviles se están usando cada vez más como parte de muchos ataques – un concepto conocido como publicidad maliciosa o “malvertising”. Los dispositivos Android son los principales objetivos, al ser usados por mucha gente y para los que es sencillo diseñar software. Los troyanos de malware para móviles diseñados para robar datos pueden operar a través de la red móvil o de cualquier red Wi-Fi a la que se esté conectado. Muchas veces son enviados por SMS (mensajes de texto) y una vez que el usuario hace click en el enlace del mensaje, el troyano se abre camino a través de una aplicación, donde es entonces libre para expandirse a otros dispositivos. Cuando estas aplicaciones transmiten su información a través de las redes de teléfonos móviles, presentan una brecha en la información que es más difícil arreglar en un ambiente corporativo.
3. Ataques a los dispositivos
Los ataques dirigidos al dispositivo en sí mismos son similares a los ataques a los PC en el pasado. Los ataques basados en los buscadores, la explotación del desbordamiento del búfer y otros ataques son posibles. Los servicios de mensajes cortos (SMS) y los servicios de mensajes multimedia (MMS) que ofrecen los dispositivos móviles les brindan vías adicionales a los hackers. Los ataques a dispositivos están típicamente diseñados bien para obtener el control del dispositivo y acceder a los datos o para intentar una denegación distribuida del servicio (DDoS por sus siglas en inglés).
4. Intercepción de las comunicaciones
Los smartphones conectados a una red Wi-Fi son susceptibles a los mismos ataques que afectan a otros dispositivos con Wi-Fi. La tecnología para entrar en las redes inalámbricas ya está disponible, y mucha de ella está disponible en internet, haciendo que el hackeo del Wi-Fi y los ataques del hombre del medio (MITM por sus siglas en inglés) sean fáciles de realizar. La transmisión de datos móviles también puede ser interceptada y descifrada. Los hackers pueden explotar las debilidades en estos protocolos de datos móviles y de Wi-Fi para husmear en las transmisiones de datos, o para interceptar las sesiones de los usuarios en los servicios en línea, incluyendo el correo basado en la red. Para las compañías con trabajadores que utilizan servicios de Wi-Fi gratuitos hay mucho en juego. Mientras que perder el usuario personal de una red social puede ser un inconveniente, la gente que entra en los sistemas de la empresa puede estar dándole a los hackers acceso a la base de datos entera de la empresa.
5. Amenazas internas
Los dispositivos móviles también pueden facilitar las amenazas de los empleados y otras personas infiltradas. Los infiltrados maliciosos pueden usar un smartphone para utilizar mal o de manera inadecuada los datos, al descargar una gran cantidad de información corporativa en la tarjeta de memoria flash de seguridad digital (SD) del dispositivo, o utilizando el dispositivo para transmitir los datos a través de los servicios de correo electrónico hacia cuentas externas, sobrepasando incluso tecnologías robustas de monitorización como la prevención de pérdida de datos (DLP por sus siglas en inglés). La descarga de aplicaciones también puede llevar a amenazas no intencionadas. La mayoría de la gente descarga aplicaciones desde las tiendas de apps y utiliza las aplicaciones móviles que pueden acceder a los recursos de la compañía sin tener ni idea de quién ha desarrollado la aplicación, qué tan buena es, o si hay un vector de amenaza a través de la aplicación directamente hacia la red corporativa. El mal uso de los servicios personales en la nube a través de las aplicaciones móviles es otro asunto; cuando se usan para transmitir los datos de la empresa, estas aplicaciones pueden llegar a filtraciones de información de las que la empresa no tiene ningún conocimiento.
Las amenazas con respecto a la seguridad en los dispositivos móviles en el lugar de trabajo continuarán avanzando, mientras que se acceda a los datos corporativos desde una cantidad aparentemente infinita de dispositivos, y los hackers intentan sacar provecho de esta tendencia. Asegurarse de que los usuarios entienden completamente las implicaciones de unas malas prácticas de seguridad móvil y conseguir que se unan a unas mejores prácticas puede ser difícil. Muchos usuarios de dispositivos siguen sin ser conscientes de las amenazas y los propios dispositivos tienden a carecer de las herramientas básicas que ya se encuentran disponibles para otras plataformas, como los anti-virus, anti-spam, y los cortafuegos de los aparatos.
El reto de la productividad: ¿Bendición o maldición?
EL aumento de la productividad de los empleados es el principal factor para el crecimiento de los programas de traer tu propio dispositivo (BYOD). Pero se debe poner especial atención en la seguridad de los dispositivos móviles en el lugar de trabajo.
Por lo tanto puede parecer sorprendente que un estudio de 2015 hecho por CareerBuilder con el top ten de los asesinos de la productividad en el trabajo, clasificara a los móviles como la primera cosa que causa que la gente pierda el tiempo en la oficina.
Los dispositivos móviles permiten a los trabajadores completar tareas donde quieran y cuando ellos escojan, pero pueden ser una distracción. Pasearse entre numerosas pantallas y aplicaciones y estar continuamente revisando el correo o las actualizaciones de Twitter es suficiente para interrumpir incluso al empleado más concentrado.
“Es una epidemia”, dijo Lacy Roberson, director de aprendizaje y de desarrollo de organización en eBay. En la mayoría de las compañías es una lucha “conseguir que se complete el trabajo diario, con todas esas cosas que te están llegando”, Para evitar lo inevitable – la gente revisando sus dispositivos y dejando de lado las conversaciones – compañías como eBay han implementado una política de no dispositivos para ciertas reuniones. Incluso la Casa Blanca se está enfrentando a un uso inapropiado de los teléfonos. En un artículo titulado “¿Cómo lograr que la gente suelte sus teléfonos en las reuniones sin ser un idiota”, Forbes detalló el protocolo del presidente para dejar los teléfonos: antes de reunirse con él, los miembros del gabinete ponen un post-it amarillo con sus nombres a sus móviles y los dejan en una cesta antes de entrar en el despacho.
Mientras que las distracciones en la oficina no son nada nuevo, la tentación del flujo de las redes sociales las 24 horas y las notificaciones del correo electrónico que acompañan a los dispositivos móviles están intensificando el problema y como consecuencia de esto, van disminuyendo la seguridad de los dispositivos móviles en el lugar de trabajo.
Enfrentándose al reto de la movilidad
Las amenazas de los dispositivos móviles están aumentando y pueden resultar en la pérdida de datos, en brechas en la seguridad y en violaciones al cumplimiento de las normativas. Puedes realizar una serie de pasos para reducir los riesgos que implican y enfrentarse a los asuntos relacionados con la productividad y los requisitos legales, de privacidad y de seguridad. Estos pasos son similares a aquellos que involucran a otras cuestiones de seguridad – como la creación de un programa de políticas de comunicación, de evaluación de riesgos, de implementación de tecnologías o de evaluación y monitorización continua – pero están hechos a la medida para los retos únicos asociados con los dispositivos móviles. Con el establecimiento de unos programas de concienciación sobre la seguridad y la movilidad bien planificados, tu empresa puede mantener a los usuarios contentos y a tu red segura, para que puedas competir de manera efectiva en el ambiente actual de “primero los móviles”.
Si te ha resultado interesante el artículo “Seguridad de los dispositivos móviles en el lugar de trabajo” Aquí te dejamos otros artículos que van en la misma línea y pueden ser de tu interés:
NetOnTV , el Wifi a través del cableado de TV del hotel.
La importancia de tener un sistema de Wifi eficaz en hoteles y por qué es clave el servicio.
Si además quieres seguir puntualmente informado sobre noticias del sector, puedes inscribirte a nuestro Newsletter o visitar nuestro Blog.