Los sistemas móviles, un peligro para la seguridad corporativa

10 Ene 2005 en Seguridad

En los últimos años, el nivel de seguridad de las empresas ha mejorado mucho. Cada vez se vigila más la conexión a Internet, la existencia de herramientas de seguridad en las máquinas instaladas en la red, la formación de los usuarios, etc. Sin embargo, al mismo tiempo que se avanza en este sentido, nos encontramos que la tecnología también lo hace pero en una dirección que puede, sin duda, entrar en conflicto con las políticas de seguridad clásicas: la movilidad.

Hoy en día se considera cada vez más la necesidad de que muchos de los empleados en las empresas dispongan de equipos informáticos móviles, desde ordenadores portátiles a teléfonos de última generación. Todos estos equipos están durante muchos días fuera del entorno “seguro” de la oficina, sin que la política de seguridad establecida en la compañía pueda ampararles ante posibles ataques.

A un comercial desplazado durante un tiempo fuera de la oficina lo que más suele preocuparle es cómo recibir su correo electrónico en el ordenador conectado a Internet en la habitación del hotel. Acostumbrado al entorno de la oficina, los niveles de seguridad quedan, generalmente, en segundo plano. Las consecuencias de su despreocupación pueden ser graves, ya que la ausencia de un firewall en el portátil permite que los hackers puedan hacer del PC un terreno conquistado, y un antivirus sin actualizar puede ser la causa de que el ordenador se convierta en un zombi.

Los problemas que pueden plantearse son muchos, ya que en este tipo de ordenadores la información almacenada suele ser estratégica: proyectos, ofertas comerciales, bases de datos de clientes, etc. Se trata de material de gran valor,  que no debe caer en manos de la competencia ni en las de un hacker con pocos escrúpulos.

A todo esto hay que añadir un elemento más que sin duda debería preocupar a los administradores de las redes corporativas: tarde o temprano ese ordenador volverá a conectarse a la red corporativa, con todo aquello que haya “recogido” de Internet en el tiempo que estuvo ausente. Las herramientas de hacking, los troyanos, el spyware… todo ello podrá ser volcado directamente a la red si no se toman las medidas oportunas. Sin duda existirán herramientas que eviten la propagación de este tipo de códigos en la empresa, pero hemos dejado una puerta abierta a una serie de elementos sin control.

Otro problema que suele pasar desapercibido es la conexión de sistemas ajenos a la empresa. Cada vez más servicios se subcontratan dentro de las grandes corporaciones, haciendo que mucho personal externo se conecte a la red con sus ordenadores portátiles para desempeñar sus tareas como si de un empleado más se tratara.

Estos ordenadores suelen tener instalados ya algunos sistemas de seguridad, desde antivirus a firewalls, pero… ¿son suficientemente seguros como para que cumplan las políticas de seguridad? Los administradores de red tienen bastantes problemas ya en su trabajo diario como para ir verificando uno a uno los ordenadores de cada uno de los subcontratados, situación que además puede resultar embarazosa ya que las normas sobre la intimidad de los ordenadores de los trabajadores pueden ser muy distintas en cada compañía.

Todo esto desemboca en la necesidad de un control específico sobre las conexiones de sistemas móviles a la red corporativa. Previo a la posibilidad de que un usuario rompa las políticas de seguridad, debe llevarse un control exhaustivo y automático de la situación de la seguridad de los ordenadores portátiles de personal externo, o de la empresa pero que hayan estado desplazados.

Cuando un sistema se conecta a la red corporativa, hay que asegurarse de que el equipo es seguro, entendiendo como seguro que cumple el nivel de seguridad indicado por el administrador de la red. De esta forma, se impide la entrada de malware en la empresa a través de estas conexiones. En función del resultado del chequeo realizado deberá permitirse o denegarse el acceso, o incluso establecer un nivel de seguridad en el equipo que se adapte a los requerimientos corporativos de seguridad.

Sin embargo, en muchas ocasiones la conexión de equipos externos está ya prevista, por lo que se redirige hacia determinados segmentos de red o se establecen automáticamente permisos y restricciones, sin que llegue a producirse un conflicto de intereses entre políticas de seguridad de distintas empresas.

Como vemos, la conexión de equipos externos a la red fija de una empresa no está exenta de problemas, y debe controlarse con mucho cuidado. Las herramientas de protección de estos equipos van a convertirse, en un espacio muy corto de tiempo, en un elemento básico a la hora de implementar la política de seguridad empresarial.
Autor: Fernando de la Cuadra