6. Retos actuales y tendencias futuras Ciberseguridad en entornos móviles y BYOD Ciberseguridad Industrial e Industrial Internet of Things Ciberseguridad en las infraestructuras críticas Ciberseguridad en entornos cloud Francisco Javier Cervigon Ruckauer

6. Retos actuales y tendencias futuras


 Ciberseguridad en entornos móviles y BYOD
Ciberseguridad Industrial e Industrial Internet of Things
Ciberseguridad en las infraestructuras críticas
Ciberseguridad en entornos cloud

Ciberseguridad en entornos móviles y BYOD

BYOD o "Bring your own device"

Nuestro trabajo esta semana es especialmente complicado... cada una de las unidades de una hora que hemos preparado resumen contenidos a los que se podría dedicar prácticamente un curso entero. Esto ya ha pasado antes en el MOOC, pero esta semana es más crítico todavía.
Comencemos por la seguridad en entornos móviles. ¿En qué nos centramos? ¿En la seguridad de las aplicaciones, que tantos quebraderos de cabeza está dando? ¿En los sistemas operativos móviles, que han dejado la protección y la seguridad para el final para no consumir demasiada batería? ¿En el malware específico? Hemos decidido escoger como tema principal para esta unidad BYOD, ya que es algo que está obligando a los equipos de seguridad de todas las organizaciones a re-plantearse muchas cosas, y con lo que seguro vas a tener que trabajar como empleado o como responsable.
Desde hace algunos años estamos viviendo un fenómeno poco habitual en el entorno tecnológico. La tecnología más avanzada ya no está en las empresas, sino que es propiedad de los empleados

























El reto de la ciberseguridad en la era del mobile first

Se considera que el momento en el que el fenómeno BYOD apareció fue con la llegada del iPhone de Apple en 2007. Supuso toda una revolución en el ámbito de la tecnología de consumo. Los altos ejecutivos, condenados desde hacía años a terminales serios y funcionales como la BlackBerry, se encontraban con un dispositivo ligero, táctil y divertido, y quisieron llevárselo a la oficina. Desde esos momentos, la revolución de la movilidad no ha parado. Hemos observado la proliferación de smartphones y tabletas con funcionalidades avanzadas en el entorno personal de los trabajadores. A finales de 2013 se constató que había 1,4 miles de millones de smartphones en el mundo. Teniendo en cuenta que la población mundial es de unos 7 mil millones, eso quiere decir que había un smartphone por cada 5 personas en el mundo.
Esta democratización de la tecnología móvil ha ido alimentando el fenómeno BYOD y extendiéndolo a todos los niveles en la empresa. A día de hoy, los PCs son ya una parte muy pequeña de los dispositivos conectados a Internet n el entorno corporativo; los smartphones y tabletas representan un 60%.
Tanto analistas como fabricantes y organizaciones coinciden en que los programas BYOD pueden ser beneficiosos para las organizaciones. Los principales beneficios que el BYOD puede aportar a una organización son una mayor productividad(los usuarios trabajan más cómodos, contentos y a menudo más rápido con sus propios dispositivos), la mejora de la satisfacción de los empleados (pueden trabajar de forma más flexible) y la potencial reducción de costes vinculados a programas de movilidad (hay ahorros en hardware, licencias de software, telecomunicaciones y mantenimiento de dispositivos). En general, parece que cuanto más se usa BYOD, más se entiende su potencial.  El mejor acceso a la información corporativa, al poder acceder a ella en cualquier momento y lugar, puede contribuir a la mejora en la toma de decisiones. Y también existe un potencial beneficio transformativo del BYOD como habilitador de la innovación impulsada por los empleados. Al permitir que los empleados decidan la forma, el momento y las herramientas con las cuales se lleva a cabo el trabajo, las empresas pueden mejorar sus procesos o desarrollar nuevos, incluso modificando en ocasiones su modelo de negocio.
Por otro lado, el uso de los dispositivos personales normalmente va acompañado del uso de aplicaciones y servicios en la nube personales, y esto puede suponer costes potenciales para las organizaciones. Uno de ellos es el mayor ancho de banda que requieren muchas de ellas. Algunas de las aplicaciones más populares que utilizan los empleados incluyen elementos multimedia, entre ellas las redes sociales y la transmisión de servicios multimedia. La combinación de más dispositivos en la red y las aplicaciones multimedia no aprobadas pueden crear cuellos de botella, a menos que los departamentos de TI sean muy celosos acerca de su administración de la red y su planificación de recursos.
Otra área que requiere administración activa es el uso creciente de herramientas de colaboración no aprobadas. Los empleados usan cada vez más servicios de mensajería instantánea, administración de archivos, videoconferencia móvil y colaboración en la nube para complementar o incluso reemplazar a las aplicaciones de colaboración corporativas. Aunque puede ser beneficioso para los empleados usar las herramientas de colaboración de su preferencia, especialmente si las ofrecidas son limitadas o inadecuadas, pero existe un potencial para la generación de “islas” de colaboración que excluyan a otras personas de forma inadvertida. Es vital que las empresas garanticen que las herramientas de colaboración no aprobadas se integren a la mensajería instantánea corporativa, los directorios corporativos, el software social corporativo y las herramientas de colaboración de vídeo para evitar la creación de estas “islas”.
El BYOD se lo está poniendo difícil al departamento de TI. Según una encuesta a profesionales de TI del año pasado, de entre las compañías que permiten el uso de dispositivos personales en sus redes, una aplastante mayoría del 93% indica que cuando los empleados usan su propio smartphone, tableta u otro dispositivo para trabajar con información vinculada a la empresa, esto les genera problemas. El principal reto al que se enfrentan las áreas de TI al adoptar programas BYOD es, según el 67% de los participantes en la encuesta, la seguridad de la información corporativa. La información de una organización está tan segura como lo esté el más débil de sus elementos, y ahora los dispositivos personales se han convertido en el eslabón más débil de la cadena.
No es de extrañar que la ciberseguridad sea una preocupación. Según muestra otra reciente encuesta, la concienciación entre los usuarios sobre la necesidad de tomar precauciones de seguridad en los dispositivos móviles es muy baja: el 52% de los participantes llevaba encima regularmente un dispositivo móvil con información sensible del trabajo y el 61% de los que usan su dispositivo para trabajar no usan una contraseña de protección. Teniendo en cuenta que, además, el 27% afirmaba haber perdido hasta tres dispositivos de empresa, es comprensible la preocupación de los responsables de TI por proteger la información corporativa.
Cuando se accede a información corporativa desde dispositivos personales el riesgo de fuga de datos es especialmente acentuado debido a, por ejemplo:
    • La pérdida o robo de dispositivos que ni siquiera usan contraseña.
    • Los virus y otros tipos de malware.
    • La fuga de datos entre aplicaciones móviles.
El 100% de las 100 principales apps de pago Android y el 56% de las Apple iOS han sido hackeadas. Las aplicaciones gratuitas no están fuera de peligro, el 73% de las Android y el 53% de las iOS han sido hackeadas también. Las aplicaciones pueden haber sido manipuladas para incluir malware, o para, a través de ingeniería inversa o de-compilación, analizar el código y preparar ataques dirigidos a la lógica o datos de negocio. Según el último Informe de Amenazas de Seguridad de Internet elaborado por Symantec, el 32% del malware móvil tiene como objetivo el robo de información.
Otro riesgo que se ve incrementado por el uso de BYOD es el de las intrusiones en la red corporativa. De nuevo las causas pueden ser la pérdida o robo de dispositivos, el malware o el uso de conexiones de red inseguras (típicamente, la Wi-Fi de un hotel o de otro espacio público, ya lo hemos hablado antes en este MOOC).





Actividades realizadas por el malware de móviles
Actividades realizadas por el malware de móviles
Según el mismo informe de Symantec, en 2012 el 93% de las vulnerabilidades publicadas eran de la plataforma iOS. Sin embargo, Android domina el entorno del malware con un 97% de las nuevas amenazas en el mismo año.
Sin embargo, hay otros riesgos que pocas empresas llegan a plantearse, pero que también acarrean los programas BYOD. Son los legales, de cumplimiento de normativas y de regulación, especialmente en lo referente a la privacidad. La línea divisoria entre gestionar un dispositivo de un usuario e invadir su privacidad personal es muy difusa. Además, si los usuarios descargan datos personales de clientes en los dispositivos, la organización deja de tener control sobre donde están los datos que tiene obligación de proteger y las copias que se han podido hacer.
Desde el punto de vista legal no todos los aspectos de traer de casa la tecnología están cubiertos. Hay muchos asuntos legales vinculados a BYOD que aún no tienen resolución. Esto deja en manos del área de TI la tarea de definir una estrategia global de BYOD que permita a los usuarios ser productivos sin cruzar líneas legales, alejando a la empresa de las zonas grises de vacíos legales.
Así, Las empresas pueden beneficiarse plenamente del BYOD si aplican una estrategia que reduzca los riesgos de seguridad y privacidad, así como la complejidad de la gestión. Esta estrategia ayudará al equipo de TI a través de una infraestructura de soluciones y un programa BYOD que permitirá al equipo de TI:
    • La gestión unificada de las políticas: una única plataforma de gestión de políticas que proteja datos, aplicaciones y sistemas, y que reconozca el perfil de usuario. Asimismo debería identificar y gestionar todos los dispositivos móviles que acceden a la red corporativa.
    • Proporcionar acceso seguro a la red y servicios corporativos, en función del perfil de usuario y dispositivo usado, y manteniendo la capacidad de red necesaria.
    • Proteger los datos independientemente de su ubicación con una seguridad capaz de identificar el contexto.
    • Facilitar la transmisión segura de datos entre los dispositivos y la infraestructura de red o cloud.

Contramedidas específicas para entornos BYOD

Como ya se avanzaba en la actividad de la pantalla anterior, supone un reto desplegar este tipo de contramedidas en un dispositivo que no pertenece a la compañía sino a uno de sus empleados, se trata de su dispositivo personal. Y esto puede plantear problemas respecto a su privacidad.
Se recomienda incidir en el hecho del mutuo beneficio para poder desplegar programas y planes BYOD sin que suponga una amenaza para los empleados: puedes utilizar tus dispositivos personales cómodamente para trabajar pero a cambio tienes que ser responsable con la seguridad (aplicando todas las políticas asociadas al uso de BYOD que se hayan definido) y permitir a la compañía cierto grado de control sobre el dispositivo. Deben quedar muy claras en todo momento las responsabilidades y las limitaciones de cada parte, llegando a firmarlas si es necesario.
En lo que se refiere al primer tipo de contramedidas, las relacionadas directamente con la definición de políticas BYOD se recomienda, como mínimo que cubran estos aspectos:
  • Usar de uno o varios factores de autenticación para la activación del dispositivo por si se pierde o roba. No vale con el PIN, se debe usar una contraseña fuerte, factores de autenticación biométricos, etc.
  • Contactar con la persona adecuada dentro de la organización en caso de pérdida o robo del dispositivo, Se recomienda utilizar mecanismos de geo-localización de los dispositivos para estos casos y códigos de bloqueo remoto (siempre con permiso del empleado y sólo en estos casos de necesidad).
  • Almacenar datos de la empresa en el dispositivo sólo cuando sea estrictamente necesario, el resto del tiempo trabajar con ellos en la nube sin que exista copia local.
  • Usar criptografía obligatoriamente para el almacenamiento de los datos en el dispositivo. 
  • Realizar copias de seguridad y gestionarlas/almacenarlas de manera segura.
  • Evitar la conexión a redes Wi-Fi públicas (inseguras).
  • Usar protocolos de comunicaciones seguros para el acceso a la red corporativa (a través de una VPN construida sobre IPSec o TLS, por ejemplo).
  • Tener instalada la solución anti-malware corporativa para dispositivos móviles, y si es posible, complementarla con software que permita realizar white-listing o black-listing de aplicaciones.
  • Instalar sólo las apps validadas por la organización o desde su propio market de aplicaciones.
Como puedes ver, se trata de contramedidas que ya conoces, pero aplicadas en un entorno muy concreto. En cuanto al control de los dispositivos por parte de la organización, están proliferando diferentes soluciones que permiten realizar este control desde los departamentos TI de manera centralizada e integrada con la Política de Seguridad de la organización. En este caso sí se trata de soluciones específicas para BYOD, por lo que todavía están evolucionando. Estos son algunos ejemplos representativos de lo que se puede encontrar en la actualidad en el mercado:
  • Mobile Device Management (MDM): Este tipo de software ayuda a la organización a forzar el cumplimiento de las políticas relacionadas con el dispositivo, por lo tanto, con la autenticación para su uso, la gestión de las pérdidas y robos, el uso obligatorio de criptografía, la protección contra el malware, las actualizaciones, etc.
  • Mobile Application Management (MAM): En este caso, la solución se centra en la gestión de las apps y por lo tanto en su validación, distribución, etc. También en la definición de listas blancas y negras, en la obligación para algunas de ellas de cumplir requisitos adicionales con la criptografía, etc.
  • Mobile Content Management (MCM): Estas soluciones se centran en la gestión de los datos, tanto cuando se utilizan desde la nube como cuando se almacenan localmente. Sobre todo están enfocadas a la seguridad de la información, gestionando el control de acceso, perfiles y roles, etc.
Hay que destacar que además de poder optar por estas alternativas existen otras soluciones en el mercado que permiten gestionar la seguridad en entornos BYOD gracias a mecanismos de virtualización. Por ejemplo, se pueden separar dentro de un mismo dispositivo, gracias a la virtualización, los contextos personal y corporativo del empleado. O se puede recurrir a las soluciones de application streaming para encapsular aplicaciones y datos corporativos y ofrecerlos en el dispositivo del empleado como si se tratara de un escritorio remoto. Prácticamente cada día están surgiendo nuevas contramedidas y soluciones.
Francisco Javier Cervigon Ruckauer
. No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)