La seguridad perimetral ha tocado a su fin tras la irrupción de BYOD. En un momento en el que las organizaciones comienzan a tomar medidas, el Internet de las Cosas (IoT) y la proliferación de wearables complican aún más la gestión de la seguridad en un mundo móvil

La concepción de una empresa como una fortaleza donde la seguridad perimetral blinda la información que se alberga intramuros está totalmente desfasada. Los negocios actuales requieren que una organización sea permeable, que su información sea accesible únicamente a las personas autorizadas, pero desde cualquier ubicación.

El fenómeno de la movilidad se ha expandido de manera natural en España y en los países más avanzados, obedeciendo a la necesidad de aumentar la productividad. El trabajo es móvil y su desempeño se puede llevar a cabo desde un smartphone o una tablet fuera de la oficina, en un trayecto en tren o desde el salón de casa si fuera necesario. Para atender esta demanda, la empresa debe proporcionar dispositivos móviles a sus empleados o permitir que trabajen con los suyos personales (esto es BYOD, siglas inglesas de “Trae tu propio dispositivo”).

El éxito de BYOD, una iniciativa que favorece tanto a empleados como a empleadores, comenzó a ganar terreno progresivamente, a pesar de que también entrañaba riesgos. Como sucede en la mayoría de las ocasiones, la Seguridad TIC es tenida en cuenta a posteriori y debe adaptarse a los nuevos usos y costumbres para  garantizar la protección de la información.

El fin de la seguridad perimetral

Son diversas las preguntas que atañen a los CISO en torno a una nueva era en la que la conectividad manda y la movilidad impone su ley. ¿Dónde termina el perímetro de seguridad? ¿Cómo proteger y gestionar la información más allá del perímetro? El CISO asume el desafío de proteger la red y realizar una gestión eficaz de permisos y control de accesos, pero ¿por dónde empezar?

El despliegue de una solución de Mobile Device Management (MDM) es sin duda una medida necesaria, pero no basta por sí sola. Es vital definir una estrategia que contemple los riesgos, otorgue diferentes permisos a los usuarios y establezca una política corporativa de seguridad móvil.

Los expertos coinciden en señalar los siguientes pasos como punto de partida: Realizar un análisis de riesgos TI y normativos y determinar si son necesarios cambios en la infraestructura; decidir qué usuarios tienen acceso a información sensible; automatizar tareas de gestión de acuerdo a la política corporativa; y monitorizar continuamente la actividad para detectar a tiempo cualquier intrusión.

Estas medidas deberían traducirse en una mayor tranquilidad para la organización, de no ser por el último eslabón de la cadena: el usuario, que suele pasar por alto avisos de seguridad que le molestan o que no acaba de comprender cuando descarga una aplicación, por ejemplo. El problema es que detrás de una app aparentemente inofensiva se encuentre una red de ciberdelincuentes. Si el empleado aprueba inconscientemente permisos de administrador sobre el sistema de su terminal personal, autorizará al propietario del software pirata a acceder a todas sus cuentas de usuario, entre ellas las que tienen que ver con su esfera laboral. ¿Qué hacer entonces?

Seguridad de las Cosas

Antes de enfrentarse a un problema serio, la formación y la concienciación se perfilan como las principales medidas preventivas de las empresas que adoptan BYOD, aunque el panorama se complica. Del mismo modo que BYOD llegó para quedarse, también lo va a hacer el Internet de las Cosas (Internet of Things, IoT), donde los objetos de nuestra vida cotidiana pasan a estar conectados a Internet, a la red donde todo tiene cabida, para bien y para mal. Aunque aún puede que se encuentre en una fase incipiente, esta tendencia tiene una gran proyección porque los actores de la industria tecnológica ven en ella un filón. La Smart TV es el ejemplo más representativo, pero antes de lo que imaginamos el termostato de la calefacción, la nevera, los juguetes de los niños, el contador de la luz o incluso algunos dispositivos médicos estarán conectados a Internet. En otras palabras, se vuelve a ampliar el área de ataque para los ciberdelincuentes, que tendrán ante sí más puertas abiertas para continuar haciendo lo mismo de siempre: robar dinero o información.

¿Cómo afectará el IoT a las políticas establecidas para el despliegue de BYOD? ¿Son suficientes para gestionar la llegada de los wearables al trabajo? Los relojes inteligentes (smartwatches), las Google Glass o las pulseras de control de la actividad física son prendas de uso personal que también se incorporarán a este entramado de movilidad, pero ¿quién controla su seguridad? ¿Se ha pensado en la “Seguridad de las Cosas”?

Una de las soluciones más recomendables para el CISO es segmentar la red, con el objetivo de discriminar la conexión a Internet de los elementos menos sensibles o sin acceso a la información de aquellos que sí la tienen. En esta línea, una política adecuada de contraseñas (robustas y con cambios periódicos) es un complemento al alza.

Según el estudio publicado por ISACA “2014 IT Risk/Reward Barometer”, solamente un 11 por ciento de las organizaciones consultadas asegura contar con una política BYOD que también incluya BYOW (Bring Your Own Wearables), a pesar de que el 81% de los profesionales encuestados sostiene que el riesgo de que sus empleados lleven wearables es igual o mayor que el de llevar a la oficina sus smartphones o tablets.

Como siempre, ser consciente del problema, es el primer paso para actuar y un 43 por ciento de los participantes en la citada encuesta asegura que ya ha comenzado a preparar –o lo hará en los próximos 12 meses– una estrategia para el Internet de las Cosas. No faltarán empresas que apuesten por la prohibición de portar wearables en el trabajo como primera medida de urgencia, pero poner puertas al campo quizá sea más difícil que establecer estrategias adecuadas, por complejas que éstas puedan llegar a parecer.