Dentro de algunos años, muchos expertos señalarán el 11 de julio –la fecha en que Apple lanzó su versión 3G de iPhone- como una divisoria de aguas, que introdujo una nueva era de teléfonos inteligentes o smartphones en la empresa. Pero muchos olvidarán mencionar el rol preponderante que la seguridad habrá jugado en el éxito (o fracaso) de los smartphones, así como del siguiente dispositivo de computación empresarial omnipresente.

La nueva era de los teléfonos 3G permite capacidades sin precedentes en teléfonos inteligentes, tales como iPhone y BlackBerry, e impulsa la evolución de la categoría de “teléfono que también es computador” a la de “computador que también es teléfono”. 

Obviamente, tener una plataforma de computación empresarial en los bolsillos de los trabajadores plantea un sinfín de nuevos desafíos para las organizaciones dedicadas a la seguridad. La nueva generación de teléfonos inteligentes tiene un perfil de riesgo mucho mayor que sus predecesores, debido a su potencial de acceder y transportar información corporativa crítica, tal como documentación interna confidencial, bases de datos, información financiera, etc. El riesgo es para esta información una característica inherente, debido a su mayor potencial de pérdida o robo en comparación con los dispositivos de computación tradicionales.

Si bien la mayoría de las empresas cuentan con procedimientos para proteger y reemplazar computadores portátiles, no poseen políticas y procedimientos similares para smartphones. Con el advenimiento de la tecnología 3G, esto debe cambiar. Aunque la empresa no se los esté proporcionando a sus trabajadores, muchos usuarios corporativos traerán sus dispositivos propios de esta clase a la empresa. Es necesario encarar esta tendencia ahora si se han de evitar graves problemas de seguridad y cumplimiento en el futuro.

Como mínimo, aquí presentamos cinco pasos claves que las empresas pueden dar para reducir el riesgo de violaciones a la seguridad y el cumplimiento en relación con el uso de smartphones:

1. Aplicar fuertes políticas de contraseñas.
Por más básico que esto parezca, ¿cuántas empresas hoy aplican políticas de contraseñas a los smartphones? No muchas. En caso de pérdida o robo de un teléfono, una política de contraseña sólida puede marcar la diferencia entre perder un dispositivo de U$S 300 y perder información confidencial con el consiguiente perjuicio para la empresa y su reputación. Es procedimiento operativo estándar configurar computadores laptop de modo que se les bloqueen las pantallas después de un corto período de inactividad. El mismo procedimiento debe ser implementado para los smartphones. Y las contraseñas deben ser complejas y deben cambiarse obligatoriamente en forma periódica.

2. Proteger el acceso de los teléfonos a la red VPN.
Los atacantes pueden explotar vulnerabilidades en smartphones, infectarlos con software malicioso y luego traspasar las conexiones VPN para acceder a recursos sensibles de la intranet corporativa. Deben instalarse servidores de smartphone y puntos de egreso de la red VPN en una red protegida del resto de la intranet por firewall, y las conexiones que vienen de los teléfonos deben ser monitoreadas con sistemas de prevención de intrusiones. El acceso desde redes VPN de smartphones debe restringirse sólo a los servidores que son realmente necesarios para los usuarios móviles.

3. Definir procedimientos para que los empleados sigan en caso de pérdida o robo de teléfonos.
Una de las razones claves por las que la firma de analistas de industria Gartner “aprobó” oficialmente el iPhone 3G para el uso en la empresa es la capacidad de borrar remotamente datos sensibles del dispositivo en caso de pérdida o robo. Este es un atributo que desde hace tiempo ha sido una capacidad básica en otros dispositivos de la misma clase. Las empresas deben designar a un empleado como punto de contacto para empleados que hayan perdido el teléfono, y esa persona debe seguir un procedimiento definido para borrar los datos del teléfono y proporcionar a los usuarios móviles dispositivos de reemplazo configurados con las políticas apropiadas acordes al rol de la persona en la organización. Debe existir una capacitación a empleados en el uso de teléfonos inteligentes que infunda en los usuarios la importancia de informar de inmediato la pérdida del teléfono, en lugar de esperar que el dispositivo “aparezca”.

4. Controlar la instalación de aplicaciones de terceros.
Los usuarios desprevenidos pueden verse tentados a bajar juegos de video, aplicaciones de productividad u otras aplicaciones de terceros en sus smartphones. La investigación concluye que estas aplicaciones de terceros, a menudo ofrecidas por compañías más pequeñas que carecen de los recursos para realizar pruebas integrales de la seguridad, son blanco de cibercriminales que buscan un acceso fácil a las redes corporativas. Los administradores de TI deben considerar imponer restricciones a la instalación de aplicaciones de terceros, en especial si no se encuentran mínimamente autenticadas por una firma digital válida, similar a los procedimientos de seguridad estándares creados para computadores portátiles y de escritorio.

5. Evaluar soluciones antivirus para smartphones.
Afortunadamente, hay pocas amenazas de malware a los teléfonos inteligentes actualmente, lo cual es bueno porque muchos usuarios finales siguen tratando a estos dispositivos como “aparatos” en lugar de minicomputadoras. Como consecuencia, no imponen el mismo nivel de cuidado cuando operan un teléfono inteligente que cuando usan su computador de la oficina. Sin embargo, con la creciente popularidad de estos teléfonos, la población de usuarios se convertirá en un blanco cada vez más atractivo para los criminales cibernéticos. Como consecuencia, sin duda habrá un aumento en el volumen de malware que atacará a los teléfonos inteligentes. Las empresas deben comenzar por monitorear esta situación hoy para determinar cuándo los teléfonos móviles deberán incluirse en sus instalaciones de software de seguridad basado en servidor. Ya existen soluciones antivirus basadas en servidor que corren en smartphones.

Prepararse para el futuro de los teléfonos inteligentes
Las empresas hoy se encuentran ante un creciente número de usuarios finales que desean trabajar remotamente. Los teléfonos inteligentes son la máxima expresión de la computación “en todo momento y lugar” y se convertirán en una plataforma de computación empresarial estándar. Las empresas deben prepararse para esta realidad ya, desarrollando políticas y procedimientos, e implementando tecnologías que permitan que los smartphones satisfagan los requisitos de seguridad y cumplimiento de la empresa. 

Las nuevas amenazas de seguridad suelen llegar de improviso y tomar a las empresas por sorpresa. La evolución del smartphone es suficiente advertencia para que tengamos nuestras estrategias de seguridad móvil implementadas. Las empresas deben aprovechar esta ventana de oportunidad ahora, para evitar situaciones sobre las que han sido advertidas y que se podrían evitar.

Disclaimer:
El contenido de esta nota es de responsabilidad exclusiva de su autor. No refleja la opinión de la redacción.