“Bring Your Own Device” amenaza la seguridad corporativa

7 May 2012 en Seguridad

A medida que se populariza y materializa el término BYOD (Bring Your Own Device), los CIOs y otros responsables del IT corporativo ven como la seguridad de sus redes comienza a verse amenazada. El hecho de que los empleados usen sus propios equipos móviles para hacer su trabajo, tuvo como respuesta a soluciones de seguridad implementadas bajo presión. La mayoría de esas soluciones no satisfacen las necesidades más razonables en términos de riesgo. Muchos ejecutivos de IT se limitan a esperar que la ola de BYOD sea efímera y agote su ciclo sin mayores consecuencias.
BYOD es el resultado de un movimiento social. Los miembros de la organización con mayor habilidad y conocimiento son los que involucran a sus propios dispositivos en la ejecución de sus tareas. Generalmente, esa es a la vez la gente más creativa entre los empleados de la empresa y es difícil decirle sencillamente que no puede usar su propia solución móvil. Son las personas que constantemente agregan valor a la curva de experiencia de la empresa con sus ideas innovadoras.

El problema es que no existe una solución única y central para resolver el fenómeno BYOD. No hay una bala de plata para este problema y las soluciones que se han ofrecido con esa consigna, simplemente no son completas.
Según algunos especialistas que han analizado esta situación, antes de ponerse a trabajar para encontrar una solución tecnológica, conviene establecer claras políticas respecto a la movilidad. Muchas brechas a la seguridad de los datos se han originado en la ausencia de esas políticas y en la pobre implementación de alguna tecnología que prometía resolver el problema. Las soluciones MDM (Mobile Device Management), algunas de ellas muy caras, todavía no han logrado evitar la ocurrencia de brechas de seguridad.
Bring Your Own Device (Traiga su propio equipo) es una frase casi simpática pero riesgosa. De hecho, implica la noción de que los empleados son los que comandan la situación. Y como todo profesional de la seguridad sabe, los empleados son el eslabón más frágil en la cadena de la seguridad. Nadie les confiaría tanta responsabilidad en términos de seguridad.
“Yo realmente deseo que el término BYOD se desvanezca pronto,” nos dice Phillippe Winthrop, Director de Enterprise Mobility Foundation. “Es un concepto de pobre concepción. Suele ser mal administrado y la presión lleva a la toma de decisiones tontas.” Winthrop prefiere poner sus fichas en un concepto diferente, el de COPE (Corporate Owned, Personally Enabled). “La idea de seguridad en estos ambientes tiene que cambiar. Necesitamos salir de la protección de perímetros y pensar en términos de administración de riesgo,” agrega.
En esta era de la movilidad siempre tendremos riesgos y es imposible “cerrar” todos los espacios. Sí podemos, en cambio, dar los pasos necesarios para reducir riesgos.
Cuando se produce una brecha, no es lo mismo comenzar a explorar su origen que saber qué es lo que funcionó mal y porqué. Mostrar que se siguieron políticas de seguridad móvil y que se desplegaron las tecnologías apropiadas para cumplirlas, es algo que servirá para el perfeccionamiento continuo y la toma de conciencia en los niveles ejecutivos.
Con una mentalidad de administración de riesgo, ciertos tipos de datos serán clasificados como aquellos que es necesario acceder desde dispositivos móviles. De esa manera, esa información debería ser almacenada y servida en forma diferente que los datos que típicamente se acceden desde una PC dentro de la organización. La clasificación de ciertos datos como “móviles” puede equivaler a que esos datos sólo puedan ser vistos por los empleados en una página Web segura y que no se los pueda descargar o modificar. Algunos otros datos sí podrán ser manipulados en el dispositivo móvil terminal pero, por ejemplo, sólo si allí se ha creado una partición segura.

El concepto COPE
El concepto de COPE impone mayores controles y requisitos. No olvidemos que “Corporate Owned” es la base del mismo y que el hecho de que algo sea de Propiedad Corporativa cambia el carácter del enfoque. Los riesgos en el ambiente móvil son tales, que cualquier smartphone o tablet que entra en una empresa debería ser de su propiedad. Cualquier otra situación presenta demasiados riesgo y más aún en la temprana etapa en que se encuentra el ciclo de adopción de BYOD.
El que los dispositivos sean de propiedad de la empresa marca una gran diferencia. Permite toda la libertad de acción para la organización. La gente de IT puede limpiar, desactivar o habilitar aparatos según sus necesidades. Si borra las fotos, datos personales u otros del usuario, están en su derecho. Si se trata de dispositivos propiedad de los empleados, todo se complica aun cuando se utilicen esquemas de virtualización, por ejemplo.
Queda claro que, desde un punto de vista de administración del riesgo, evitar la posibilidad de BYOD es lo indicado.

La seguridad de dispositivos móviles no puede quedar en manos de los usuarios
Uno de los problemas en el apareo de BYOD con soluciones como las MDM, es que esas soluciones no tienen demasiado alcance aunque se las ofrezca como soluciones “all-in-one” muy completas. MDM es necesario, pero sólo es una pieza del conjunto. Por ejemplo, los antivirus y firewalls para ambientes móviles suelen ser dejados a discreción de los usuarios finales. De esa manera, en un entorno BYOD la gente de IT no puede saber si un usuario final tiene su antivirus activo, si está actualizándolo o si instaló patches o actualizaciones críticas para esos productos y hasta para el propio sistema operativo.
A diferencia de lo que ocurre en el mundo de las PCs, hoy dominado por Microsoft, en el mundo móvil encontramos que las diferentes plataformas tienen su correspondiente entorno de desarrollo de software. Un proveedor de seguridad que desarrolla aplicaciones para equipos móviles, tendrá que repetir cada uno de sus proyectos para varias diferentes plataformas. Por otra parte, algunas plataformas como Apple iOS no admiten a los antivirus tradicionales.
En un contexto BYOD, las organizaciones no tienen otro camino que dejar el tema de los antivirus en manos de los usuarios finales. La gente de IT puede sugerir determinados productos, pero seguramente nadie autorizará su compra e instalación en todos los dispositivos móviles de la fuerza de trabajo. Y eso es un riesgo muy serio.
Una futura solución puede ser la de llevar los antivirus a la nube, soslayando así las particularidades de los equipos móviles. Usando un esquema cloud se pueden sacar los procesos de actualización y patching de manos de los usuarios.

Poca transparencia, poca seguridad móvil
La gente de IT tiene experiencia analizando las redes de sus organizaciones. Sabe ver qué clase de tráfico consume mayor ancho de banda; cuáles son las aplicaciones que abren los puertos más riesgosos; cuáles son las direcciones IP a las que están apuntando los dispositivos de la red, etc.
Pero cuando se habla de ambientes mobile, se está en la oscuridad.
El problema con BYOD es que se tendrá escaso conocimiento de cada tipo de dispositivo. Eso quiere decir control limitado sobre la seguridad de cada uno de ellos ya que sus dueños tienen derechos administrativos para agregar o sacar programas. Además, no se puede ver lo que el dispositivo está haciendo en la red interna y qué tan confidencia es la información que está manejando. Tampoco se tendrá demasiada idea del impacto que tiene el uso de esos dispositivos en la red.
Según Chris Smeithee, administrador de seguridad de la firma de monitoreo Lancope, la única solución que atiende a los desafíos de un entorno BYOD es la de lograr la visibilidad de cada operación que el dispositivo móvil hace en la red. Si eso, es imposible determinar si un dispositivo móvil está accediendo datos confidenciales o trayendo malware que podría diseminarse en otros activos.
Según Smithee, la mejor forma de recuperar esa visibilidad total es utilizando las capacidades de la red existente. La red sabe de cada transacción que la atraviesa y puede ofrecer esa información en forma de datos de flujo como lo hace con NetFlow, el protocolo que diseñó Cisco para la recolección de información sobre el tráfico IP.
NetFlow ya está incorporado en la mayoría de los routers, switches y otros dispositivos de la infraestructura de la red. El uso de datos sobre flujo ofrece una solución efectiva y accesible para analizar el comportamiento de los dispositivos móviles al monitorear la red y acumular detalles de la actividad.
Con esa clase de datos, se pueden detectar problemas sin tener que instalar software adicional en los dispositivos o gastar en la instalación de sondas. El monitoreo basado en el flujo de la red puede detectar ataques tipo zero-day como botnets, worms y también amenazas persistentes que atraviesan las defensas del perímetro. También pueden detectar riesgos internos como mala utilización de la red, violación de políticas y fugas de datos.