¿Puede confiar realmente en sus dispositivos ‘de confianza’?

Mike Schuricht, vicepresidente de Gestión de Productos de Bitglass, argumenta por qué existe una falsa sensación de seguridad en torno a los dispositivos móviles y explica los motivos por los cuales debemos replantearnos el modelo de seguridad basado en los dispositivos 'de confianza'.

La adopción de los dispositivos móviles en los lugares de trabajo ha despegado en los últimos años, a medida que más empresas se dan cuenta de las ventajas que ofrece el trabajo flexible. Sin embargo, aunque el acceso a las aplicaciones y datos empresariales en cualquier momento permite mejorar la productividad de los trabajadores, también crea nuevos riesgos. Durante años, las empresas han utilizado un modelo de seguridad basado en dispositivos 'de confianza' como enfoque general para permitir el acceso remoto a la información empresarial. Sin embargo, a medida que el trabajo flexible se generaliza, este modelo ya no se puede considerar completamente seguro o fiable.

Un dispositivo de confianza es simplemente un dispositivo conocido sobre el cual la empresa tiene un cierto control y al que le puede suponer un determinado nivel de seguridad básica. Normalmente, estos dispositivos cuentan con un agente de software que dirige el tráfico a la red corporativa para que se puedan realizar comprobaciones de seguridad básicas, como el uso de una contraseña y la actualización del sistema operativo (SO). Una vez que se han realizado estas comprobaciones, generalmente un dispositivo de confianza tiene acceso a la red sin restricciones para que el usuario pueda disponer de toda la información que necesita con el fin de trabajar de forma remota. Habitualmente, esto se consigue mediante la creación de un túnel de red privada virtual (VPN) en la red corporativa que permite un acceso sin limitaciones a servicios que puede que el usuario ni siquiera necesite (como por ejemplo el directorio activo), lo que supone un riesgo adicional.

Históricamente, los ordenadores con Windows han sido los dispositivos más usados por las empresas. Pero ahora que la prioridad es la movilidad, los dispositivos con iOS de Apple se han convertido en los favoritos de las empresas. Los dispositivos con iOS suponen más del 80 % de los dispositivos móviles que utilizan las empresas de todo el mundo, según la segunda edición del estudio Análisis de Seguridad y Riesgos Móviles. Según el mismo estudio, Android tiene una cuota del 18% en este mercado. El predominio de los dispositivos con iOS en los lugares de trabajo no se debe necesariamente a las preferencias de los empleados. A menudo, iOS se percibe como una opción más segura para las empresas, en parte gracias al sistema operativo cerrado de Apple y su enfoque en la seguridad.

Esto ha dado como resultado una confianza implícita en la plataforma de Apple por parte de muchos responsables de TI. Son profesionales que conocen las ventajas de permitir la movilidad de los empleados, pero que también son conscientes de las amenazas que implica para sus empresas. El enfoque 'cerrado' de Apple respecto al hardware, el software y los servicios proporciona a su entorno una clara ventaja en cuanto a la seguridad respecto a otras plataformas. De hecho, un reciente estudio de Jamf señala que el 90 % de los profesionales de TI consideran que proteger los dispositivos de Apple es más fácil en comparación con proteger los dispositivos móviles que usan otros sistemas operativos.

Aunque la mayoría de las plataformas móviles actuales son mucho más seguras que las plataformas antiguas, todas ellas, incluida la de Apple, siguen siendo vulnerables a las pérdidas y robos de datos, así como a los ciberataques dirigidos a los datos que contiene el dispositivo, y no al propio dispositivo.

Los empleados con dispositivos de confianza a menudo tienen acceso a algunos de los datos más protegidos de una empresa. Muchas agencias gubernamentales y algunos de los mayores bancos del mundo usan el modelo de seguridad basado en los dispositivos de confianza para proporcionar a sus empleados acceso a la información confidencial. Teniendo esto en cuenta, las empresas deberían preocuparse en mayor medida por el exceso de datos que se comparten, el robo de credenciales y la visibilidad de los datos en la nube, en lugar de centrarse en la seguridad de los dispositivos, como hacen muchas de ellas.

En un intento por recuperar el control sobre los dispositivos móviles, algunas empresas han recurrido a las soluciones de gestión de dispositivos móviles (MDM) y gestión de aplicaciones móviles (MAM). Estas soluciones instalan agentes en los dispositivos móviles para que el departamento de TI pueda gestionarlos de manera centralizada. Funciones como la protección con contraseña, el borrado remoto de datos y las restricciones de las transmisiones de red no seguras se gestionan desde una plataforma centralizada.

La instalación y el mantenimiento del software MDM pueden provocar importantes quebraderos de cabeza logísticos. Los equipos de TI deben realizar la instalación de estos programas en miles de dispositivos y garantizar la actualización y mantenimiento periódicos de los agentes. También se plantean importantes problemas de privacidad cuando una empresa pretende controlar los dispositivos personales de los empleados, lo que sucede bastante a menudo en los entornos de uso de dispositivos personales en el trabajo (BYOD).

Las soluciones de MDM requieren instalar un componente de software o 'agente' en el dispositivo personal de cada empleado, que se usa para canalizar toda la actividad a través de la red corporativa. Si bien esto permite al departamento de TI vigilar los datos corporativos, también significa que la actividad privada del usuario, como el acceso a la banca online, las redes sociales y una gran cantidad de información personal, se procesan asimismo a través de la red corporativa.

Esto no solo afecta a la velocidad y funcionalidad de algunas aplicaciones, sino que además provoca que a la mayoría de los empleados no les guste la idea de que el departamento de TI de su empresa pueda acceder a sus datos privados. Un estudio reciente de Bitglass concluye que solo el 44% de los empleados aceptaría la instalación de una solución de MDM o MAM en su teléfono personal. Muchos rechazan por completo estas soluciones: prefieren eludir la supervisión del departamento de TI, aunque eso signifique poner en riesgo los datos de la empresa. En definitiva, al recurrir a las soluciones MDM para conseguir que un dispositivo sea 'de confianza', muchas empresas pierden la confianza de sus empleados.

En el mismo estudio de Bitglass, más de dos tercios (67%) de los empleados afirmaron que aceptarían participar en los programas de BYOD si su empresa tuviera la capacidad de proteger los datos corporativos pero no de ver, modificar o eliminar sus datos personales.

En lugar de rastrear toda la actividad de los dispositivos de los empleados, las empresas solo tienen que controlar los datos empresariales. Además, en vez de supervisar todas las funciones de un teléfono móvil, deben limitar el acceso a su red desde los dispositivos y destinos peligrosos. Esto permite que la experiencia del usuario permanezca intacta, sin afectar a la seguridad de los datos confidenciales de la empresa.

Para satisfacer estas necesidades específicas, las empresas deben optar por las soluciones de BYOD 'sin agentes'. A diferencia de las soluciones de MDM, las soluciones sin agentes no instalan software en los dispositivos de los empleados y solo supervisan los datos corporativos. Este enfoque relativamente nuevo de la seguridad móvil se basa en la idea de que ya no es necesario proteger el 'dispositivo', sino los datos que contiene.

El concepto de los dispositivos 'de confianza' se usa en exceso y se malinterpreta, ya que los dispositivos de confianza, por definición, son los que una empresa considera 'seguros'. Ningún dispositivo está totalmente a salvo de una fuga de datos. En última instancia, la mayoría de las empresas han caído en el error de creer que los dispositivos de 'confianza', ya sean dispositivos de BYOD o dispositivos gestionados de la empresa, son seguros.

El departamento de TI puede considerar que un dispositivo es 'de confianza' o 'no de confianza'. Pero, en última instancia, no son los dispositivos lo que las empresas deberían esforzarse por proteger: son los datos corporativos confidenciales que contienen.