Header Ads Widget

Ticker

6/recent/ticker-posts

Es el momento, TI: establezca las reglas del camino para los dispositivos móviles

Cuando se trata de mantener a todos en la misma página en la misma página, TI podría estar haciendo más. Eso es especialmente cierto cuando se asegura de que los dispositivos móviles estén protegidos.


Recientemente noté este artículo en Forbes sobre un cambio sugerido para todas las configuraciones de Wi-Fi de iOS y generó una pregunta potencialmente controvertida.

¿Por qué no todos los administradores de TI / seguridad publican una lista de cambios de configuración relacionados con los dispositivos iOS y Android para todos los usuarios empresariales? (Si su gente todavía usa BlackBerry, y acabo de recibir un correo electrónico de un trabajador del Departamento de Seguridad Nacional de EE. UU. Que lo está, lo cual es bastante aterrador, debemos hablar lo antes posible).

Algunas empresas, por supuesto, tienen estas opciones de configuración escritas y publicadas. Pero, ¿por qué muchos CIO / CISO no se molestan? Y mientras me sumerjo más profundamente en aguas problemáticas, permítanme avanzar: ¿por qué no hacer que estas listas sean obligatorias, un requisito para cualquier empresa que permita que los dispositivos personales accedan a datos y sistemas sensibles? Casi todos exigen el uso de una VPN descargable aprobada por la empresa, entonces, ¿por qué no dictar también todo tipo de configuraciones que plantean riesgos de ciberseguridad?

Los requisitos variarían de una empresa a otra y muy probablemente de un usuario a otro. Pero seguramente se pueden configurar los conceptos básicos, como apagar el Wi-Fi cuando está fuera de la oficina en casa (que, hoy en día, podría ser literalmente un hogar) o mantener el Bluetooth desactivado hasta que sea necesario.


No se sorprenda si estas sugerencias reciben un gran rechazo, ya que los trabajadores remotos se han acostumbrado a las comodidades que están bien en casa pero son extremadamente peligrosas mientras caminan por un aeropuerto, una estación de tren o el vestíbulo de un hotel. De hecho, pueden ser peligrosos al pasear por las calles de Manhattan o San Francisco.

Piense en Bluetooth. Es un medio de ataque muy conveniente, siempre que el malo pueda acercarse mucho a la víctima del usuario previsto. Dependiendo del software de seguridad instalado, un ataque de Bluetooth puede eludir muchas defensas tradicionales. Entonces, ¿por qué no mantenerlo apagado en todo momento, excepto cuando sea necesario?

Es probable que los usuarios de hoy utilicen mecanismos Bluetooth en sus oídos mientras hablan en ese aeropuerto, para que puedan responder a una llamada telefónica en cualquier momento. ¿Una regla así obligaría a todos a mantener sus auriculares / audífonos Bluetooth en casa y solo viajar con cables? Eso no sería tan mala idea. ¿Pero los auriculares con cable durarán mucho más?


La historia de Forbes que me ayudó a comenzar con este tema sugiere que se impida a los usuarios conectarse a redes desconocidas de forma predeterminada, una precaución muy sensata. Además, argumentó que si un usuario cree que es absolutamente necesario utilizar una red desconocida , primero active una VPN móvil confiable.

Empecemos por ahí. ¿Cuántas tiendas de TI incluso especifican una VPN móvil aprobada, y mucho menos exigen una? Es importante recordar que una VPN no proporciona la protección que muchos usuarios creen que ofrece. Si el usuario interactúa con un correo electrónico confidencial o inicia sesión en una cuenta bancaria, es posible que un atacante que esté mirando a través de Bluetooth todavía vea bastante. ¿Qué pasa si descargaron una captura de pulsaciones de teclas? En ese caso, los malos actores probablemente tengan sus credenciales.

Los administradores podrían (y deberían) hacer lo mismo con las reglas sobre Wi-Fi, contraseñas o instalaciones de aplicaciones, cualquier cosa que pueda ayudar a bloquear dispositivos móviles y mantener seguros los datos corporativos. Y luego, por supuesto, la responsabilidad pasa a ser asegurarse de que todas las personas de la organización sepan qué hacer y lo hagan. Y si no es así, debería haber consecuencias por dejar a la empresa vulnerable a ataques o robos.

En un entorno BYOD, la TI y la seguridad tienen la obligación de proteger todos los activos de la empresa. Dado que el porcentaje de esos activos que viajan a través de dispositivos móviles está aumentando, ¿no es hora de establecer algunas reglas estrictas? Ninguna de estas reglas dañaría significativamente a los empleados y no evitarán que los trabajadores interactúen con las aplicaciones y los datos de los consumidores. El peor de los casos son las molestias leves.

Si un usuario desea retirarse de BYOD e insiste en que la empresa le proporcione un dispositivo móvil, ciertamente tiene derecho a realizar esa solicitud. (Si está aprobado es un asunto muy diferente).

Pero si se aprueba, esos usuarios pueden sentirse libres de tratar sus dispositivos personales con la imprudencia que deseen. Mientras estén usando esos dispositivos para acceder y crear activos de datos propiedad del empleador, las reglas sobre la configuración parecen perfectamente razonables. Puede que la TI y la seguridad no sean especialmente populares entre los usuarios (pero sea sincero: nunca fueron populares y es poco probable que eso cambie).

Pero es lo correcto, lo inteligente.

Publicar un comentario

0 Comentarios