La seguridad en los móviles del US Army en tela de juicio

El 26 de marzo, el Inspector General publicó un informe sobre las consecuencias del BYOD (bring your own device) en el ejército de EE.UU.

Entre otros, estos son algunos de los resultados:

  • Los móviles no eran seguros para almacenar información.
  • El Departamento de Defensa de EE.UU (DOD) no tenía la capacidad de borrar los móviles perdidos o robados.
  • Se permite el almacenar datos en móviles personales como si se tratara de dispositivos de almacenamiento.
  • El DOD no formaba a los usuarios ni  les hacía firmar ningún documento de uso.
  • El CIO del ejército desconocía que se usaban más de 14.000 móviles en el ejército.

¡Caray!

Y esto viene de un organismo que parece que tiene reglamentos para todo.

location-smartphone-170El ejército implementó una buena política con respecto a la geolocalización hace ya tiempo, percatándose del riesgo que supone que los soldados saquen fotografías en las que automáticamente se incluya su localización.

Sin embargo, dado que no gestionan los dispositivos ¿cómo pueden saber si la geolocalización está desactivada?

Y si el ejército de EE.UU. con sus interminables reglamentos tiene dificultades con el BYOD ¿cómo lo afrontan las pequeñas y medianas empresas?

¿Por qué es tan importante?

Respuesta: pérdida de datos. El robo de información confidencial es un negocio enorme para los malos. Un teléfono olvidado en un taxi o en el aeropuerto puede ser una mina de oro en cuanto a información confidencial. Recuerda el caso en el que un contratista del servicio secreto de EE.UU. se dejó dos cintas con datos confidenciales en el metro.

¿Qué malhechor no hubiera deseado tener dos bases de datos llenas de interesantes datos de empleados de la agencia, contratistas y, posiblemente, informadores? Es un ejemplo de cómo incluso los más conscientes de los problemas de seguridad tienen un lapsus o un momento de distracción en los que fácilmente pueden cometer un error.

El pasado año, Sophos realizó un estudio informal descubriendo que el 42% de los móviles perdidos no tienen ningún tipo de protección. De éstos un 20% tenía acceso al correo de empresa que puede contener información confidencial. Las pequeñas empresas incluso corren más riesgos, no por ser pequeña dejas de ser un objetivo.

Ya hemos realizado varios artículos sobre cómo manejar los móviles en entornos empresariales ofreciendo sabios consejos sobre cómo implementar  BYOD en las empresas, pero ¿cómo crear un reglamento sobre su uso?

Gerhard Eschelbeck, CTO de Sophos, nos ofrece los siguientes consejos en el siguiente monográfico.

7 pasos para realizar un plan de seguridad sobre BYOD

1. Identificar los riesgos que el BYOD representa. Mide como los riesgos pueden impactar en tu empresa y localiza los elementos que deben ser regulados.

2. Crear un comité para que estudie el BYOd y analice los riesgos, incluyendo a los accionistas, trabajadores y a los responsables de seguridad.

3. Decidir que directivas aplicar a todos los dispositivos que se conecten a la red de trabajo, incluyendo móviles, tabletas y portátiles.

4. Crear un plan que incluya estos puntos:

  • Control remoto de dispositivos
  • Control de aplicaciones
  • Verificación del cumplimiento de las directrices y auditoría de informes
  • Cifrado de datos y dispositivos
  • Aumentar la seguridad de la nube
  • Borrado de dispositivos
  • Revocar el acceso cuando la relación del usuario pasa de empleado a invitado
  • Revocar el acceso a los dispositivos que decida la empresa

5. Evaluar soluciones. Considera el impacto en tu red actual y cómo mejorar las tecnologías existentes antes de dar el primer paso.

6. Implementar las soluciones. Comienza con un grupo de testeo en cada departamento. Continúa con las pruebas según tus criterios operacionales. Abre el BYOD a todos los usuarios.

7. Reevalúa periódicamente las soluciones. Incluye a los proveedores y consultores de confianza. Planifica tus actualizaciones y reevaluaciones.

Independientemente de lo grande que sea tu “ejército”, asegurar los dispositivos y los datos de estos dispositivos es la primera base para mantener la seguridad en tu organización.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Dejar un comentario

Your email address will not be published. Required fields are marked *