Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

¿Qué impacto tienen los dispositivos de computación móvil en el cumplimiento de TI?

La proliferación de potentes dispositivos informáticos móviles conectados a Internet, como el iPhone de Apple, los últimos modelos de BlackBerry y los teléfonos basados ​​en el sistema operativo Android de Google, ha hecho que la seguridad sea una prioridad para muchos CIO.

Los trabajadores de la información dependen cada vez más de los dispositivos informáticos móviles para consultar el correo electrónico, crear y editar documentos confidenciales e interactuar con aplicaciones empresariales de misión crítica. Y, como han señalado personas inteligentes, las organizaciones se benefician de las funciones de acceso y colaboración que ofrece la adopción de iPhone y otros dispositivos informáticos móviles, lo que hace posible que los trabajadores sean productivos desde casi cualquier lugar.

El problema es que el uso de estos dispositivos dentro de la empresa hace que su seguridad, junto con los datos de misión crítica que contienen, sea un negocio de TI. En consecuencia, estos dispositivos crean un punto ciego potencial en los esfuerzos de cumplimiento de toda la empresa que tradicionalmente se han centrado en proteger la infraestructura de red, los servidores y los equipos de escritorio.

Entonces, ¿cuál es el impacto de esta nueva generación de dispositivos informáticos móviles en las operaciones de TI y el cumplimiento? La verdad es que no hay una sola respuesta a esta pregunta. En muchos casos, aún no se han determinado las respuestas a las preguntas sobre movilidad, seguridad y cumplimiento. Aún así, aquí hay algunas cosas a tener en cuenta.

¿Qué entendemos por movilidad?

Entonces, ¿qué quiere decir la gente cuando habla de movilidady dispositivos móviles? Sin precisar demasiado, la movilidad suele estar en el ojo del espectador. En el sentido más general, el término dispositivos móviles cubre cualquier dispositivo informático portátil utilizado fuera del entorno de oficina tradicional.

Esa definición abarca todo, desde computadoras portátiles corrientes hasta dispositivos portátiles con funciones específicas, hasta los dispositivos de estado más recientes como iPads y iPhones. Algunos de estos son propiedad del empleador y, por lo tanto, son activos administrados. Otros son propiedad de los empleados y están administrados por el empleador, o son propiedad de los empleados y están administrados por ellos. Lo que es común entre estos dispositivos es que todos operan tanto dentro como fuera del perímetro de la red empresarial tradicional, donde se introducen nuevos desafíos de seguridad y disponibilidad.

CONTENIDO RELACIONADO  Verizon, socio de Microsoft en 5G edge

¿Qué amenazas existen para los dispositivos móviles, los datos?

Entonces, la pregunta es: ¿Son estos dispositivos informáticos móviles la segunda venida de la «PC con Windows», es decir, serán tan ubicuos, ricos en funciones y altamente susceptibles a ataques, virus y gusanos? La respuesta corta por ahora es no. A pesar de las obvias similitudes entre Windows y la rápida adopción de plataformas como iPhone y BlackBerry, los virus y otros códigos maliciosos dirigidos a esas plataformas siguen siendo la excepción y no la regla.

El reciente código malicioso dirigido al iPhone, por ejemplo, se limitó a los teléfonos con jailbreak, que, por definición, han eludido gran parte de la seguridad de la plataforma integrada en los dispositivos informáticos móviles. El malware autorreplicante para la plataforma Symbian también existe desde hace casi una década, aunque los brotes han sido limitados y en su mayoría inofensivos. Los proveedores de software de seguridad están impulsando un menú estándar de productos para proteger los teléfonos, incluido el software antivirus y los firewalls.

Sin embargo, son más preocupantes las aplicaciones de terceros creadas para ejecutarse en estos nuevos dispositivos. Ya ha habido casos de programas maliciosos que se han introducido con éxito en plataformas como Android de Google Inc. bajo la apariencia de aplicaciones legítimas. Hacer que el código malintencionado se ejecute en plataformas cerradas como iPhone y BlackBerry es un desafío. Sin embargo, disfrazar un troyano que roba información como una aplicación legítima con la esperanza de escabullirse del equipo de revisión de código de Apple tiene una mayor probabilidad de éxito.

Dejando de lado el malware, la mayor amenaza a la seguridad que plantean los dispositivos móviles es la pérdida inadvertida de datos cuando los propios dispositivos se pierden o son robados. Un cierto porcentaje de ellos contienen datos y documentos corporativos confidenciales que podrían caer fácilmente en las manos equivocadas. Si bien los virus y gusanos son atractivos, los aspectos básicos del seguimiento y la administración de dispositivos móviles y la protección de los datos que contienen es el problema más urgente que enfrentan los administradores de TI empresariales en la actualidad.

CONTENIDO RELACIONADO  Cómo la IA y la IoT influirán en la gestión de datos en 2018

¿Qué rige la seguridad de los dispositivos móviles?

Pocas normativas señalan específicamente la seguridad de los dispositivos móviles y los datos de los dispositivos móviles. Eso es un gran consuelo para los miembros del personal de TI de la empresa preocupados por si sus dispositivos móviles caen bajo el paraguas de las leyes de privacidad de datos. Lo más probable es que lo hagan. Como hemos escrito antes, las leyes de seguridad y privacidad de los datos, incluida la Ley Gramm-Leach-Bliley, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Ley Sarbanes-Oxley, hablan en términos generales sobre la necesidad de proteger los datos en reposo y / o en tránsito.

Como ejemplo, HIPAA habla de la necesidad de asegurar la información de salud protegida transmitida a través de «redes de comunicaciones», mientras que el estándar de la industria de tarjetas de pago se enfoca en extender las protecciones favorecidas (como firewall y antimalware) tanto para trabajadores móviles como no móviles, así como asegurar datos del titular de la tarjeta en tránsito hacia redes móviles y basadas en IP.

Más recientemente, los reguladores han ampliado el lenguaje que utilizan para describir los puntos finales de los dispositivos informáticos móviles al redactar las regulaciones. La ley de privacidad de datos 201 CMR 17.00 de Massachusetts hace mención específica a las protecciones de datos que se extienden a los datos confidenciales enviados ay que residen en «computadoras portátiles y otros dispositivos portátiles». Pero no es aconsejable esperar a que las regulaciones señalen específicamente la necesidad de proteger los dispositivos informáticos móviles. Los auditores están cada vez más atentos a la exposición que plantea el uso de dispositivos móviles por parte de los empleados. Explicado específicamente o no, las empresas pueden verse obligadas a explicar cómo limitan el acceso móvil a datos confidenciales o cómo protegen esos datos en tránsito y en reposo.

¿Cuál es el papel de la TI en la protección de los dispositivos?

La adopción móvil plantea desafíos nuevos y únicos para las operaciones de TI y el personal de seguridad acostumbrado a supervisar entornos informáticos monolíticos administrados de forma centralizada. La adopción de dispositivos móviles es impulsada por el usuario, en lugar de centralizada en muchas organizaciones. Y, a diferencia del mundo de las PC, la gran cantidad de plataformas y proveedores dificulta la coordinación de la gestión y las políticas.

CONTENIDO RELACIONADO  ¿Qué es el perfil de configuración (CP)?

Incluso en los casos en que los empleadores estandarizan en una única plataforma móvil, no hay garantía de que los usuarios no traigan sus teléfonos u otros dispositivos móviles al trabajo y los utilicen junto con los proporcionados por la empresa. Los equipos de operaciones de TI deben obtener visibilidad de dicha actividad, es decir, comprender qué dispositivos móviles y plataformas están en uso en sus redes y, si es posible, determinar qué usuarios están asociados con cada uno.

Más allá de eso, existe la necesidad de herramientas de administración comunes que puedan monitorear la configuración y seguridad de los activos móviles, así como también hacer cumplir las políticas de seguridad en ellos. Incluso si los empleadores no han adquirido dispositivos móviles para los usuarios, tienen interés en asegurarse de que sus empleados utilicen contraseñas seguras para proteger sus dispositivos. También quieren saber que se han implementado funciones de seguridad básicas como cifrado de datos, firewalls y software antivirus.

Aparte de eso, las empresas están cada vez más interesadas en utilizar las capacidades de rastreo remoto y borrado de datos para que los activos perdidos o robados no provoquen comunicaciones confidenciales y propiedad intelectual. Dichas inversiones de sentido común contribuirán en gran medida a dominar el salvaje oeste de los dispositivos móviles y alinear los esfuerzos de gestión y cumplimiento de dispositivos móviles con los de otras partes de la empresa.

Paul F. Roberts es analista senior de The 451 Group. Háganos saber lo que piensa sobre la historia; Email [email protected]. Seguir @ITCompliance para obtener noticias sobre cumplimiento durante la semana.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Nueva edición de Windows 10 para hacer frente a big data

Las organizaciones necesitan una forma de manejar grandes cantidades de datos debido a las tecnologías emergentes, y es posible que pronto la obtengan con una nueva edición de Windows 10. Microsoft reveló accidentalmente planes para

Oracle RAC en VMware no recibe soporte de Oracle

Oracle no admitirá a los clientes que ejecutan Oracle RAC en VMware, por razones que muchos dicen que son políticas y técnicamente obsoletas. El razonamiento de la compañía de software detrás de la posición es

¿Qué es Crypto-Agility?

La criptoagilidad, o agilidad criptográfica, es una práctica de cifrado de datos utilizada por las organizaciones para garantizar una respuesta rápida a una amenaza criptográfica. La idea detrás de la cripto-agilidad es adaptarse rápidamente a

¿Qué constituye una canalización de análisis?

En la economía actual impulsada por los datos, las empresas no pueden permitirse el lujo de tener problemas relacionados con los datos, pero muchas todavía los tienen. A pesar del enorme volumen de datos que

La base de la virtualización de redes

La virtualización de redes es una tecnología versátil. Le permite combinar múltiples redes en una sola red lógica, dividir una sola red en múltiples redes lógicas e incluso crear redes sintéticas de solo software entre

Cómo afecta la seguridad empresarial y de IoT

Imagínese entrando en una sala de cine. ¿Alguna vez te has preguntado cuántos sensores hay en ese espacio? Bueno, todos los que tienen un teléfono inteligente esencialmente tienen un sensor en su poder. ¿Qué pasa

¿Qué es una DMZ en redes?

¿Qué es una DMZ en redes? En las redes informáticas, una DMZ, o zona desmilitarizada, es una subred física o lógica que separa una red de área local (LAN) de otras redes que no son

¿Qué es AWS Business Builder?

AWS Business Builder es un conjunto de recursos técnicos, de ventas y de marketing proporcionados por Amazon Web Services (AWS) para ayudar a las empresas de software dentro de su programa de socios a conectarse

El internet de las cosas y la guerra contra el agua

La temporada de huracanes de 2018 está a punto de comenzar, incluso cuando todavía estamos procesando la temporada de huracanes de 2017 que trajo tres grandes tormentas: Harvey, María e Irma. Solo el huracán Harvey

¿Qué es Amazon EFS (Elastic File System)?

¿Qué es Amazon EFS? Amazon EFS es un servicio de almacenamiento de archivos basado en la nube para aplicaciones y cargas de trabajo que se ejecutan en la nube pública de Amazon Web Services. AWS

Amazon ECS se prepara para solucionar algunos problemas

A pesar de ser el primero en hacer que la compatibilidad con la orquestación en la nube de Docker esté disponible de forma generalizada, Amazon EC2 Container Service todavía tiene problemas que resolver. Específicamente, se

Cómo defender las infraestructuras en la nube

método de ataque que una máquina virtual puede usar contra otra dentro de un entorno de nube, con la clave de cifrado de la máquina virtual de destino comprometida en última instancia. ¿Cuáles son las

Conferencia RSA 2021: enfoque en la resiliencia

Nota del editor En lugar de empacar maletas y comprar boletos de avión, los profesionales de la seguridad cibernética tomaron asientos virtuales en la Conferencia RSA 2021, que se llevó a cabo del 17 al

Compare AWS CodePipeline con Jenkins para CI / CD

Desarrollado para abordar los puntos débiles de la integración de código, CI / CD automatiza el ciclo de vida de la aplicación y tiene un impacto significativo en los procesos de desarrollo de software. Los

Deja un comentario