'La diversidad de plataformas es un hándicap para la seguridad móvil', David Sanz, Commvault
- Actualidad
Seguridad y movilidad son dos conceptos que, aunque parezcan incompatibles, deben buscar un punto de acuerdo por el bien de las compañías. Conversamos sobre ello con David Sanz, EMEA Solutions Principal de Commvault.
Esta entrevista forma parte del Tema de Portada del número de julio de IT User. Puedes leer el resto de las entrevistas en este enlace o descargarte la revista en este otro enlace.
¿Son los dispositivos móviles los grandes olvidados de la seguridad corporativa?
En cierto modo así es. Aunque hay diferentes grados de madurez en las empresas y, en general, se están dando algunos pasos hacia su protección, aún queda mucho recorrido. Según los analistas, el 50% de las organizaciones no tiene una estrategia de protección de datos de puestos de trabajo, pese a que la mayor parte de la información de las empresas hoy en día reside en dispositivos de usuario – contando como tales ordenadores portátiles, móviles y tablets.
Prácticamente nadie tendría un ordenador sin, al menos, un antivirus. Sin embargo, en un móvil casi nadie tiene una app de seguridad. ¿Por qué? ¿Tenemos una falsa sensación de seguridad en el móvil?
A nivel personal, tenemos la falsa idea de que nadie va a querer nuestras fotos o nuestra información, cuando hoy en día se utiliza esta información como moneda de cambio. No nos damos cuenta de que en la actualidad nuestros dispositivos móviles son una extensión de nosotros mismos y que tenemos tanta o más información en ellos que en nuestros propios ordenadores. Y además parte de esa información es muy sensible: desde el móvil accedemos a nuestras cuentas bancarias, correo electrónico o hacemos compras.
A nivel empresarial, el problema suele estar en que se tiene la percepción de que la seguridad de la información corporativa y la privacidad del usuario están reñidas, cuando esto no tiene por qué ser así. En realidad, las empresas no tienen que invadir la privacidad de sus empleados si, además de plantearse instalar soluciones MDM (Mobile Device Management) en el dispositivo, que no son factibles en todos los casos, se definieran estrategias basadas en la información. De esta forma se podrían proporcionar los controles necesarios para mejorar la seguridad y la productividad, mientras disminuye el riesgo, con una buena aceptación de los usuarios.
¿Tiene que ocurrir un gran ataque en dispositivos móviles con serias consecuencias para que nos concienciemos? ¿Por qué?
Muchas empresas piensan que no les va tocar, pero la cuestión no es si les tocará o no, sino cuándo ocurrirá. Por eso es imprescindible estar preparados. ¿Y cómo podemos prepararnos? Desarrollando un programa basado en los datos, no en el dispositivo. Debemos identificar dónde están almacenados los datos, determinar los flujos de trabajo y los sistemas que se utilizan para manejarlos, evaluar los riesgos, aplicar controles de seguridad y planificar ante posibles amenazas. Si algo no está protegido, no se puede recuperar. Además, se deben emplear procesos de backup y de recuperación ante desastres que incluyan protección contra amenazas tipo ransomware. Por último, hay que utilizar tecnologías de protección contrastadas, que detecten y notifiquen ataques potenciales, y que conserven una imagen de referencia de los sistemas y configuraciones con una estrategia de backup completa.
¿Cuál es el mayor peligro de los dispositivos móviles: virus, robo de información, fuga de datos corporativos, servir de puerta de entrada a la red corporativa...?
Cualquiera de estos escenarios puede suponer un enorme golpe para las empresas, tanto a nivel de reputación como a nivel de costes. Y más con la entrada en vigor del GDPR, ya que las organizaciones tienen la responsabilidad de proteger los datos personales de sus empleados y clientes.
¿Cuáles serían las medidas básicas que toda empresa debería tener implantadas en materia de seguridad de dispositivos móviles? ¿Y los usuarios?
Una política de seguridad móvil empresarial debe extender de la forma más natural posible las políticas de información existentes (normalmente aplicadas a entorno de centro de datos) al mundo móvil. Luego hay particularidades como BYOD o el uso de nubes públicas, pero esto debe abordarse desde un marco común de gestión de información corporativa.
En un entorno BYOD, ¿podemos exigir a los trabajadores que se instalen alguna solución de seguridad en sus dispositivos? ¿O las medidas deben ser en la red corporativa?
Ahí está el problema. El enfoque más tradicional a la hora de proteger dispositivos móviles en las empresas son las soluciones MDM (Mobile Device Management) centradas en el dispositivo. Estas soluciones aportan su valor, pero su aproximación centrada en el dispositivo hace que en algunos casos no sean suficientes. En el caso de Bring Your Own Device, al entrar en juego la privacidad del usuario, los MDM no siempre son bien acogidos. Por eso hay que pensar en soluciones que protegen lo que realmente queremos salvaguardar desde el punto de vista empresarial: la información corporativa creada y accedida desde dispositivos móviles, sin tocar la parte personal.
Uno de los grandes retos de los CIOS/CISO a la hora de afronta la seguridad móvil es la disparidad de dispositivos y versiones de sistemas operativos de los móviles. ¿Cómo pueden las herramientas tecnológicas afrontar esta diversidad de plataformas?
La respuesta es más sencilla de lo que se piensa: se necesita una plataforma de datos que no solo cubra el núcleo de la empresa o los entornos de nube pública o privada, sino también los puestos de trabajo, incluyendo dispositivos móviles. Una que pueda almacenar copias inmutables y actuales de todo ese entorno para asegurar la recuperación rápida ante un desastre de cualquier tipo. Si se cuenta con una solución de gestión de datos con estas características, no importa la disparidad de dispositivos ni las versiones de los sistemas operativos, porque la información, que es lo que importa, estará protegida y accesible, en cualquier momento y lugar.
Si pensamos en dispositivos veremos que la diversidad de plataformas es un hándicap. En cambio, si nuestro foco es el dato, de repente ese hándicap no es tal.
Esta entrevista forma parte del Tema de Portada del número de julio de IT User. Puedes leer el resto de las entrevistas en este enlace o descargarte la revista en este otro enlace.
Otras entrevistas
Grupo de expertos de la unidad "Advanced Cybersecurity Services" de S21sec
