banner

Seguridad en la Empresa: La Amenaza de los smartphones (II)

INDICE
| PARTE II
 

En la primera entrega de "Seguridad en la Empresa: La Amenaza de los smartphone (I)", os hablé de las posibilidades, amenazas y características potencialmente peligrosas del smartphone en las empresas. En esta y ultima entrega, vamos a abordar la problemática que existe y os recomedaremos algunas medidas que ayuden a minimizar y controlar estas amenazas.


A modo de recordatorio y para introducir la explicación, en la primera parte se describían las principales Amenazas que introducen los smartphone en la empresa, que son:
  • Evasión de los controles de Seguridad: utilizar las características del smartphone para saltarse los controles tanto técnicos, como normativo/procedimientales.

  • Fuga de Información: utilizar el smartphone para extraer información sensible de la empresa, sin levantar la mínima sospecha.

Acciones y medidas



Cuando el teléfono móvil es corporativo, se pueden tomar una serie de medidas técnicas para evitar el uso "no autorizado" del teléfono, aplicar configuración segura del términal móvil, como por ejemplo, deshabilitar el acceso por USB al teléfono móvil. La configuración segura del smartphone resulta más fácil de implantar cuando están controlados por la Empresa.

Para aquellos casos en los que el teléfono no es corporativo, se recomienda utilizar tanto medidas técnicas como medidas procedimentales.

Recomendaciones:

  • A. Deshabilitar el acceso por USB al Sistema Operativo del equipo. Alternativa, instalación de un software de control de USB, para gestionar las autorizaciones de los dispositivo USB que pueden ser utilizados en los ordenadores de la empresa.
  • B. Restringir el acceso con teléfonos móviles personales al edificio. Esta medida, es quizás la más impopular y dificil de implantar, en según que sector empresarial.
  • C. Si la conexión wifi no es necesaria, deshabilitar la interfaz wifi del equipo. Con esto evitamos que se pueda conectar el equipo por wifi al móvil convertido en un modem 3G wireless.
  • C.1. Si se necesita la interfaz wifi, se puede aplicar una medida técnica de detección de "rogue AP", es decir, detectar redes inalámbricas no autorizadas en la empresa, de forma que se identifiquen los intentos de utilizar el móvil como modem 3G wifi.
  • D. Establecer una política de seguridad, que regule el uso del teléfono móvil particular. Además se deben llevar a cabo revisiones e inspecciones periódicas para el cumplimiento normativo.

Conclusiones


Se puede "regular" el uso de smartphone mediante normativa, incluyendo en ésta la obligación de deshabilitar la conexión de datos dentro de la empresa, de esta forma no se limita el uso de voz del teléfono, sino de su capacidad de conectarse a Internet. Por supuesto, estas medidas procedimientales, deberán ir reforzadas de acciones correctivas (sanciones) y controles periódicos.

Por supuesto, todo este análisis de amenazas y contramedidas, deberá ir reforzado por una "Evaluación formal de Riesgos - Análisis de Riesgos (AR)", donde se evaluen y valoren las medidas a implantar en función del valor de los activos de la empresa.

Una vez, realizado el AR (Análisis de Riesgos) se podrá determinar con mayor exastitud las medidas tecnicas y/o procedimentales necesarias para minizar los riesgos que introducen las Amenazas de los smartphone en la empresa.

Espero que haya sido de utilidad, y sirva como introdución a la "problematica" y "necesidad" de la protección de la información en las empresa.

No hay comentarios :

Publicar un comentario