Header Ads Widget

Ticker

6/recent/ticker-posts

Repensar la seguridad móvil en un lugar de trabajo posterior a COVID

 


En el mundo de la seguridad móvil empresarial, a veces situaciones horribles obligan a tomar medidas de seguridad para preservar la empresa. Y COVID-19 obliga a las empresas a vaciar los edificios de oficinas y trasladar todo (y a todos) a ubicaciones remotas y la nube en marzo de 2020 es el ejemplo clásico. Lo que llevó a los atajos de seguridad no fue solo el cambio abrupto para trabajar desde casa, sino el hecho de que las empresas generalmente tenían que hacer la transición en unos pocos días.

Agregue a eso el aumento de los problemas con la seguridad de IoT, especialmente cuando los dispositivos de IoT en entornos domésticos accedieron a sistemas globales a través de VPN, a veces propagando malware a través de la tubería, y tiene un lío. Un informe reciente de seguridad móvil de Verizon lo expresó sin rodeos: “Casi la mitad de los encuestados admitió que su empresa había tomado atajos a sabiendas en la seguridad de los dispositivos móviles. Eso es un aumento de nuestro informe de 2020 cuando la cifra era del 46%. La proporción aumenta a dos tercios [67%] en nuestra muestra de IoT. Y de los restantes, el 38% (27% de IoT) se vio bajo presión para hacerlo. Otra forma de ver esto es que el 68% se vio bajo presión para tomar atajos y el 72% de ellos sucumbieron ".

Una nota rápida para poner esos números en contexto: es una encuesta. ¿Cuántos ejecutivos de seguridad sabían que habían tomado atajos, pero tenían miedo de admitirlo por escrito? Los profesionales de la seguridad saben mejor que nadie la facilidad con la que se pueden filtrar los datos. Entonces, la realidad es probablemente incluso peor de lo que sugieren los datos de Verizon.

Hay un problema más aterrador: mientras me siento aquí unos 13 meses después de que esto sucediera, aún quedan demasiados agujeros por tapar. Los CISO y los equipos de TI han estado tan increíblemente ocupados (y con poco personal) simplemente tratando de mantener las operaciones al día y no crear nuevos agujeros de seguridad, que no han tenido la oportunidad de corregir viejas vulnerabilidades.

Esto significa que los líderes de la C-suite, los directores financieros, directores de operaciones y directores ejecutivos, deben presupuestar e insistir en que se realicen las correcciones.

Mientras tanto, aquí hay algunas reparaciones fáciles para comenzar a reducir sus riesgos relacionados con COVID:

LAN duales en sitios remotos , especialmente oficinas en el hogar

Esto es simple de hacer, relativamente económico (en el peor de los casos, deberá comprar un enrutador adicional para cada sitio) y reducirá drásticamente su exposición a cualquiera de los demonios que provienen de los dispositivos de consumo en el hogar, incluidos los de los niños. juegos, dispositivos domésticos de IoT, una computadora portátil / teléfono que también visita sitios de alto riesgo y descarga libremente Dios sabe qué.

La regla de la política es simple. Como ahora, debe crear una LAN exclusiva para la empresa y todos los dispositivos corporativos deben usar esa LAN y solo esa LAN. Eso significa una computadora portátil que se usa únicamente con fines laborales. En cuanto a un teléfono dedicado, eso también. (Ver sugerencia No. 2.)

Vuelva a visitar BYOD

Permítanme enfatizar: la idea aquí es revisar completa y minuciosamente las políticas de BYOD, no necesariamente abandonarlas. Hay demasiadas variables para perseguir eso. El detalle clave: decida cuáles serán los planes de su empresa para el trabajo remoto a fines de 2021 y todo el 2022.

Cuando la mayoría de las empresas se trasladaron a BYOD (no todas lo han hecho, por supuesto), lo hicieron en circunstancias totalmente diferentes. Siempre ha habido un análisis de riesgo estadístico para BYOD, es decir, algo como: "Hagámoslo, pero teniendo en cuenta que el 90% de las comunicaciones empresariales no se realizan en dispositivos móviles personales, existe un límite en la cantidad de problemas en los que podemos meternos". Esta es la misma lógica que permitía una seguridad subóptima en las oficinas en el hogar antes de COVID-19. Dado que la empresa promedio tenía un 10% o menos de sus empleados trabajando desde casa, algunos consideraron innecesario / no rentable gastar mucho dinero para asegurarlos.

Pero hoy en día, con tanta más actividad en sitios remotos y a través de dispositivos móviles, BYOD debe reconsiderarse.

Volviendo a mi primera sugerencia (LAN dual), existe un límite para la reducción de riesgos si el empleado / contratista ingresa a un teléfono inteligente que también accede a sitios de alto riesgo e incluye aplicaciones sospechosas. Para obtener el máximo beneficio de una LAN exclusiva para empresas, debe ser estricto y, lo que significa reconsiderar su política de BYOD.

Algunas otras consideraciones: el enfoque de partición solo ha tenido un éxito parcial. Un argumento para separar los datos personales y corporativos y las aplicaciones en un teléfono es que si se informa que los datos corporativos faltan o son robados, un borrado remoto limitado puede proteger los datos empresariales y dejar intactos los datos personales.

Pero eso ha arrojado resultados mixtos, lo que a su vez ha hecho que la gente de TI se muestre reacia a realizar un borrado remoto. Cuanto más tiempo no se ejecuta el borrado remoto (quizás para que el empleado / contratista tenga más tiempo para intentar encontrar el dispositivo), más inútil se vuelve. Los profesionales de TI y seguridad deben asumir que un teléfono perdido está en posesión de un chico malo.

Un dispositivo de propiedad corporativa, en cambio, presumiblemente sería más fácil de borrar, ya que no hay peligro de que se pierda información personal.

Otra consideración: los teléfonos inteligentes en 2021 están aprovechando más y mejores opciones de respaldo. Eso significa que incluso una limpieza remota no protegerá todos los datos empresariales. Digamos que un empleado o contratista renuncia, es despedido o despedido. Esas copias de seguridad están invariablemente fuera del alcance de TI. En un dispositivo corporativo bien administrado, se controlan más datos.

Además, el borrado remoto hoy en día no es lo que solía ser. Una vez implicó, literalmente, borrar todos los datos de un teléfono. Aunque técnicamente todavía lo hace, la mayoría de las veces es menos un borrado que una desconexión de los activos empresariales (casi siempre basados ​​en la nube). Eso todavía funciona incluso en un dispositivo BYOD.

Revisar la gestión de dispositivos móviles

A diferencia de BYOD, la idea aquí no es volver a examinar si debe usar la Administración de dispositivos móviles (MDM) o no, se trata de decidir cuál elegir y si es el momento de actualizar o revisar sus decisiones de configuración. Ahora que los dispositivos móviles son un mecanismo de control de datos mucho más predominante, repensar la MDM en 2021 podría generar decisiones diferentes.

En resumen, es posible que pueda justificar los costos de una solución MDM de nivel superior hoy. Analice los números, celebre reuniones, revise las opciones de productos hoy y descúbralo.

Doug Barbin, director de la firma consultora Schellmen & Co. (y un analista verdaderamente perspicaz), sostiene que “la tecnología MDM ha avanzado, por lo que ya no es todo o nada. Todos se apresuraron a estar disponibles, pero no necesita todo este acceso ". Barbin enfatiza que los administradores de TI y seguridad se enfocaron menos en el objetivo de privilegios mínimos de lo que deberían. "Les dieron a los usuarios acceso a todo lo que necesitaban y luego comenzaron a retroceder".

Ese es un ejemplo de libro de texto de lo opuesto al privilegio mínimo.

Lidiar con el rechazo del usuario

El mayor problema con los esfuerzos de seguridad empresarial relacionados con la pandemia en la actualidad es la racionalización del usuario popular (y, a menudo, del administrador): "Solo estoy tratando de hacer mi trabajo".

Eso es casi siempre el código para, “Sus requisitos de seguridad están requiriendo demasiado tiempo y esfuerzo. Ahora estoy tratando activamente de evitarlos ". Esto comenzó de inmediato con COVID-19, cuando las VPN (que vieron aumentos masivos en el uso) se ralentizaron y los usuarios intentaron desesperadamente eludirlas para hacer su trabajo. Los gerentes de línea de negocio a menudo aplaudían esos esfuerzos o los ignoraban agresivamente.

Esa fue una prueba de que los profesionales de la seguridad corporativa y de TI no habían hecho un trabajo suficientemente bueno al vender los beneficios de adherirse a las reglas de seguridad. Eso también necesita ser reevaluado.

Las empresas han aprendido muchas lecciones en los últimos 13 meses, algunas buenas y otras malas. Cuando se trata de seguridad, ahora es el momento de repensar cómo se han manejado las cosas en el pasado y cómo deberían verse en el futuro.

Publicar un comentario

0 Comentarios