'Lo más recomendable sería que no hubiera una política BYOD', Lorenzo Martínez, Securízame

Esta entrevista forma parte del Tema de Portada del número de julio de IT User. Puedes leer el resto de las entrevistas en este enlace o descargarte la revista en este otro enlace. 

¿Son los dispositivos móviles los grandes olvidados de la seguridad corporativa?

Desde hace unos años no.... o no lo deberían ser, debido a lo integrados que se encuentran este tipo de dispositivos en nuestro quehacer diario, combinando un uso personal con el profesional. Es decir, no es que sean los más olvidados, sino muy posiblemente junto con los usuarios en sí, lo más complicado de securizar, plataformar y controlar, sobre todo en casos en los que impera el BYOD, traducido originalmente como Bring Your Own Device o con acepciones posteriores como Bring Your Own Disaster o Bring Your Own Damage.

Prácticamente nadie tendría un ordenador sin, al menos, un antivirus. Sin embargo, en un móvil casi nadie tiene una app de seguridad. ¿Por qué? ¿Tenemos una falsa sensación de seguridad en el móvil?

Pues en muchos casos depende. Depende fundamentalmente del sistema operativo del dispositivo, puesto que para mundo IOS no hay antivirus que valga puesto que, a no ser que tengas jailbreak hecho al smartphone, si no está en iTunes -el market de Apple-, simplemente no está. En el caso de Android, sí que hay una oferta variada de antimalware. Cierto es que se ha demostrado en varias ocasiones que no demuestran un grado de eficiencia del 100%, pero, aunque sólo fuese del 20%, si yo usase Android, te aseguro que tendría un software antimalware instalado. Creemos que las amenazas móviles son un bulo, pero no, existen. Están ahí y en general yo diría que lo más peligroso es la instalación de software por parte del usuario. La diversidad de aplicaciones con múltiples utilidades, a veces incluso que rozan el frikismo o lo rocambolesco, es lo que hacen que confiemos en darle acceso a un montón de secciones del móvil

¿Tiene que ocurrir un gran ataque en dispositivos móviles con serias consecuencias para que nos concienciemos? ¿Por qué?

¿Cambió para algo el mundo con el mediático WannaCry?  Más allá de que ese fin de semana se pusieron miles de máquinas Windows al día de parches, es como con los escándalos políticos, mucho ruido en el momento, pero se pasa y se olvida... y así hasta las siguientes elecciones... perdón, infección de malware que cause un revuelo importante.

¿Cuál es el mayor peligro de los dispositivos móviles: virus, robo de información, fuga de datos corporativos, servir de puerta de entrada a la red corporativa...? ¿Cómo podemos protegernos frente a estas amenazas?

A nivel particular, está claro que malware que inutilice el teléfono, que consuma los datos, que exponga nuestra información (fotos, conversaciones, correos, cuentas que conforman nuestra identidad digital...). Sin embargo, a nivel empresarial, me centraría en la fuga de datos corporativos (desde comunicaciones hasta la propia agenda de contactos o reuniones), así como la propiedad industrial que todo ello encierra. Y en general, todo suele ser por una app con demasiados permisos, o por no disponer de un mecanismo de acceso al dispositivo protegido correctamente, que pueda hacer que alguien generalmente con acceso físico al equipo, lo envenene en un momento de descuido.

¿Cuáles serían las medidas básicas que toda empresa debería tener implantadas en materia de seguridad de dispositivos móviles? ¿Y los usuarios?

Lo más recomendable sería que no hubiera una política BYOD, y que el uso del dispositivo profesional estuviese completamente restringido a las aplicaciones corporativas, con limitación de instalación de software de cualquier tipo, así como de navegación por lugares no recomendables, así como cumplir con estrictas medidas de seguridad en cuanto a la existencia passcode de acceso, complejidad y política de cambio del mismo... Sin embargo, esta opción, que a mi criterio es la más segura, es tan caro para la empresa como desagradable para los trabajadores, puesto que tienen que cargar con dos teléfonos, y el corporativo, en líneas generales suele ser de menos prestaciones que el personal, por lo que el equipo "se cuelga", va lento, le dura poco la batería...

Sin embargo, si se usa el dispositivo personal, abrimos el abanico de amenazas a todo un ecosistema compartido con aplicaciones y uso sobre un dispositivo en el que "no se tiene autoridad" para imponer los criterios de utilización. Es una disyuntiva complicada, la verdad.

En un entorno BYOD, ¿podemos exigir a los trabajadores que se instalen alguna solución de seguridad en sus dispositivos? ¿O las medidas deben ser en la red corporativa?

Quizá el ofrecer a los trabajadores la posibilidad de llegar a un win-win, por el que el software antivirus o el de gestión MdM lo paga la compañía, y buscar alternativas que les aporten valor a los dueños de los equipos. "Tu información estará siempre respaldada". "Si pierdes el dispositivo, nos lo notificas y podremos buscarlo", "la empresa te ayuda a proteger tu información (bueno, y también la nuestra...)". Sobre la exigencia o no, no soy abogado especialista en temas laborales, pero, aunque lo fuese, mi experiencia como trabajador durante 17 años y con gente a mi cargo desde hace menos, es que las imposiciones y exigencias nunca son buenas. Es mejor intentar llegar a un entendimiento o un acuerdo con tu gente, y que trabajen a gusto, estando concienciados de la importancia de lo que llevan en el bolsillo.

Uno de los grandes retos de los CIOS/CISO a la hora de afronta la seguridad móvil es la disparidad de dispositivos y versiones de sistemas operativos de los móviles. ¿Cómo pueden las herramientas tecnológicas afrontar esta diversidad de plataformas?

En general, las herramientas MdM que existen en el mercado, intentan llevar a cada implementación de teléfono móvil, aquellas características comunes que todos deben tener (dependiendo de las características del sistema operativo): cifrado del dispositivo, contraseña de acceso (existencia, complejidad y cambio periódico con recordatorio de las anteriores), antivirus, posibilidad de borrado y localización remota... Con que al menos se apliquen estas medidas, ya se habrá avanzado lo mínimo. A partir de aquí todo lo demás, son buenos añadidos.

Esta entrevista forma parte del Tema de Portada del número de julio de IT User. Puedes leer el resto de las entrevistas en este enlace o descargarte la revista en este otro enlace. 

 Otras entrevistas

David Sanz, Commvault

Ángel Victoria, G Data

 Eduardo Argüeso, IBM

Hervé Lambert, Panda Security

Grupo de expertos de la unidad "Advanced Cybersecurity Services" de S21sec 

David Alonso, Samsung