'Aún no existe madurez en seguridad móvil', Eduardo Argüeso, IBM

  • Actualidad

Eduardo Agüeso IBM

Seguridad y movilidad son dos conceptos que, aunque parezcan incompatibles, deben buscar un punto de acuerdo por el bien de las compañías. Conversamos sobre ello con Eduardo Argüeso, Director de IBM Security para España, Portugal, Grecia e Israel

Esta entrevista forma parte del Tema de Portada del número de julio de IT User. Puedes leer el resto de las entrevistas en este enlace o descargarte la revista en este otro enlace. 

¿Son los dispositivos móviles los grandes olvidados de la seguridad corporativa?

La seguridad ligada a la movilidad en entornos corporativos es una de las principales preocupaciones para los CISOs. El problema es que todavía son muchas las empresas que no son conscientes de que una puerta abierta en el móvil de un empleado puede dejarla desvalida ante un ataque cibernético.

Los ciberdelincuentes han evolucionado y son capaces de controlar el dispositivo móvil sin hacerse notar, con ataques cada vez más sofisticados. La falta de precaución es su principal aliada para adentrarse rápidamente en la red corporativa mediante un troyano, por ejemplo.

Lo principal es que la empresa tenga capacidad de anticiparse y desarrollar una política de seguridad interna que deberá complementarse con una campaña de información y formación al usuario. El eslabón débil en la cadena de seguridad es siempre el ser humano. La compañía puede optar por crear restricciones en el uso y acceso de dispositivos o bien implementar una solución de gestión y seguridad robusta. Otra opción consiste en instalar un software en el dispositivo del usuario y gestionarlo de forma remota.

Prácticamente nadie tendría un ordenador sin, al menos, un antivirus. Sin embargo, en un móvil casi nadie tiene una app de seguridad. ¿Por qué? ¿Tenemos una falsa sensación de seguridad en el móvil?

Aún no existe madurez en seguridad móvil y el empleado no es consciente de la importancia que tiene proteger adecuadamente su dispositivo. Éste es el riesgo número uno. Pero hoy en día, los usuarios se pueden conectar fácilmente desde fuera de la empresa y además, desde dentro, a través de múltiples canales de colaboración. Esto significa que las identidades están más expuestas que nunca y deben ser la primera línea de defensa frente a las amenazas.

¿Tiene que ocurrir un gran ataque en dispositivos móviles con serias consecuencias para que nos concienciemos? ¿Por qué?

La mayoría de las empresas sí son conscientes de las amenazas y riesgos a los que se enfrentan, pero, sorprendentemente, hasta ahora no han abordado el tema con determinación. Es clave concienciar y formar a los empleados y también utilizar la tecnología para reducir el riesgo de comprometer la seguridad de la empresa. De hecho, más de la mitad de los usuarios creen que la seguridad en ellos es igual o superior a la de sus PCs o portátiles, lo cual es peligroso pues puede provocar incluso que bajen la guardia.

¿Cuál es el mayor peligro de los dispositivos móviles: virus, robo de información, fuga de datos corporativos, servir de puerta de entrada a la red corporativa...?

Para el trabajador móvil las principales amenazas son el phishing, los ataques mediante ingeniería social y el malware, los cuales pueden venir por diferentes medios como el correo electrónico, un SMS engañoso, un acceso WIFI en un lugar público o, incluso, a través de una petición de contacto por Bluetooth

Las amenazas a las que se enfrentan están evolucionando y cada vez son más sofisticadas. El cambio ya está aquí. Más dispositivos, más puntos de acceso y más datos valiosos en la nube que nunca antes.

Por todo ello, las organizaciones deben poner en marcha un enfoque mucho más proactivo e integrado, alineado con las exigencias de cumplimiento normativo. Las organizaciones necesitan transformar sus defensas de seguridad en un sistema inmune integrado, donde el puesto de trabajo es una parte más a proteger. Este sistema hará posible las analíticas de seguridad y defensa en tiempo real.

¿Cuáles serían las medidas básicas que toda empresa debería tener implantadas en materia de seguridad de dispositivos móviles? ¿Y los usuarios?

La protección del dispositivo, la revisión de la seguridad de los aplicativos, una adecuada gestión de identidades, y la concienciación de los empleados para que apliquen el sentido común y unas mínimas medidas de seguridad, son las áreas básicas en las que las empresas tienen que poner foco si hablamos de seguridad móvil.

Respecto al primer punto, es frecuente la utilización de soluciones de MDM (Mobile Device Management) para la protección y el control remoto de los dispositivos. En este sentido y como punto de partida, las políticas de seguridad deberán aplicarse de igual forma y con independencia a si se permite el uso de dispositivos personales para tener acceso a las aplicaciones empresariales, o se utilizan únicamente móviles de empresa.

La revisión de la seguridad de los aplicativos idealmente debería integrarse desde su conceptualización y durante todo su ciclo de vida mediante el paradigma de “security-by-design” o “security-by-default”, si bien al menos es imprescindible un análisis exhaustivo antes de su paso a producción y revisiones periódicas posteriores según el riesgo para el negocio.

En relación a la gestión de identidades, las empresas están dotándose de mecanismos para controlar el acceso a la información de la organización mediante una aproximación integral, incorporando a sus clientes y a sus proveedores digitales a la hora de pensar e implementar sus controles de identidad y de gestión de acceso.

A partir de aquí y en función del riesgo y los medios de la organización, se deberían complementar las medidas preventivas descritas antes con el despliegue de sistemas de monitorización, y capacidades cognitivas de inteligencia y detección de fraude en las transacciones móviles.

En un entorno BYOD, ¿podemos exigir a los trabajadores que se instalen alguna solución de seguridad en sus dispositivos? ¿O las medidas deben ser en la red corporativa?

Sin duda, como te comentaba antes, la protección del dispositivo y de los aplicativos es fundamental y los empleados deben saber que la empresa ha de aplicar las mismas políticas de seguridad a estos dispositivos. Hoy en día, los usuarios se pueden conectar fácilmente desde fuera de la empresa utilizando sus terminales móviles, y además realizar prácticamente las mismas operaciones que habitualmente realizan cuando están usando el PC en su puesto de trabajo, lo que significa que el potencial impacto de un ataque y de que datos confidenciales (información sensible, propiedad intelectual, planes estratégicos, etc.) caigan en otras manos será muy similar en ambos casos.

Es importante sin embargo garantizar una protección diferenciada del entorno ocupado por las aplicaciones empresariales del entorno de uso particular del dispositivo, como el que proporciona la solución Mass360 de IBM, de manera que el empleado puede disfrutar de su propio dispositivo con libertad y a la vez no comprometer la información empresarial o el acceso no autorizado al entorno corporativo.

Uno de los grandes retos de los CIOS/CISO a la hora de afronta la seguridad móvil es la disparidad de dispositivos y versiones de sistemas operativos de los móviles. ¿Cómo pueden las herramientas tecnológicas afrontar esta diversidad de plataformas?

Las soluciones de gestión de dispositivos móviles denominadas plataformas unificadas de gestión de la movilidad (“Unified Mobility Management”) permiten una gestión de dispositivos sea cual sea el fabricante y sistema operativo vigente convirtiéndolas en soluciones agnósticas  a modelos y versiones de dispositivos. Específicamente en el caso de la solución Mass360 de IBM se añade que la solución se presenta como una solución SaaS (Software-as-a Service) por lo que incluso se puede garantizar el soporte de día cero para cualquier sistema operativo vigente. 

Esta entrevista forma parte del Tema de Portada del número de julio de IT User. Puedes leer el resto de las entrevistas en este enlace o descargarte la revista en este otro enlace. 

 Otras entrevistas

David Sanz, Commvault

Ángel Victoria, G Data

Hervé Lambert, Panda Security

Grupo de expertos de la unidad "Advanced Cybersecurity Services" de S21sec 

Lorenzo Martínez, Securizame

David Alonso, Samsung