Una plática casual entre usuarios: – “¿Ya viste el cacahuate que nos dieron este año dizque para comunicarnos?” – “Sí caray, pero no tiene ni WiFi y obvio no se le pueden instalar aplicaciones, ¿en qué estaban pensando?” – “Pues a seguir usando mi iPhone, que es la marca que a mí me gusta y está configurado como yo quiero”.
Y así surgió el concepto de BYOD (Bring Your Own Device) que básicamente es una declaratoria de rendición del área de Sistemas ante las capacidades de los usuarios que, sin problemas, traen mejores dispositivos (que el asignado por la empresa) y pueden comprarlos en cuanto salen a la venta (comparado con los lentos procesos de adquisición corporativos).
Suena bien. El usuario es más feliz y además la empresa se puede ahorrar un buen dinero de hardware, software y mantenimiento. Claro, a costa del control y de la seguridad de los datos. ¿Cómo se controla la instalación de parches? ¿Y las configuraciones seguras de sistemas operativos? ¿La instalación de malware disfrazado de aplicación? ¿Y el control de los datos corporativos?
Noticias para las áreas de seguridad tercas que no quieren cambiar: esta es una guerra perdida. Y cuanto antes lo acepten y jueguen con nuevas reglas, mejor. Vamos a ser habilitadores, y no negadores eternos.
Para acotar, me enfocaré en el BYOD de móviles (smartphones y tabletas). En seguida, dos tipos de corporaciones que me vienen a la mente:
A) Empresa sin control. Para los corporativos que de por sí estaban acostumbrados a no tener un buen control sobre las TI será más fácil adoptar el nuevo esquema de BYOD. Estas empresas se caracterizan por no tener un inventario de aplicaciones instaladas , tener N configuraciones y dejar que el usuario sea Administrador del equipo. EL BYOD no supone algo radicalmente diferente.
B) Empresa con control. Para los corporativos acostumbrados a administrar y centralizar las TI y la seguridad de los equipos cliente, anticipo que sufrirán la presión de usuarios y ejecutivos que traen sus Androids, iPads o iPhones y devuelven el cacahuate o la BlackBerry corporativa por anticuada y poco funcional. El esquema de BYOD viene como cubetada de agua fría, las peticiones se multiplican, el rechazo de los primitivos dispositivos de hace un año se generaliza y cada vez nos hacen más preguntas del tipo: “¿Pero por qué no puedo”? El ejecutivo pone el ejemplo trayendo su iPad y pidiendo leer su correo ahí. El área de seguridad, abrumada, cede una vez. Y otra vez. Es el infierno.
Otro punto de quiebre. En los dos casos anteriores es válida la preocupación de qué va a pasar cuando el empleado deje la empresa: qué sucederá con la información de la organización? Pregunta sin respuesta clara. Algunos dicen que con la capacidad en GB de los USB, eso de todas maneras sucede hoy día y no es una nueva preocupación.
En fin. Pasemos a algunas sugerencias concretas para lidiar con el BYOD (“bi-yod”).
1. Políticas. En una corporación son pocos los que leen y se interesan en las aburridas políticas de seguridad. Esta vez debe de ser diferente con la política del BYOD. Una página. Sencilla y al grano: no jailbreak, contraseña de acceso al dispositivo, borrado de los datos luego de 10 intentos fallidos de acceso al móvil, cifrado de los datos (si se puede), actualización del sistema operativo, habilitación de borrado remoto ante pérdida del móvil. Agreguen otro par más y listo. A repartirla y soportarla con sanciones (aplicar al inicio un par de castigos para poner el ejemplo). Finalmente, se debe de hacer ver al BYOD como un privilegio que se puede quitar, no como un derecho irrevocable.
2. Entorno BYOD seguro. Leyendo el punto 1, algunos pensarán que es estúpido pensar que una política salvará el día y esta vez sí, los usuarios de pronto se volverán aliados de la seguridad. Ok. Fortalezcamos la política con tecnología. Primero: pensar en proveer de forma gratuita software (apps) de seguridad para móviles. Segundo: crear pequeñas islas seguras dentro de los dispositivos donde se puedan manejar datos corporativos en medio de un mar de aplicaciones y configuraciones inseguras. Por ejemplo, la empresa Good Technology aplica este concepto en un par de productos. Se instala una app en la tableta o móvil desde donde se pueden leer correos y ver la agenda, otra más sirve para editar documentos del corporativo. No se puede hacer copy-paste de textos hacia afuera de la aplicación y se cifran los datos cuando son manipulados por la aplicación dentro del móvil; un password administra el acceso a cada app. Bueno, me entienden el concepto. Principio de aislamiento, pues.
3. Perímetro fuerte. Al menos cuando los móviles y tabletas estén dentro del corporativo, que tengan una adecuada seguridad perimetral. Identificar tráfico malicioso desde móviles, usar un buen WPA2 en redes inalámbricas junto con un IPS, asignar direcciones IP a estos dispositivos con restricciones y el principio de menor privilegio.
4. Concientización. Siempre he pensado que la mejor manera de “llegarle” al usuario es tocando un tema de interés personal para él. A los videos o charlas llámenles: “Cómo proteger tus datos en móviles” o “Protege tu dispositivo y los de tu familia”. Y ahí metes varios temas “corporativos” en medio de asuntos más de índole “personal”. Apoya este esfuerzo de concientización con pequeños manuales tipo “How to” para aterrizar conceptos. Y recuérdales que hay políticas (punto 1).
5. Creatividad. Dejemos el “No puedes” por el “Deja ver cómo se puede hacer”. Si antes no dejábamos instalar iTunes, ahora sí para que se sincronice y actualice el iPhone. Antes dábamos cacahuates y se aguantan; pero conforme los smartphones se abaratan, tal vez valga la pena dar dispositivos inteligentes versión barata y ya no cacahuates. Aunque considero que la Blackberry y su entorno es el más seguro, aceptemos que no es cool y que cada vez son menos deseados y más rechazados… tal vez es hora de dejar de renovar cierto contrato. En fin, hay que ser creativos y hallar soluciones para no contestar la palabra favorita de Seguridad: “No”.
Les dejo otro artículo con más opiniones del BYOD y espero que algunas de mis sugerencias les hayan parecido adecuadas para su entorno. ¿Ustedes tienen otras?
@FaustoCepeda
Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM. Es Maestro de Seguridad de la Información por la Universidad de Londres (Royal Holloway). Actualmente labora en la Oficina de Seguridad Informática del Banco de México. También cuenta con las certificaciones de seguridad CISSP, CISA, CISM y CEH.