BYOD: Cómo evaluar los nuevos dispositivos y sus riesgos de seguridad
Sobrevivimos a la fiebre de las fiestas y celebraciones, y empieza la verdadera diversión: La evaluación de las implicaciones de seguridad de los nuevos “juguetes” móviles que la gente quiere utilizar para acceder a los datos, aplicaciones y redes corporativas. Artículos de nicho como los Google Glass y el reloj inteligente Samsung Galaxy Gear permiten contar grandes historias alrededor de una taza de café, pero en la mayoría de las organizaciones estos dispositivos tienen actualmente poco impacto. Sin embargo, la llegada de las tabletas iPad y Android, y de una amplia gama de smartphones realmente puede desafiar la seguridad de la red,especialmente en las organizaciones que soportan la tendencia traer su propio dispositivo (BYOD).
BYOD es uno de esos temas que tiene partidarios y detractores inflexibles. Honestamente, creo que BYOD es algo que cada organización tiene que evaluar en función de sus necesidades (y deseos). Pero cualquiera que sea la elección, los dispositivos móviles tienen que ser evaluados en algún nivel antes de permitir que se ejecuten en las redes internas.
¿Cómo puede determinar qué dispositivos va a permitir o qué nivel de acceso deberían tener estos productos? De especial preocupación son aquellos que son cada vez más populares entre el personal (los nuevos fablets) y los ejecutivos de la empresa (dispositivos que se transforman en tabletas/laptops). Los analistas esperaban que los consumidores optaran por tabletas de menor tamaño al reemplazar sus teléfonos inteligentes más antiguos durante la temporada de vacaciones, y usted también debería tenerlo en cuenta el próximo año.
Evaluaciones específicas para el dispositivo
Las organizaciones de seguridad tienen que hacer una serie de preguntas específicas del dispositivo, y esas respuestas impulsarán las decisiones de soporte y seguridad.
¿Cuál es el dispositivo? ¿Es una tableta Android, un teléfono Windows o algún otro gadget extraño, como una impresora 3D para dispositivos móviles, o un mini drone, próximamente disponible? Esta pregunta básica le ayuda a determinar la categoría de dispositivos a considerar, y conduce el resto de las preguntas. También proporciona un punto de partida basado en las políticas y procedimientos existentes. (Usted tiene políticas ¿verdad?)
¿Se soporta dispositivos similares o relacionados? ¿Es el nuevo dispositivo una actualización de una tableta Android Samsung Galaxy o un smartphone iPhone de Apple; es decir, dispositivos de los que ya se ocupa dentro de sus controles de seguridad existentes? Si es así, ¿cambia la última versión algo fundamental (por ejemplo, la conexión celular en el modelo celular del iPad Air, o una actualización del sistema operativo, como el Google Nexus 5 con Android KitKat?) Si es bastante similar, entonces el dispositivo probablemente tenga los controles de seguridad necesarios, y soporte en áreas clave (control de acceso, autenticación, administración de dispositivos móviles, cifrado de datos), para que pueda seguir adelante y evaluar el siguiente dispositivo.
¿Cuál es la necesidad del dispositivo? Esta pregunta es un poco más complicada. Tiene que evaluar las razones de negocio detrás de por qué la gente quiere usar dispositivos específicos, y profundizar en sus procesos de pensamiento subyacentes. ¿Es solo una nueva moda, o hay un impulsor del negocio? Esta evaluación es a menudo más difícil si el dispositivo tiene poca aplicación práctica de negocios. ¿Quién quiere admitir a su jefe que el propósito principal del dispositivo es el factor cool? (Si le hubiera dicho a mi equipo de gestión que yo quería que aprobaran Google Glass porque me harían popular, no hay manera que hubiera podido tener uno).
Busque las eficiencias del negocio, así como los avances tecnológicos que pueden hacer más fáciles los trabajos, o proporcionar beneficio para la empresa. Recientemente aprobé la compra de un Nexus 5 para uno de nuestros consultores. Sí, ya sé que quería un nuevo gadget, pero él fue capaz de mostrar un valor potencial para la empresa. En resumen, Jason tiene ahora un Nexus 5, y ya ha demostrado beneficios para el negocio brindándonos información sobre posibles ataques contra el dispositivo.
¿Qué tipos de conexión soporta el dispositivo móvil? Las conexiones son a menudo donde entran en juego los riesgos reales de añadir un dispositivo. Un dispositivos con solo Wi-Fi limita el número de conexiones que el atacante puede utilizar en contra de la organización, pero esto también puede causar que algunos empleados se conecten a una red inalámbrica no confiable para realizar su trabajo.
Las organizaciones de seguridad también tienen que pensar en cómo los diferentes tipos de conexión pueden afectar a la seguridad de sus sistemas internos de red inalámbrica. Un dispositivo que disponga de una conexión celular activa mientras está conectado a la red inalámbrica de la empresa podría permitir a un usuario malintencionado usar como pivote esa conexión celular hacia la red, evitando los controles de internet típicos que una empresa tiene instalados.
Recapitulando, piense en por qué sus empleados quieren estos nuevos dispositivos, y a pesar de la embestida, trate de mantener una mente abierta. Como gente de seguridad, tenemos que aceptar que a veces las cosas nuevas no son tan aterradoras (espere más dispositivos que se usan en el cuerpo, como lentes y relojes, y la Internet de las Cosas). Muchos dispositivos de hecho pueden beneficiar a la organización.
Fuente: Search DataCenter
Comentarios
Publicar un comentario