¿Qué ocurre cuando el 90 por ciento de los empleados aparentemente no se preocupan por la seguridad móvil?
Los departamentos de TI tienen una importante tarea por delante, que es mantener los datos de la empresa a salvo de hackers interesados y del descuido de los empleados. Y hoy en día esa tarea se ha vuelto más complicada que nunca debido a que cada mañana los empleados acuden a sus puestos de trabajo con sus propios dispositivos y aplicaciones, y se van a casa por la tarde llevando consigo información empresarial y datos de la empresa.
El motivo que está detrás de los conceptos de Bring Your Own Device (Trae tu propio dispositivo) y Bring Your Own Apps (Trae tus propias aplicaciones) es bueno: los empleados quieren ser productivos también fuera de la oficina. Pero tampoco podemos olvidar que a nadie le gusta tener que llevar dos smartphones encima o dos ordenadores cuando se está de viaje de trabajo. Hoy en día, las aplicaciones basadas en la nube, como por ejemplo las hojas de cálculo o los procesadores de texto, son accesibles desde cualquier lugar y ayudan a los equipos de trabajo a disminuir el papel casi único del correo electrónico como herramienta de colaboración.
La realidad del BYOD y del BYOA es un poco más compleja que todo eso. Si nuestra compañía fuera una de esas empresas que no cuentan con política oficial sobre BYOD o BYOA (como el 26% de empresas mencionadas en un artículo publicado en zdnet.com sobre empresas en los EE.UU.), nos encontraríamos con el hecho de que nuestros empleados descargarían el correo corporativo y documentos de trabajo en sus dispositivos particulares. Si una empresa falla a la hora de suministrar a sus empleados con las aplicaciones en cloud que quieren, estos utilizarán las versiones más sencillas y gratuitas disponibles de las mismas. Y tampoco creo que sea necesario recordar los miles de smartphones y ordenadores que se pierden o que son robados todas las semanas. ¿Quién no conoce a alguien que se ha dejado olvidado su teléfono en un taxi y nunca lo ha vuelto a ver? Aproximadamente el 43% de empresas de EE.UU. tuvieron en 2014 una brecha de seguridad.
Números problemáticos
Visto el escenario, deberíamos preguntarnos cuántos dispositivos móviles están circulando por ahí conteniendo datos de nuestra empresa. La respuesta quizás nos sorprenda y hasta nos asuste.
En un reciente estudio, en el que participaron más de 12.000 personas, los laboratorios de Kaspersky encontraron que aproximadamente el 50% de los entrevistados habían utilizado smartphones, tabletas o laptops personales para su trabajo, que el 36% conservaban archivos de la empresa en sus dispositivos personales, que un 34% accedían a correos de la empresa desde éstos, y que entre el 11 y el 18% conservaban en ellos las contraseñas corporativas.
Preguntados por la seguridad, sólo el 11% de los entrevistados respondieron que estaban seriamente preocupados por poder conservar información relacionada con el trabajo de modo seguro en sus dispositivos móviles.
Si nuestras compañías no han empezado a implementar políticas formales alrededor de los dispositivos móviles personales, el resultado es que mucha de nuestra información corporativa terminará cada día en las casas de nuestros empleados. Y también debemos tener en cuenta que BYOD y BYOA son el anticipo del “Trae cualquier objeto” (Bring Your Own Everything), que ya está llegando de mano del Internet de las cosas (IoT).
Trabajando hoy
El primer paso imprescindible es poner en marcha una política BYOD y BYOA, o revisar y actualizar las actualmente existentes.
Los empleados ya están utilizando sus propios dispositivos y aplicaciones en el lugar de trabajo, de eso no hay duda. En un informe de abril de 2015, Netskope identificó que una empresa tipo está utilizando un promedio de 730 aplicaciones en la nube. Si ese número nos parece elevado, quizás sea el momento de auditar el software que nuestros equipos están usando y determinar si hay información corporativa que esté en peligro de perderse en la nube.
El paso siguiente es dotar a los empleados de las herramientas seguras que necesiten para utilizar los dispositivos y las aplicaciones que elijan. Diferentes equipos pueden utilizar diferente software en función de las necesidades individuales. Obligar a que toda la empresa adopte un único dispositivo oficial o una plataforma de software monolítica, es irreal, y puede dar lugar a la aparición del “shadow IT”, donde los equipos ignoran los canales oficiales y adoptan las herramientas que mejor servicio les dan y mejor les funcionan.
Los silos de información son peligrosos. Puede que sólo obstaculice el customer engagement haciendo que los equipos no compartan la información que necesitan para tomar decisiones contando con todos los elementos necesarios. Pero puede que también que también los silos fuercen a los empleados a diseñar una chapuza para encontrar una solución, como por ejemplo, volver a distribuir la información por toda la compañía mediante hojas de cálculo a través de correos electrónicos.
Romper los silos de información es posible con software que varios fabricantes ya hemos situado en el mercado, como nuestra solución Avaya Engagement Development Platform que permite a las empresas escribir un código personalizado que permite a sus aplicaciones existentes disponer de funcionalidades de comunicación, o que diseñar nuevas aplicaciones que compartan datos entre silos.
Por último, las compañías inteligentes son capaces de adoptar múltiples capas de seguridad, teniendo en cuenta además que una parte significativa de las brechas de seguridad tienen un origen interno dentro de la compañía más que externo. Los cortafuegos no son suficiente, y el acceso a las redes deben ser segmentados y basado en perfiles.
En un incidente de seguridad que tuvo una gran repercusión mediática en el año pasado, una gran cadena minorista de los EE.UU. admitió que había perdido millones de números de tarjetas de sus clientes después de haber dado a su proveedor sistemas de climatización, acceso a una parte importante de su red corporativa. Los hackers entraron en el suministrador y utilizaron sus credenciales de acceso para acceder al minorista y su base de datos de tarjetas de crédito de clientes, que se encontraba en una sección de la red corporativa a la que el proveedor de climatización no debería haber tenido acceso.
Las redes virtuales definidas por software (SDN) permiten trabajar fácilmente el acceso según perfiles, y reducen el tamaño en la red de la huella de terminales y puntos oscuros evitando que los hackers puedan verlos. Dispositivos individuales, aplicaciones y terminales son provisionados dinámicamente, con accesos a la red siendo garantizados o retirados según sea necesario.
BYOD y BYOA representan una nueva realidad para las empresas. Si tomamos los pasos oportunos para revisar las políticas sobre ellos en nuestras empresas, facilitamos a los empleados las herramientas para aprovechar esta nueva tendencia y compartimos información de forma segura entre aplicaciones, todo ello nos va a permitir poder contar finalmente con un mayor control sobre la red de nuestra compañía.
Por José Paz, director general de Avaya España y Portugal
José Paz de Avaya
