BYOD
Estamos experimentando una revolución móvil. A nivel mundial se vendieron más smartphones que PCs en el último trimestre de 2011, según Canalys, y Android e iOS se han convertido en las plataformas líderes. Su cuota de mercado combinada pasó del 54% en el primer trimestre de 2011 a la friolera del 82% a principios de 2012, con Android al frente con una cuota del 59% en comparación con iOS, que obtuvo el 23%. Lamentablemente, estas plataformas no están diseñadas para proteger los datos de la misma forma que la veterana BlackBerry.

Los riesgos:
• En un reciente y exhaustivo informe de Trend Micro que analiza las plataformas móviles más importantes, y en el que se concede una puntuación media en base a 12 atributos, BlackBerry obtuvo el máximo porcentaje de calificación, con 2,89%, seguido de iOS5 (1,7%), Windows Phone 7.5 (1,61%) y, finalmente, Android v2.3 (1,37%).
• Dada su gran popularidad entre los usuarios y las débiles credenciales de seguridad, Android representa el mayor riesgo en cuanto a móviles para la empresa.
• Los principales riesgos para smartphones y tablets proceden de la descarga de malware oculto en aplicaciones legítimas. Este es un riesgo menor para los usuarios de iOS, puesto que todas las aplicaciones son examinadas rigurosamente antes de aceptarse en App Store, pero esto es mucho más difícil para Android dado que se trata de un sistema más abierto.
• También existe el riesgo de que un usuario acceda a un enlace malicioso, o abrir un archivo adjunto malicioso en su móvil y, al no estar protegido, se infecte.

Al igual que en el mundo del PC, los criminales crean malware para robar información de valor, convertir al dispositivo en parte de una botnet o ganar dinero de otras formas, tales como llamadas a números de tarificación especial.
Si en su compañía existen empleados que se conectan a la red de la empresa desde sus dispositivos, merece la pena crear una política sencilla para que los usuarios protejan sus datos corporativos.

Esta política debería incluir los siguientes aspectos:
  • Utilizar un PIN/contraseña/escáner de huella digital para bloquear el dispositivo con el fin de proteger los datos en caso de robo.
  • No descargar ninguna aplicación sin permiso, o visitar app stores que no sean oficiales o de terceros
  • No liberar el teléfono, ya que puede exponerlo a riesgos de seguridad
Para ayudar a reforzar esta política, deben considerarse estos factores:
  • Contar con un software de seguridad para el dispositivo, especialmente uno que permita gestionar todos los dispositivos de la compañía.
  • El software de gestión de dispositivos móviles puede ayudar también a mejorar y ofrecer seguridad adicional, como por ejemplo, limpieza remota de un dispositivo en caso de pérdida o robo o aplicar cifrado a los datos.
Sincronización y acceso de datos online
No se trata de proteger solamente al terminal móvil. Las soluciones basadas en la nube como Dropbox están incrementando su popularidad entre los usuarios para llevar a cabo actividades como compartir información con colegas, colaborar en proyectos e incluso para hacer copias de datos online, pero esto también implica riesgos. Si los trabajadores están utilizando cuentas de usuario de forma personalizada, podrán utilizar dicha cuenta cuando se vayan de la empresa, y potencialmente la IP. También es muy importante controlar quién está compartiendo datos externamente y con quién.

Por tanto, vale la pena invertir en una solución con las siguientes características:
  • Diseñada para usuarios de negocio, por lo que permite gestionar todas las cuentas de forma centralizada y mantener el control del personal cuando éste abandona la compañía.
  • Las fechas de vencimiento o las contraseñas se pueden establecer en base al intercambio de links de modo que los datos de la empresa que estén conectados en la nube estarán protegidos en caso de que los enlaces caigan en manos equivocadas.
  • Ofrecer carpetas para compartir información en la nube para una colaboración sencilla y controlada de equipos y proyectos.
  • Cifrar todos los datos archivados en el datacenter del proveedor.
  • Ofrecer acuerdos de nivel de servicio (SLAs) para proteger contra tiempos de inactividad, etc.
Redes sociales, webmail, VoIP, etc.
Las redes sociales se han convertido en parte de nuestro día a día, y los trabajadores no sólo demandan poder utilizar las cuentas personales en el trabajo, estos canales se están empleando con eficacia en actividades de B2C (business-to-consumer) para relacionarse con los clientes. Del mismo modo, webmail, VoIP y otras tecnologías de comunicación online ya son utilizadas en el lugar de trabajo, pues son muy intuitivas y fáciles de usar.

Cómo era de esperar, adonde se dirige la gente, los criminales siguen de cerca y estos servicios también pueden ofrecer un canal efectivo a través del cual atacar los equipos empresariales, ya sea mediante ataques directos diseñados para craquear el registro de cuentas, o por la infección a través de links o archivos adjuntos maliciosos. De ahí que sea importante los siguiente:
  • Asegurarse de que las cuentas corporativas están bloqueadas con contraseñas robustas y no utilizar el mismo registro en cuentas diferentes.
  • Elaborar una política de uso aceptable para redes sociales
  • Garantizar la seguridad del desktop corporativo y comprobar que tiene la capacidad de escanear links y archivos adjuntos maliciosos, los sistemas basados en cloud son los mejores ya que bloquean el malware antes de que pueda llegar a la red.
Tratar de mitigar todos los riesgos mencionados puede parecer una tarea de grandes proporciones, pero prohibir el uso de hardware de consumo y servicios online en el lugar de trabajo es una estrategia que no funcionará. Al contrario, las PYMES deberían aprovechar los beneficios que aportan al negocio, pero sólo autorizar aquellos que se puedan gestionar y proteger satisfactoriamente.

Recuerde, los cibercriminales actualmente están bien equipados y cuentan con recursos, son un grupo que está bien formado y entrenado para atacar a las más grandes plataformas y los objetivos más sencillos con el fin de apoderarse de datos e información y sacarle rendimiento. Así que asegúrese de que su negocio no se duerme en los laureles.