¿Qué hacer para mejorar BYOD?

octubre 23, 2013 § Deja un comentario

Un nuevo informe de la encuesta “Data Security Report”, reveló que el aumento sostenido de dispositivos móviles personales y sus aplicaciones que se mezclan con la red corporativa está obligando a los expertos en TI a diseñar nuevas estrategias para resolver problemas de seguridad.

La mayoría de las empresas están preocupadas por la seguridad de la información confidencial que almacenan los dispositivos móviles, ya que la mitad de estos dispositivos albergan datos sensibles y su uso en la red corporativa está afectando el correcto funcionamiento de sus propias aplicaciones.

Según Dimension Data, el aumento sostenido de dispositivos personales y sus aplicaciones que se mezclan con la red corporativa está obligando a los expertos en TI a diseñar nuevas estrategias para resolver problemas de seguridad. Una de ellas es realizar auditorías específicas para monitorear como estos nuevos elementos afectan a la red.

El informe sostiene que un 82% de los encuestados señaló que los empleados de sus organizaciones están utilizando más dispositivos y aplicaciones para el trabajo personal. Sin embargo, sólo el 32% de estas empresas sondeadas, han llevado a cabo auditorías de seguridad de las aplicaciones afectadas por estos dispositivos móviles.

Peor aún, un 90% de los encuestados aseguró que su compañía no cuenta con tecnología para impedir que estos dispositivos accedan por su propia cuenta a los sistemas corporativos, vulnerando la seguridad de estos.

Sin importar su tamaño, el 61% de las empresas de Latinoamérica ha adoptado la práctica de dejar a sus empleados trabajar con sus propios dispositivos móviles, conocida como Bring Your Own Device (BYOD). No obstante, sólo el 17% de las empresas que adoptaron esta tendencia cuenta con las herramientas para implementarlo, según en reciente estudio de SpiceWorks.

Para optimizar BYOD el primer paso que debe seguir una empresa es establecer los sistemas que permiten proteger los datos que circulan a través de todos los dispositivos de la red interna: para ello, es necesario contar con plataformas de administración de redes que cuenten con soporte para todo tipo de dispositivos, de manera que la información de la empresa no pueda ser visualizada desde el exterior de la red local y no queden así vulnerables a intrusiones o ataques informáticos a través de Internet.

Una vez establecidos estos sistemas es importante implantar plataformas compatibles entre sí, las cuales permitan establecer una experiencia fluida entre los dispositivos con un mismo sistema operativo, como Windows 8, de manera que sea posible entregar a los empleados la ventaja de trabajar sin interrupciones desde un equipo de escritorio a una tableta y de ahí a un smartphone, sin restar compatibilidad, asegurando así la productividad de sus trabajadores ya sea dentro o fuera de la oficina.

También es indispensable, independientemente el tipo de organización, invertir y renovar los equipos para conseguir ejecutar la administración de esta práctica y la red de la empresa. Tanto para su uso en labores de producción o administración, las nuevas generaciones de Ultrabooks y tabletas ya igualan a las terminales de escritorio en materia de desempeño, incluyendo también características de ahorro de energía y seguridad que pueden resultar cruciales a la hora de optimizar gastos en tecnología.

Fuente: CIOAL

Anuncios

BYOD: Gartner dice que estará muy extendido para el 2017

septiembre 11, 2013 § Deja un comentario

La consultora Gartner encuestó a 2.000 CIOs, y concluyo que en el año 2016, el 38% de los empleadores pedirán a los trabajadores que tengan un equipo que lo usen en el entorno de trabajo. Esta cifra aumentará hasta el 50% para 2017.

En materia de seguridad, el BYOD supondrá un nuevo reto, ya que los dispositivos personales están menos protegidos que los empresariales, por lo que existe el riesgo de contaminar los computadores, tabletas o teléfonos del entorno de trabajo con nuevos virus informáticos.

Pero, no todas las firmas consultoras piensan igual que Gartner. Así, David Monk, CEO de ArcSource Consulting, una firma de investigación de mercado de California, dice que sus estudios apuntan a que un 30% de sus clientes que permiten BYOD en el lugar de trabajo aceptarán dispositivos móviles, pero sólo el 20% podría requerir el uso de ordenadores.

Para Monk, el crecimiento en la aceptación del BYOD que ha visto, está siendo impulsado por la evolución de las tecnologías en la nube, que mejoran las capacidades de seguridad, un aumento en la cantidad de trabajadores freelance y en una preferencia general por el uso de dispositivos personales con el que los empleados se sientan más cómodos. Sin embargo, en su opinión, la compañía aún debe ser responsable de proveer el equipo necesario, si el empleado no puede proporcionar el equipo adecuado para hacer el trabajo.

“Mi opinión, es que si tienes empleados que se sientan en tu oficina y trabajan todo el día, la empresa debe proporcionar el equipo, sin lugar a dudas. Creo que las tecnologías en la nube es lo que hace posible que esta tendencia avance y vaya en aumento”, dijo Monk.

Fuente: CIOAL

Una de cada cuatro compañías en el mundo protege sus dispositivos móviles

agosto 26, 2013 § Deja un comentario

Aproximadamente 32% de las organizaciones a nivel global ha adoptado una política de seguridad exclusiva para sus teléfonos inteligentes y tabletas; sin embargo, solo 28% ha decidido implementar una tecnología de Gestión y Control de Dispositivos Móviles (MDM).

En un comunicado, Kaspersky aseguró que ante la inclusión de una política de uso de dispositivos, la mitad de las compañías considera implementar soluciones para administrar y proteger algunos móviles en sus redes corporativas.

La firma indicó que el número de teléfonos inteligentes que se usan tanto empresas como particulares va en aumento, por lo cual dichos artefactos con mayor frecuencia forman parte de la vida de los profesionistas. Por ello, afirma el corporativo, resulta importante generar un sistema de control e incluir soluciones confiables.

No obstante, una encuesta realizada por Kaspersky en colaboración con B2B International muestra que únicamente 9% de las organizaciones considera factible impedir que el personal utilice sus propios teléfonos inteligentes en el trabajo, mientras que 29% de las empresas admitió haber concedido a sus empleados acceso total a datos corporativos a través de sus dispositivos móviles.

El director de Mercadotecnia de Kaspersky, Alexander Erofeev, explicó que “usar un teléfono inteligente u otros equipos para el trabajo le da a cualquier compañía una cierta ventaja competitiva; sin embargo, introducir estos dispositivos en la infraestructura requiere un nuevo enfoque de seguridad de IT”.

Erofeev indicó que un descuido puede poner en riesgo a una compañía, que podría enfrentar la pérdida de datos vitales ante un ataque de malware o por un dispositivo extraviado.

Kaspersky recomendó proteger los teléfonos inteligentes y tabletas de código malicioso con herramientas de MDM que permitan a los administradores de sistemas gestionar remotamente el contenido al almacenar o bloquear un dispositivo. Además, con ellas los especialistas de IT pueden clasificar el contenido de un dispositivo móvil como personal o corporativo.

De esta manera, señaló, una política de BYOD deja de ser un problema para cualquier organización pues los administradores manejan los datos corporativos en el dispositivo personal de un empleado sin tocar contenido personal.

Fuente: bSecure

BYOD: "los incidentes de seguridad son como las cucarachas"

agosto 21, 2013 § Deja un comentario

Después de una larga charla muy llena de información acerca de los riesgos y las precauciones que hay que tomar para lograr una política efectiva de BYOD en la empresa, la gente de ZMA dio lugar a la presentación de una nueva compañía representada por ellos: MobileIron, justamente, una desarrolladora de software para administrar dispositivos móviles, entre otras cosas, con el esquema BYOD.

Fue en un coqueto hotel de la Diagonal Norte donde el que nos dio para que tengamos, repartamos y guardemos fue Cristian Borghello, Director de Segu-Info hablando de BYOD. No porque haya sido plomo o aburrido, todo lo contrario, sino porque la cantidad de información por segundo que descerrajó en el público Cristian fue abrumadora.

Empezó diciendo que nos hemos vuelto esclavos del celular, “seguro que nadie sigue todavía con un Nokia 1100. Es porque nos gusta tener todo en las manos” y afirmó que “BYOD es una tendencia irreversible”.

Después empezó a dar una serie de números y todos de fuentes reconocidas. Por ejemplo, según Cisco el 85% de los empleados usa su teléfono personal; 39% de los móviles no están protegidos; 52% accedió a redes WiFi no seguras.

Para Checkpoint, el 66% sufrió incidentes de seguridad con móviles en 2012; 42% de los negocios sufrieron hasta seis incidentes de seguridad móviles. “Los incidentes de seguridad son como las cucarachas, si pudimos detectar una, seguramente que hay miles más que no pudimos detectar” soltó muy suelto de cuerpo Borghello.

También mencionó datos del Barometro de seguridad de ISACA (Latinoamérica): 52% dice que BYOD representa más riesgos que beneficios; 28% tiene políticas para negar BYOD y 18% tiene políticas para permitirlo; 32% piensa que la concientización es el elemento más importante te para mitigar los riesgos.

“Pero en BYOD la concientización sola no alcanza, remarcó Cristian, hay que agregar elementos técnicos”
. Ante los riesgos de fuga de información, debería ser política por defecto la separación de perfiles personales y corporativos.

La conectividad ubicua y la ineficacia de la controles estáticos tradicionales (firewalls, por ejemplo) amplifica y acelera la re-perimetrizacion y la erosión de los limites de confianza “la noción de perímetro ya no tiene sentido” sentenció Borghello.

Para el especialista, los sistemas operativos abiertos colaboran en la investigación y perfeccionamiento del malware; la fuga de datos apuntará a estas tecnologías. Android es el mejor ejemplo. Cuanto más popular es una plataforma, más cantidad de malware hay.

Algunas de las políticas que hay que considerar para hacer frente a los riesgos de BYOD: descubrimiento (deberíamos ser capaces de saber cuando un dispositivo se conecta); control del dispositivo (qué versión del SO, qué aplicaciones,) controlar qué aplicaciones se pueden instalar dentro del dispositivo y a qué información pueden acceder; controlar la privacidad, etc.

La presentación de Cristian Borghello sobre BYOD se puede ver en la cuenta de SlideShare de Segu-Info.

Fuente: Tecnozona

Soluciones para los riesgos de BYOD

agosto 15, 2013 § 1 comentario

as políticas que permiten a los empleados traer sus propios dispositivos al trabajo (BYOD) tienen múltiples ventajas pero un inconveniente principal: aumentar el número total de dispositivos vulnerables que se conectan a las redes empresariales y tienen acceso a los datos corporativos.
El fenómeno Bring Your Own Device BYOD (traiga su dispositivo al trabajo) sigue al alza y según consultoras como Forrester, no es una moda pasajera y en tres años se convertirá en una política estándar e incluso en un requisito para nuevas contrataciones.

Sin embargo, son múltiples los analistas y consultoras que alertan de los problemas de seguridad que conlleva con empresas como IBM bloqueando su red interna y una buena cantidad de servicios principalmente de almacenamiento y servicios de correo al considerarlos una amenaza corporativa.

El último en avisar de estos problemas de seguridad ha sido la firma Rapid 7 con un informe [PDF] en el que señalan que los equipos TI no están haciendo un buen trabajo de gestión e incluso, muchos de los dispositivos pertenecientes a empleados dejan la carga a estos trabajadores de la actualización de firmware, sistemas operativos y aplicaciones

Parte del problema parece ser la falta de conocimiento. Rapid 7 realizó una encuesta a más de 500 organizaciones concluyendo que el 64 por ciento permite que los empleados utilicen dispositivos móviles de propiedad personal en el trabajo. Entre ese 64 por ciento, casi la mitad no sabía la cantidad de dispositivos que el empleado medio utiliza para acceder a los datos corporativos.

Por otro lado, aunque el 62 por ciento de los encuestados que su organización estaba gestionando activamente la seguridad de los dispositivos propiedad de los empleados que se conectan a sus redes corporativas, otras conclusiones del informe muestran el problema.

Así, sólo el 17 por ciento de las empresas encuestadas tiene una conciencia de la cantidad de vulnerabilidades presentes en cada dispositivo, sólo el 38 por ciento de los encuestados sabían cuántos dispositivos tenían bloqueo por contraseña y hasta un 72 por ciento de los dispositivos no estaría actualizado a la última versión del sistema.

Es por ello, que Rapid 7 sugiere a las organizaciones implementar a la mayor brevedad, políticas para aumentar la seguridad ante el fenómeno BYOD. Entre ellas, se citan algunas como este decálogo:

  1. Revise sus políticas de seguridad actuales para aplicaciones web (CRM, correo electrónico, portales), VPN y acceso remoto. La mayoría aplicable a dispositivos móviles.
  2. Determine los dispositivos que está dispuestos a soportar. No todos los dispositivos cumplirán con los requisitos de seguridad. Además, debe inspeccionar físicamente cada dispositivo y asegurarse que no han sido rooteados o con jailbreak.
  3. Establezca expectativas claramente. Puede tener que cambiar radicalmente la mentalidad de la gente corriente.
  4. Escriba políticas claras y concisas para todos los empleados que quieran utilizar su dispositivo personal. Cualquier persona que participe en BYOD defe firmar sus condiciones de uso. Aquellos que optan por no seguir sus políticas no deben utilizar sus dispositivos.
  5. Debe ser obligatorio un número de identificación personal (PIN).
  6. Forzar cifrado de datos. Cualquier aplicación o dato que almacene en el dispositivo debe estar protegido.
  7. Determine qué tipo de aplicación está fuera de los límites. Hay ciento de miles de ellas en las principales plataformas.
  8. Capacite a los empleados para asegurarse de que entienden cómo usar correctamente BYOD. Una vez que haya abrazado el fenómeno, promuévalo.
  9. Busque aplicaciones que incluyan capacidad de auditoría, reporting y gestión centralizada. Muchas aplicaciones actuales no cumplen estos requisitos.
  10. Considere la posibilidad de adquirir software de gestión de dispositivos móviles que puedan ofrecer aplicaciones seguras como cliente de correo electrónico y navegadores web, o la capacidad de borrado remoto.

Fuente: Muy Seguridad

Fases para implementar BYOD con seguridad

agosto 7, 2013 § Deja un comentario

Si las organizaciones planean o contemplan la adopción de fenómenos como BYOD sin comprometer sus datos o incumplir con regulaciones, primero deberán separar las necesidades de IT de las obligaciones del área de seguridad, explicó Juan Carlos Carrillo, especialista en protección de datos.

Durante su conferencia en la 10º edición del b:Secure Conference, Carrillo afirmó que no sólo se trata de que BYOD genere ahorros o aumente productividad a la organización, sino también de medir el impacto que su implementación tendrá frente a temas de privacidad o regulaciones como la Ley Federal de Protección de Datos Personales en Posesión de Particulares deberán (LFPDPPP).

“Si el equipo no es mío: ¿tengo derecho como IT de pedirle al dueño el dispositivo para hacerle un auditoria o un proceso forense? ¿La ley me lo permite? ¿Lo puedo borrar, sin importar que sus datos personales estén ahí? ¿Qué pasa si lo despedimos o deja de trabajar en la empresa?”, preguntó Carrillo a los asistentes.

El reto está en encontrar un balance entre disponibilidad y la confidencialidad. Es decir, permitir la implementación de BYOD para manipular aplicativos e información del negocio con el menor nivel de riesgo.

Carrillo recomendó analizar ocho fases centrales en el proceso de incorporar BYOD a una organización. De igual forma advirtió que para lograr un implementación de BYOD y cualquier otra tendencia IT del mercado, los departamentos de Sistemas tiene que entender que la seguridad informática no puede vivir ni depender de IT.

“El área de Tecnología tiene que estar separada de Seguridad, porque a un CIO le paga la organización para que los datos y los aplicativos estén disponibles en todo momento, pero a un un CISO le pagan porque estén protegidos”, afirmó.

  • Adquisición: Determinar el contexto en el que se encuentra la organización. ¿Vale o no la pena implementar BYOD? ¿Los empleados lo quieren? ¿En realidad tendremos ahorros y beneficios?
  • Ciclo de vida de la información: Definir qué información, aplicaciones de negocio circularán por los dispositivos.
  • Clasificación de la información: Conocer los tipos de datos sensibles a los que los usuarios tendrán acceso desde sus equipos móviles. ¿Cuántos y cuáles?
  • Análisis de riesgos: Determinar posibles escenarios de riesgos, efectos, impactos y posibles soluciones.
  • Análisis legal: Detectar posibles implicaciones legales con la implementación de BYOD. En esta fase es esencial el trabajo de IT con el departamento legal de la organización, de lo contrario el alcance será limitado o poco efectivo.
  • Análisis de procesos: Monitoreo de los procesos y definición de los responsables de los procesos de un plan de BYOD.
  • Políticas, controles y auditorias: Definidas las seis fases anteriores, la organización puede determinar y hacer saber a sus empleados los controles y políticas que asumirán de operar información corporativa en sus equipos personales. Al mismo tiempo se podrán definir procesos de auditorias y los controles tecnológicos necesarios para su ejecución.
  • Plan estratégico: Marcar la evolución y expansión de BYOD para beneficio de la organización. ¿Qué beneficios hay detrás de su implementación?

Fuente: bSecure

Informe X-Force de IBM (2013)

agosto 1, 2013 § Deja un comentario

Desde el descubrimiento de herramientas de ataque sofisticadas como Stuxnet o Flame, que utilizan exploits 0-days, todos los días se alcanzan nuevos récords de ataques.

Mientras se habla de ataques sofisticados y generalizados como los de DDoS, un gran porcentaje de infracciones se basa en técnicas más sencillas como inyección SQL y Cross-site Scripting. Esta situación refleja que los atacantes siguen enfoques sencillos para alcanzar sus objetivos.

La integración de los dispositivos móviles en la empresa sigue siendo un desafío, así como la implementación de programas BYOD sin control. La evolución de los móviles hace pensar que estos dispositivos deben ser más seguros que los equipos informáticos tradicionales y este objetivo debería lograrse durante el año 2014. Aunque esta predicción puede parecer descabellada, se basa en las tendencias del mercado y que estas ideas están siendo impulsadas por los ejecutivos de seguridad.

En este informe de X-Force de IBM [PDF], se explora cómo los ejecutivos de seguridad abogan por la separación de tareas y los roles que deben tener los dispositivos que son propiedad de los empleados. También se discuten algunas iniciativas en el desarrollo de aplicaciones móviles más seguras.

La distribución y la instalación de malware en sistemas de usuario final se logra en gran medida por el uso de kits de exploits que se ejecutan en el navegador. Estos siguen siendo populares ya que proporcionan a los atacantes una “solución llave en mano” para instalar malware. Las vulnerabilidades en Java y Flash se han convertido en un objetivo clave para los exploit kits.

Finalmente, en términos generales las estafas dirigidas de phishing, continúan engañando a los usuarios finales a través de correo con ingeniería. Sitios falsos de bancos y sobre servicios de entrega de paquetes son muy eficaces.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría byod en Seguridad Informática.