Smartphones no controlats, risc a l’alça per a la seguretat dels negocis

Compartir

SmartphonesUn recent estudi de mercat dut a terme per Juniper Networks revela que gran quantitat d’usuaris de smartphones accedeix des d’aquests a la xarxa corporativa sense que els seus dispositius hagin passat per les mans de l’equip de seguretat de l’empresa, amb el consegüent risc que això suposa per a la seguretat de les dades corporatives.

Guillem Alsina (guillem@imatica.org) – “La seguretat de qualsevol sistema informàtic és tan fort com el més feble dels seus graons” és una de les màximes del món de la seguretat informàtica, i en aquests temps que corren és fàcil afirmar que en molts casos aquesta anella més dèbil la constitueixin els equips particulars que els treballadors connecten a la xarxa per a copiar dades o bolcar part de la feina feta a casa.

Si bé per la banda dels ordinadors portàtils i les unitats d’emmagatzemament removibles (llegeixi’s claus USB) el personal sembla estar prou alerta (en especial, els professionals dedicats a la seguretat), no sembla pas que passi el mateix amb els smartphones, un fenomen relativament recent i per al qual moltes empreses d’una certa dimensió no sembla que estiguin del tot preparades.

En un estudi recentment presentat per Juniper Networks i dut a terme després d’entrevistar a uns 6.000 usuaris en 16 països diferents, es revela que sobre un 70% d’aquests accedeixen a dades de l’empresa sensibles, la pèrdua o divulgació de les quals podria posar en algun compromís a l’organització.

Amb els smartphones s’ha acabat el tenir dos telèfons, un per a temes personals i un altre per a l’activitat professional. Només un 4% dels enquestats empra el seu terminal només amb finalitats laborals, mentre que el 44% fa un ús d’ell tant per a l’àmbit personal com per al professional. La resta (un 52%) l’utilitza només com a telèfon personal. D’entre els usuaris professionals, un 81% admet accedir a la xarxa corporativa sense el coneixement dels seus superiors, el que pressuposa també un accés no controlat per part del departament encarregat de la seguretat informàtica.

Si creuem aquestes xifres, veiem ràpidament que hi ha una gran quantitat de posseïdors de smartphones que porten amb ells el seu terminal a totes hores (ja que l’empren en tots i cadascun dels aspectes de la seva vida), augmentant amb això el risc de perdre’l o que els sigui robat… amb documents i dades corporatives al seu interior, o bé amb una via d’accés a la infraestructura corporativa.

Els usuaris són conscients del risc al què es troben sotmesos, i un alt percentatge d’ells admet el seu temor davant la possibilitat de pèrdua o sostracció del terminal, fet que podria portar a conseqüències impredictibles a l’organització per a la que treballa. Però què fer?

Hi ha solucions?

En primer lloc, i des de l’empresa (ja sigui per part d’alts directius o del departament TIC), s’ha de deixar ben clara la política sobre ús de material informàtic a nivell personal, si es proporcionarà als treballadors ordinadors portàtils i/o smartphones i quines seran les seves regles d’ús, així com les penalitzacions pel seu incompliment.

En cas de deixar la porta oberta a l’ús de dispositius propietat dels treballadors, l’existència d’aquests ha de ser comunicada al departament TIC encarregat de la seguretat, els membres del qual hauran de revisar l’equip per a instal·lar el programari necessari (per exemple, un client de VPN amb les mesures de seguretat apropiades, programes d’encriptació de dades, etc.) i donar el vistiplau per a què hi pugui accedir.

Els sistemes de l’empresa també hauran d’estar preparats per a filtrar el tràfic entrant, permetent el pas a aquells dispositius validats pel departament de seguretat i impedint-lo a aquells altres (qualsevol que sigui la seva naturalesa: ordinadors, tablets, smartphones,…) que no ho estiguin.

Copyleft 2010 www.imatica.org
Aquesta obra es troba subjecta a la següent llicència:
La difusió, reproducció i traducció d’aquest text es permet lliurement en qualsevol mitjà o suport amb les úniques obligacions de mantenir la present llicència i incloure un enllaç o referència a la pàgina en què es troba l’original dins del servidor www.imatica.org . En mitjans audiovisuals es requereix la cita al mitjà www.imatica.org

Guillem Alsina