El fuerte empuje y extendido uso de los dispositivos móviles personales dentro de las organizaciones (y de los corporativos en el ámbito privado) abre un nuevo frente de riesgos para los departamentos de Seguridad TIC de las organizaciones, a los que hay que sumar el incremento permanente de “inteligencia” y capacidades de estos dispositivos (smartphones, tabletas…), y la diversidad de fabricantes y plataformas existentes en el mercado. El pasado mes de octubre la Revista SIC reunió en una nueva edición de su espacio Respuestas SIC a fabricantes, usuarios, operadores de telecomunicaciones e integradores quienes, ante una audiencia conjunta superior a los 300 asistentes, analizaron los retos (protección de la información, privacidad, cumplimiento normativo…) y oportunidades (nuevas necesidades del negocio) de la gestión segura de la movilidad.
La jornada arrancó, tras la presentación de la misma por parte de José de la Peña, Director de SIC, con un bloque inicial a modo de introducción, a cargo de Javier Fernández Martín, Ingeniero Preventa de BT Global Services; y de Alfonso José Martín Palma, Gerente Senior de Ciberseguridad de Indra, quienes abordaron, respectivamente, las implicaciones de la gestión (MDM) y la seguridad (MDP) en movilidad, y la protección de la información en estos escenarios.
Entre las ideas expuestas por sendos ponentes destacaron algunas recomendaciones como la necesidad de concienciación y formación de los usuarios; la definición de una política de seguridad sobre dispositivos móviles apoyada por la dirección; el inventariado y clasificación de todos los nuevos activos, tanto privados como corporativos; el cifrado de este tipo de dispositivos; la autenticación para el acceso a los recursos corporativos; el bloqueo y geolocalización de los terminales móviles y su borrado completo en caso de necesidad; validar la tecnología sin prisas y alinear las políticas de seguridad en estos entornos con los objetivos del negocio.
Posteriormente, siete firmas de la industria de seguridad, infraestructura de red y prestación de servicios, presentaron sus diversas alternativas en productos y servicios enfocadas en la gestión segura de los parques de dispositivos móviles empresariales. Las compañías participantes estuvieron representadas por Mario García Setién, Director General para España y Portugal de Check Point; José Carlos García Marcos (en la sesión de Madrid) y Jordi Soler (en la sesión de Barcelona), Ingenieros de Soluciones de Enterasys Networks; David Noguer Bau, Responsable de Marketing para Operadores para EMEA de Juniper Networks; Fernando Vega Viejo, Director de Ingeniería de Sistemas para el Sur de Europa (en Madrid) y Neftali Mañes, Ingeniero de Sistemas de Seguridad Senior (en Barcelona) de McAfee (Intel); David Sanz Casas, Consultor Preventas Senior de Symantec; Juan Miguel Velasco López-Urda, Director de Servicios de Seguridad de Empresas (en Madrid) y Marisol Oliva, Consultora de Seguridad (en Barcelona) de Telefónica; y Jesús Escolar Al Bouhali, Arquitecto Tecnológico Jefe para el Sur de Europa de Trend Micro.
En la mesa redonda que siguió a las presentaciones, la audiencia planteó a los participantes diferentes cuestiones acerca de las claves en la aproximación a la seguridad en estos escenarios, ante las que los integrantes de la mesa recordaron la importancia de no olvidar lo que ya se tiene instalado “en casa” e integrarlo de forma coherente y paso a paso con las propuestas específicas para entornos de movilidad; educar en el uso de la información empresarial y tener presente al usuario y sus necesidades a la hora de desplegar nuevas herramientas y controles; simplificar y centralizar cuanto más mejor; y hacer uso de las funcionalidades de seguridad nativas de las diferentes plataformas y complementarlas, fueron algunas de las ideas expuestas.
El tercer apartado de estas sesiones está tradicionalmente reservado a la visión de las compañías usuarias, sus limitaciones y necesidades futuras, panel en el que en esta ocasión se contó con las experiencias de dos entidades financieras, Bankia y Bankinter, representadas por Javier Sevillano Izquierdo, Responsable de Seguridad Tecnológica de la primera y Jesús Milán Lobo, Director de Riesgos Tecnológicos y Seguridad Informática de la segunda; y la operadora ferroviaria española Renfe, en la persona de Francisco Lázaro Anguis, Responsable de Seguridad de la Información de la misma.
Milán Lobo, de Bankinter, enfatizó en su aportación a la mesa que este tipo de dispositivos fueron diseñados con fines de conectividad, portabilidad y usabilidad, pero no para ser seguros, por lo que se trata de plataformas vulnerables y con crecimiento exponencial. Su entidad, en la que se ha observado un creciente uso de este tipo de dispositivos de origen personal en el ámbito de trabajo, ha optado, entre otras medidas, por que la información no esté en local dada la inseguridad de los dispositivos, sino alojada en la organización para su control. El acceso de los usuarios a la misma mediante sus terminales móviles se realiza a través de VPN/SSL con OTP, lo que permite al usuario entrar a un escritorio remoto, haciendo uso de la virtualización.
En el caso de Renfe, los dispositivos móviles son entregados por la organización (habiendo sido dirigidos previamente desde la operadora). La seguridad es proporcionada por el propio sistema de seguridad interno de la compañía, implicándose también al departamento legal y al de Recursos Humanos. La operadora ferroviaria también apuesta por dar mensajes y orientación a los usuarios y realizar una gestión unificada de estos dispositivos en toda la organización.
Finalmente, desde Bankia, Sevillano Izquierdo, explicó que la organización está fusionando actualmente la movilidad de todas las Cajas del Grupo y que por la parte de los clientes, se hace uso de mensajes SMS para validación. Esta entidad, al igual que Renfe, optó hace tiempo por la plataforma Blackberry/RIM, aunque ha visto incrementarse la entrada de tabletas y smartphones de sistema operativo iOS. Por otra parte, Bankia emplea, al igual que Bankinter, OTPs para realizar la autenticación de usuarios desde este tipo de dispositivos.