Impacto de los dispositivos móviles en las empresas: cambiando el modelo de negocio

Tras habernos acercado en el post anterior al fenómeno de las tecnologías móviles en el ámbito laboral y empresarial y al “mobile workforce”, analizaré más a fondo el impacto que tienen estas tendencias en el mercado. Para ello analizaremos varios artículos que abarcan diferentes enfoques del tema de forma que podamos contar con una visión realista y contrastada de la situación actual y del impacto que suponen.

Porque, si algo es evidente, es que la tecnología móvil es un factor revolucionario en el ámbito laboral por todo lo que aporta. Contar con tecnología y recursos (en este caso informáticos) que hacen posible el acceso a diferentes tipos de datos e información desde lugares remotos, supone un abanico de posibilidades inmenso al que la empresa deberá enfrentarse de la mejor manera posible para sacarle el máximo beneficio.

Los datos con los que cuenta la empresa son su mayor activo a día de hoy dados los avances tecnológicos que permiten convertir los datos que almacenamos en información. Gestionar esta información de la manera correcta, enfocando su análisis al estudio de su rendimiento, de la información que nos aportan nuestros clientes o nuestros proveedores y aplicado al proceso de toma de decisiones, puede suponer que la empresa se sitúe en una posición privilegiada respecto de sus competidores.

En un mundo en el que se espera que tomemos decisiones de negocios en cualquier momento prácticamente, es esencial contar con la información con la que cuenta la empresa en cualquier situación (siempre que la información que se tenga esté proporcionada con la importancia de las decisiones que podemos tomar) y que la empresa cuente con toda la información que le proporcionan tanto sus empleados como terceras entidades con las que esté en relación. Para ello, los dispositivos móviles suponen un elemento fundamental y es por esto por lo que, según recoge un estudio realizado a empresas eslovenas, 34 empresas estaban en fase de introducción de soluciones técnicas y organizativas relacionadas con el uso de tecnologías móviles entre sus empleados.

Como informa este artículo [1], “una investigación demostró claramente que las organizaciones están muy interesadas en invertir en dispositivos móviles (Feldman, 2012), lo que es bastante comprensible, ya que las tendencias que ya se han observado desde 2011 muestran que el alcance del negocio móvil aumentará en un 30 por ciento en 2013 (Mulpuru, Evans, Sehgal, Ask, & Roberge, 2011). Este porcentaje ha ido aumentando constantemente y, además, el software utilizado en dispositivos móviles se ha desarrollado a un ritmo extremadamente rápido (Hurlburt, Voas y Miller, 2011; Oppenheim, 2010), con el objetivo de atraer a los usuarios (Greene, Tamborello y Micheals, 2013) y aumentar las ventas.” 

Sobre todo, las empresas que más provecho sacan de estos avances tecnológicos son las empresas de reparto, venta al por menor, de logística o hasta empresas tecnológicas que han encontrado una oportunidad para que sus trabajadores no dependan de un lugar físico en el que trabajar, sino que pueden realizar sus tareas desde prácticamente cualquier lugar. Además, si un trabajador realiza una salida a un cliente o a un proveedor, esta persona estará en constante contacto con la sede de la empresa por lo que las dos partes podrán acceder a información útil en cualquier momento. Pero, de todas formas, las empresas no son las únicas interesadas en la inversión en tecnología para sacar un mayor beneficio. 

A medida que la demanda por formación universitaria crece, una gran cantidad de centros educativos de todo el mundo han incorporado las tecnologías móviles a sus modelos. En Asia, más concretamente en Japón, la tecnología móvil ha servido de herramienta al gobierno para atender un problema social desde la perspectiva educativa. La baja natalidad, junto con la cantidad de personas que viven lejos de las metrópolis, forzó a que el gobierno japonés buscase un enfoque del sistema escolar no tradicional, integrando las tecnologías móviles y con ellas aplicaciones que facilitasen el aprendizaje a los alumnos y alumnas que viviesen en lugares alejados. Además, existía una necesidad notoria de construir entornos atractivos e interesantes para los alumnos. Por otra parte, en Europa, nivel de uso de la tecnología móvil es altísimo. Es por esto por lo que las organizaciones europeas han financiado iniciativas vinculadas con el aprendizaje móvil y el trabajo de las competencias de los profesores a través de estas herramientas [2].

Los trabajadores autónomos han identificado en el uso de la tecnología un nido de oportunidades de negocio que explotar. Por ejemplo, un hombre que tenía un negocio de pollos cuadruplicó sus ventas gracias a invertir en un vehículo y un teléfono móvil [3]. La posibilidad de moverse de su lugar de trabajo o contactar con sus clientes a distancia hizo que su negocio creciese más de lo que lo había hecho antes. Además, el uso de nuevas tecnologías para la promoción de su negocio demuestra su interés en aplicar nuevas estrategias de negocio. Sin embargo, la multiplicidad y fluidez en el uso de dispositivos móviles, de la misma manera que le ayudan a un negocio, lo hacen a el resto. Cuando el aumento de las oportunidades de negocio es general, el crecimiento de la competencia hace que se mantengan los niveles de ganancia de los negocios. Es más, los negocios que se están viendo perjudicados, son los que se han quedado atrás en la incorporación de herramientas tecnológicas de su sector. Además, la creación de nuevas tiendas 

El uso de dispositivos móviles permiten a los trabajadores y usuarios ser más flexibles y eficientes y les dota con capacidades para responder rápidamente a situaciones en las que puedan necesitar información de la que no disponen en el momento. Pero para llegar a esta situación en la que, tanto el trabajador como la empresa, se ven beneficiados en el tratamiento de la información, la organización debe contar con un sistema de información central o basado en servicios web accesible.

Existen, para complementar el uso de los sistemas con los que cuenta la empresa, aplicaciones como FieldAware [4] o GeoPal [5]. Estas aplicaciones ayudan a la gestión de la información por parte del trabajador y de la empresa aportando herramientas que facilitan su captura, su difusión y agilizan su acceso.

Día a día, el mundo laboral, empresarial e industrial avanzan cada vez más hacia la digitalización, pero no podemos olvidarnos de que la tecnología móvil trae implícitas oportunidades y también riesgos de los que debemos ser conscientes para prevenir usos indebidos o amenazas externas que puedan poner en riesgo la continuidad de nuestro negocio.

[1] Information Security Related to the Use of Mobile devices in Slovene Enterprises

Markelj, Blaz; Bernik, Igor.Varstvoslovje; Maribor Tomo 16, N.º 2,  (2014): 117-127.

https://search-proquest-com.proxy-oceano.deusto.es/eastcentraleurope/docview/1561087969/89C5469FA1D74F68PQ/1?accountid=14529

[2] Supporting University Learning Through Mobile Technologies: A Global Perspective

 

Mugo, David Gitumu; Njagi, Kageni; Chemwei, Bernard; Paul Maina Gakuru.International Journal of Education & Literacy Studies; Footscray Tomo 3, N.º 3,  (2015): 42-48.

https://search-proquest-com.proxy-oceano.deusto.es/anz/docview/1746906299/3B444B76F5B4DDAPQ/7?accountid=14529

[3]  ‘A village goes mobile’: mobile phones and social change

Watson, Amanda H A.Publicación de blog. The Development Policy Centre Blog, Acton: Newstex. Jan 28, 2019.

https://search-proquest-com.proxy-oceano.deusto.es/anz/docview/2253117460/3B444B76F5B4DDAPQ/1?accountid=14529

[4] FieldAware : https://www.fieldaware.com/product/features/overview/ 

[5] GeoPal : https://www.geopal.com/our-tech/mobile-app




Qué es BYOD y su cercana relación con el Mundo Móvil

Buscando información sobre el mundo móvil, encontré una presentación de ISACA («La información se mueve») relacionada con los dispositivos móviles, en la que se muestra que existen varias posibles decisiones estratégicas que pueden tomar los directivos de una empresa:

  • Solución de plataformas estandarizadas
  • BYOD “Puro”
  • Estrategia combinada

El punto que más me llamó la atención fue BYOD, ya que es un concepto cada vez con mayor tendencia, debido a que las nuevas tecnologías cada vez son más accesibles para todos los usuarios. Al igual que los anteriores posts, se centra directamente con los dispositivos móviles de la propia empresa, pero con un leve cambio de perspectiva que se puede intuir en el significado de sus siglas: Bring Your Own Device, cuya traducción es “trae tu propio dispositivo”.

Con BYOD, los empleados utilizan sus propios dispositivos móviles personales, portátiles y tablets para acceder al correo electrónico corporativo, la documentación, aplicaciones, etc. Básicamente consiste en utilizar los dispositivos personales de los empleados en el ámbito corporativo para el desarrollo de sus actividades profesionales. De esta forma, las personas tienen un solo dispositivos para usar tanto para fines profesionales como personales. [1]

bring-your-own-device

¿Qué ventajas y desventajas tiene BYOD?

VENTAJAS DESVENTAJAS
Mayor productividad de los empleados Riesgo en la seguridad y la privacidad de la información corporativa
Posibilidad de trabajar con más flexibilidad Requiere nuevas políticas de control de accesos
Uso del dispositivo en cualquier momento y lugar Precisa recursos de red suficientes para soportar la llegada de los dispositivos
Permite a los empleados dar mejor servicio al cliente Necesidad de soporte TI para una diversidad de dispositivos, aplicaciones y software

Debido a las consecuencias de esta decisión estratégica, los propietarios de negocios dudan si seguir este camino debido a las preocupaciones que genera sobre la seguridad. Un temor que puede reducirse con una administración de riesgos adecuada. Los riesgos a los que se enfrentan los auditores IT son los siguientes [2]:

  • Riesgo de privacidad del usuario
  • Riesgo empresarial
  • Asuntos legales
  • Medidas proactivas para la privacidad del usuario

RIESGOS DE BYOD

  • Riesgo de privacidad del usuario

Dado que en el propio dispositivo del empleado tendrá contenido tanto personal como profesional de la propia empresa, el usuario tiene una preocupación continua de qué pueda serle reclamado de su propio dispositivo los siguientes aspectos:

  • Historial de navegación web
  • Bloqueo, deshabilitación y borrado de datos
  • Trabajo extra sin compensación
  • Registros telefónicos o contactos
  • Emails personales
  • Nombres de usuario y contraseñas de redes sociales u otras cuentas
  • Datos personales que se trasladan a la nube
  • GPS e información de ubicación
  • Datos financieros personales
  • Historias de chat y mensajes
  • Imágenes, video u otros medios
  • etc.

Uno de los casos en los que estos datos pueden ser solicitados es si la empresa se ve involucrada en temas legales, ya que los dispositivos personales de los empleados pueden ser reclamados como prueba.

  • Riesgo empresarial

El departamento de TI son los responsables de mantener el control sobre los datos de una organización, lo que da a la empresa libertad para ver el dispositivo y cómo se está utilizando. Esto se debe a que la empresa se preocupa principalmente por la confidencialidad de sus datos. Por ello, aunque el dispositivo personal sea del usuario, la organización deberá asegurarse de la eliminación de dichos datos o de no perder información en caso de pérdida del dispositivo. Para ello hacen uso de herramientas de administración de dispositivos móviles (Mobile Device Management:MDM).

  • Asuntos legales

En el área de la privacidad, muchos países han creado leyes relacionadas con el BYOD para protegerse como Personal Information Protection and Electronic Documents Act (PIPEDA) en Canadá. Las organizaciones están sujetas a obligaciones legales, contractuales relacionadas con la recopilación de datos, la retención, la destrucción segura de datos y los términos de los acuerdos/obligaciones de confidencialidad también pueden tener problemas de privacidad.

  • Medidas proactivas para la privacidad del usuario

Los empleados deben leer detenidamente las políticas BYOD establecidas por la empresa, a pesar de que pueden ser difíciles de comprender debido a su jerga legal y técnica.

Algunas recomendaciones de medidas proactivas para reducir el riesgo de privacidad son:

  • Aclara tus preocupaciones con el departamento RRHH. y TI y considera si vale la pena asumir dicho compromiso de privacidad para usar tu dispositivo personal en el trabajo
  • Considera la opción de no participar en BYOD, ya que es la mejor opción para mantener privada la información personal del dispositivo.
  • Ten en cuenta que tus dispositivos deberán tener una configuración de privacidad a la cual el usuario deberá de adaptarse.
  • No olvides realizar una copia de seguridad de los datos personales, ya que la empresa tiene la capacidad de borrar de forma remota los datos del dispositivo. A través de esto al menos mantendrás el concepto de disponibilidad, pero no de privacidad.

 

  • Programas de aseguramiento para la empresa.

El punto que más destaca en BYOD es la privacidad de los usuarios, por ello los programas de auditoria y garantía de privacidad pueden ayudar a las organizaciones a mitigar el riesgo. Además, dichos programas también deben incluir aspectos relacionados con la seguridad de la empresa. Los programas de auditoria dirigido a BYOD son los siguientes:

  • ISACA’s BYOD Audit/Assurance Program es una herramienta que los auditores de TI podrán usar para completar el proceso de aseguramiento. Se centra en la gestión de riesgos, la gestión de la configuración y la seguridad de los dispositivos, los recursos humanos y la capacitación de los usuarios.
  • Service Organization Control (SOC) 2 y 3 es un informe que se centra en la privacidad desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA).

Referencias:

[1] Deusto Océano, «BYOD», Marzo 2016, acceso 29 de diciembre de 2018, https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_proquest1779441059&context=PC&vid=deusto&lang=es_ES&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,byod&offset=0

[2] Ashwin Chaudhary, « Privacy Assurance for BYOD », ISACA Journal, volume 5 (2014): 31 – 34. https://www.isaca.org/Journal/archives/2014/Volume-5/Documents/Journal-vol-5-2014.pdf




Controles para la Gestión del Riesgo Empresarial en el Mundo Móvil

Con los cambios continuos en el ámbito tecnológico y empresarial, surgen nuevas amenazas creadas por las nuevas aplicaciones móviles, por ello los auditores de TI y los profesionales de la seguridad deben adaptarse a estos cambios y anticiparse a los riesgos aplicar controles apropiados.

Para seleccionar dichos controles, primero se deben de localizar las capas de riesgo, los cuales hemos desarrollado en el anterior post “Gestión del Riesgo Empresarial en el Mundo Móvil”. En este post se explicaban las principales áreas de riesgo relacionadas con Mobile Workforce, pero si nos paramos a analizarlos la mayoría tienen un factor de riesgo común que afecta directamente a la organización: la información del dispositivo. Alrededor de este factor podemos segmentarlo en cuatro categorías principales de seguridad de aplicaciones móviles como se muestra en la figura 1.

Mobile-App-Security

Para afrontar el reto los auditores de TI hacen uso de los siguientes puntos mostrados en la siguiente tabla, de esta forma resulta más sencillo detectar la amenaza debido a la clasificación de los riesgos en dichas categorías [1].

MARCO DE PRUEBAS DE AUDITORÍA PARA APLICACIONES MÓVILES
ÁREA DE AMENAZA TEMA DEL CONTROL CONTROL A VERIFICAR PRUEBA DE CONTROL RIESGO MITIGADO
Dispositivos móviles Almacenamiento de datos Los datos se almacenan de forma segura para evitar las extracciones maliciosas cuando los datos están en reposo.

 

El cifrado de los datos en reposo en el dispositivo móvil se establece en el Estándar de cifrado Avanzado (Advanced Encryption Standard:AES) 128, 192 o 256. Pérdida y divulgación de datos
Transmisión de

datos

Los datos transferidos de la aplicación móvil están encriptados. El cifrado de datos se aplica a los datos en transmisión a través de la Capa de Puertos Seguros (Secure Sockets Layer: SSL) y protocolos de seguridad como:

  • Acceso web – HTTPS vs. HTTP
  • Transferencia de archivos – FTPS, SFTP, SCP, WebDAV sobre HTTPS vs. FTP, RCP
  • Protocolos de seguridad – Seguridad en la Capa de Transporte (Transport Layer Security: TLS)
Gestión de acceso a aplicaciones y seguridad La aplicación está configurada para limitar el acceso y configurada de forma adecuada para el uso autorizado limitado. La gestión de aplicaciones móviles (MAM) se utiliza para gestionar el acceso y el despliegue de la aplicación. Además, las listas blancas y listas negras se mantienen. Acceso no autorizado y fraude
Redes Conectividad inalámbrica El cifrado se aplica cuando se activa la conexión Wi-Fi. Para garantizar la seguridad de los datos, la transmisión de datos utiliza, al menos, los protocolos SSL o TLS. Pérdida y divulgación de datos
Secuestro de sesión (Session hijacking) Evitar conexiones inseguras para prevenir el secuestro de una sesión. Los protocolos de conexión para el

Localizador Uniforme de Recursos (URL) a través de TLS son a través de HTTPS

en lugar de HTTP para garantizar la seguridad a una URL.

Pérdida y divulgación de datos, acceso no autorizado
Servicios Web Gestión de acceso Roles y responsabilidades para la propiedad han sido establecidos, documentados y comunicados. Todos los servidores web aplicables se asignan a propietarios de sistemas técnicos y negocios. Los roles y

las responsabilidades definidas son adecuadas, especialmente para el personal interno y de terceros.

Ataque de fuerza bruta La estrategia de gestión de Denegación de Servicio (DoS) incluye programas adecuados para bloquear protocolos no autorizados. Los protocolos de bloqueo están habilitados para cuentas con varios intentos de contraseña incorrecta. Se recomienda el uso de CAPTCHA (programa que distingue entre humanos y ordenadores) para evitar DoS. Acceso no autorizado y fraude, disponibilidad de la aplicación
Base de Datos Acceso privilegiado El acceso elevado a las bases de datos se asegura adecuadamente utilizando las mejores prácticas. El acceso a la BD está limitado a las personas adecuadas, y las revisiones de acceso apropiadas y las cuentas documentadas del sistema se mantienen archivadas. Todas las cuentas y contraseñas predeterminadas se deshabilitan aplicando estrictos controles de contraseña. Acceso no autorizado y fraude
Inyección SQL El acceso a la BD del Back-end está protegido apropiadamente contra vulnerabilidades utilizando técnicas de validación de entrada adecuadas. Existe una técnica de validación de entrada; Existen reglas específicamente definidas para el tipo y la sintaxis de las reglas clave del negocio.
Validación de la entrada de la aplicación (cliente) Los datos procedentes de las aplicaciones móviles deben examinarse antes de extraerlos o enviarlos a la capa de BD. La limpieza de los datos del usuario de la aplicación móvil se protege adecuadamente mediante comprobaciones lógicas integradas dentro de la aplicación. La correcta implementación de las comprobaciones lógicas está en el lado del servidor.
Servicios de BD de aplicaciones El software de la BD del servidor se actualiza a las versiones seguras más actuales. El servidor de la BD está probada adecuadamente y reforzado contra ataques maliciosos. Los formularios de inicio de sesión requieren HTTPS. Las conexiones SSL son obligatorias

 

Por otro lado, si analizamos la ISO/IEC 27002 (código de práctica para los controles de seguridad de la información) podremos destacar el punto 6.2 “Dispositivos para la movilidad y teletrabajo” el cual pertenece al punto 6 “Aspectos organizativos de la seguridad de la información” [2]. Este punto trata por un lado la política de uso de dispositivos para la movilidad y por otro el teletrabajo [3].

Con estos controles se demuestra que los auditores TI deben trabajar mano a mano con todos los equipos dentro de la organización responsable del desarrollo de aplicaciones móviles, (negocio, desarrollo TI, seguridad TI, legal y cumplimiento). Además, deben de facilitar el proceso que determine un mínimo de controles de seguridad que pueda aplicarse al vulnerable mundo móvil. No debemos olvidar que dichos controles deben realizarse según la aplicación móvil es actualizada y nuevas tecnologías se implementen para dar soporte a la aplicación. De esta forma, se reducirá el riesgo de vulnerabilidades internas y externas que pueden poner en un compromiso los datos.

Referencias:

[1] Mohammed J. Khan, « Mobile App Security Audit Framework », ISACA Journal, volume 4 (2016): 1 – 4. https://www.isaca.org/Journal/archives/2016/volume-4/Documents/Mobile-App-Security-Audit-Framework_joa_Eng_0716.pdf .

[2] ISO 27002:2013, acceso 25 de noviembre de 2018, http://www.iso27000.es/download/ControlesISO27002-2013.pdf .

[3] ISO 27002:2013, acceso 25 de noviembre de 2018, Sección 6, http://www.iso27001security.com/html/27002.html#Section6 .




Gestión del Riesgo Empresarial en el Mundo Móvil

Como he comentado en anteriores posts, la fuerza de trabajo móvil (Mobile Workforce) permite que los empleados trabajen donde quieran. Pueden trabajar desde sus casas, que podría definirse como un lugar seguro, o en áreas públicas, como cafeterías o aeropuertos. En este último tipo de lugares es cuando el nivel de amenaza es mayor, ya que puede afectar a la integridad de los datos, pero también a la seguridad física de los empleados, lo que no ocurre en la propia oficina, puesto que se han implementado contramedidas durante décadas. A pesar de ello, no debemos olvidar que el descuido de un empleado remoto puede ser una fuente importante de riesgo que puede afectar a los activos de la empresa. A continuación, se describen las principales áreas de riesgo relacionadas con Mobile Workforce.

MobileWorkforce-960x678

Riesgos

  • Activos de la empresa

Existen dos tipos de activos: físicos (ordenadores portátiles, teléfonos móviles, tabletas) y lógicos (datos de los clientes, datos de los empleados, otra información crítica). Por lo tanto, si alguno de estos dos tipos de activos se pierde o dañan cuando están en posesión de un empleado remoto, suponen un gran riesgo para la empresa.

Además, los hackers u otras personas u organizaciones pueden aprovecharse de los trabajadores remotos para robar datos de una empresa, sabiendo que es más probable que su ataque tenga éxito al atacar a un empleado aislado, que romper las capas de seguridad de toda una organización.

  • Seguridad personal

La seguridad de los hogares de los empleados no es tan rigurosa como la del propio edificio de oficinas y los criminales son conscientes de ello. Dado que los empleados tienen los activos en sus hogares, lo que significa que estos activos están expuestos al riesgo como un ladrón o un grupo criminal. Ambos pueden o no ser conscientes del valor de los contenidos y revenderlos.

  • Tecnologías de la nube

Si una empresa externaliza parcialmente o totalmente sus sistemas e infraestructuras, el riesgo típico de TI relacionado con la confidencialidad, la integridad y la disponibilidad en torno a la administración y gestión de TI, el acceso a los programas y datos, la gestión del cambio y las operaciones aún se mantiene. Además, el uso de internet en las oficinas conlleva un aumento significativo del riesgo. De hecho, los proveedores de nube tienen muchos clientes de los cuales almacenan y administran un gran valor de datos, a los cuales trataran de obtener acceso los hackers a través de una brecha en el sistema de información. Incluso los propios empleados pueden aprovecharse de los datos de los clientes y robar dichos datos para diversos fines.

  • Regulación y Cumplimiento

Las empresas son responsables de cumplir las regulaciones con las que deben atenerse todas las partes interesadas involucradas en el trabajo móvil. En general, las empresas son responsables de la seguridad de sus sistemas de información, incluso si están externalizados. Es responsabilidad de la compañía asegurar que los datos de los clientes permanecen confidenciales. Si el proveedor de servicios en la nube o un trabajador remoto se ubica en un país donde la protección de datos no es estricta, los datos podrían estar expuestos a un riesgo.

Las empresas están obligadas a cumplir diferentes leyes y reglamentos sobre sus sistemas de información. Este reglamento puede variar en cada país. En los EE.UU., la seguridad de los datos de atención de la salud se rige por el Seguro de Salud de EE.UU. (HIPAA), mientras que en Reino Unido existe la Ley del Servicio Nacional de Salud (NHS) de 2006, la Ley de Salud y Asistencia Social de 2012 y la Ley de Protección de Datos.

Recomendaciones

Para proteger los activos y los recursos, la empresa debería de tomar algunas medidas para reducir el riesgo:

  • Identificar y documentar claramente todas las áreas potenciales de seguridad y privacidad relacionadas con el trabajo móvil.
  • Realizar programas de capacitación y concienciación sobre los riesgos asociados a los sistemas de información utilizados por los empleados y sus consecuencias para el propio empleado, la empresa, sus clientes y el personal.
  • Contraer una póliza de seguro contra pérdidas o daños de activos, de esta forma podrán protegerse contra tales costos. Debido al trabajo a distancia la prima del seguro puede aumentar debido al aumento del riesgo.
  • Supervisar los proveedores de la nube. El proveedor debe generar un informe de aseguramiento de terceros, firmado por un auditor externo, que muestre el estado de su control interno.
  • Comunicaciones remotas seguras. La empresa debe informar con frecuencia para evitar el uso de áreas de conexión públicas, a no ser que se hayan implementado medidas de seguridad como conexión VPN.
  • Dispositivos seguros y su contenido. Para evitar tragedias tras un robo de un dispositivo, los datos críticos deben ser cifrados y hacer uso de una contraseña fuerte. Además, debe de habilitarse el bloqueo de pantalla tras un periodo de inactividad. El antivirus debe de permanecer actualizado. Por otro lado, se debe administrar a los usuarios cerraduras de ordenadores para proteger el dispositivo físico.

 

Referencias:

[1] Guy Ngambeket, « Mobile Workforce Security Considerations and Privacy » ISACA Journal, volume 4 (2017): 18 – 19




Relevancia en la industria y herramientas de Seguridad Móvil

El trabajo a distancia, es decir el teletrabajo, tiene muchas ventajas, tanto para la empresa como para los empleados. Por ello, las empresas son conscientes de sus beneficios y en algunos países, como Reino Unido, se ha convertido en un derecho de los empleados el solicitar el trabajo móvil [1]. Esto les hace sentir una mayor flexibilidad, libertad y autogestión, lo cual facilita a aquellos que necesitan cuidar de sus hijos o tienen un largo tiempo de desplazamiento para llegar a su lugar de trabajo. Por ejemplo, los empleados remotos no quieren que su gerencia piense que, si no están entregando en los tiempos esperados, es porque el trabajar remotamente los está retrasando. Por lo tanto, trabajarán más que las horas contractuales para alcanzar los objetivos. Además, ayuda a las empresas a reducir costos, especialmente en renta y gastos de consumo (electricidad, agua, servicios de basura, etc.), y encontrar empleados cualificados, independientemente de su ubicación. Con el progreso de la tecnología, la fuerza de trabajo móvil es una tendencia que no va a detenerse. Se prevé que para 2020, el 72,3 por ciento de la mano de obra estadounidense será remota [2].

Los empleados están haciendo negocio desde cualquier dispositivo, haciendo uso de aplicaciones como el correo electrónico o el calendario durante el día e incluso la noche, desde cualquier lugar. Los dispositivos móviles evolucionan convenientemente a una necesidad y pasan a ser de un lujo a un componente necesario, pero crítico para el entorno empresarial. El aumento de las aplicaciones que residen en esos dispositivos conlleva un aumento de retos de seguridad y aseguramiento de los que nunca se había enfrentado la empresa. Es cierto que tanto las organizaciones como los auditores IT se están volviendo más sofisticados en sus enfoques y, por lo tanto, cada vez son más capaces de anticiparse y responder a los retos.

Debido a esto, los expertos profesionales se mantienen de forma constante en una búsqueda de herramientas y técnicas, que pueden aplicar y adaptarse para ayudar a las organizaciones a garantizar que los dispositivos están protegidos adecuadamente. A continuación, os expondré herramientas de 4 categorías que están disponibles de forma gratuita, open source, etc. Debo destacar que las siguientes herramientas pueden ayudar a resolver problemas específicos de seguridad y seguridad en relación con el entorno móvil. [3]

  • Herramientas de prueba de aplicaciones móvil

Las herramientas de proxy web, como Burp Suite y ZAP de Open Web Application Security Project (OWASP) son excelentes opciones. Permiten a los usuarios analizar el tráfico entre cualquier dispositivo y las aplicaciones web con las que interactúan. Un proxy de prueba web intercepta los mensajes intercambiados por el dispositivo y la aplicación y permite la manipulación de algunos parámetros, por ejemplo las cabeceras HTTP.

  • Herramientas de prueba de dispositivo móvil

Las pruebas especificas de los propios dispositivos móviles incluyen las aplicaciones maliciosas y el comportamiento del usuario ante una situación como phishing. Para ello, se puede hacer uso de la herramienta Dagah de Shevirah.

  • Herramientas forenses móvil

La técnica de forense consiste en investigar un dispositivo y determinar si éste ha sido atacado o evaluar de otra manera un incidente potencial que pueda afectarle. La distribución de Santoku Linux se centra en el examen forense de dispositivos móviles. Otras plataformas de pruebas y respuesta a incidentes son Kali y CAINE que contienen herramientas de análisis móviles.

  • Herramientas de gestión Sistemas Operativos

Desde el punto de vista de la administración de dispositivos, también hay algunas opciones que se adaptan a cada sistema operativo. Los sistemas operativos iOS y Android tienen incorporados los suyos propios, que les permite realizar tareas como borrado remoto en caso de un dispositivo borrado o perdido.

–    Configurador de Apple

–    Administrados de dispositivos Android

Existen otras herramientas que proporcionan herramientas de privacidad (The Guardian Project) y configuraciones de sistemas operativos reforzados (CopperheadOS).

 

Referencias:

[1] GOV.UK, «Flexible working», acceso 15 de noviembre de 2018, https://www.gov.uk/flexible-working .

[2] «Today’s mobile workforce: any time, any place», The Telegraph, 5 de septiembre de 2016, acceso 15 de noviembre de 2018, https://www.telegraph.co.uk/business/ready-and-enabled/todays-mobile-workforce-any-time-any-place/

[3] Ed Moyle, «Tools: Mobile Security Tools on a Budget» ISACA Journal, volume 4 (2017): 52 – 53

 




¿Qué es la Gestión del Riesgo Empresarial en el Mundo Móvil?

MundoMovil

La invasión de los dispositivos móviles en nuestras vidas cada vez es más evidente y notable, solamente tienes que pararte a pensar cuántos móviles, portátiles, tablets, etc. tienes a tu alrededor. La próxima vez que salgas de paseo por tu ciudad te invito a fijarte cuántas personas a tu alrededor tienen un dispositivo móvil con el cual hablan, chatean o capturan momentos, te darás cuenta de que no importa la edad y cualquiera dispone de un aparato electrónico. De hecho, una encuesta realizada por la empresa Deloitte, Global Mobile Consumer, encontró que el 85% de las personas de 16 a 75 años posee o tiene acceso a un teléfono inteligente, destacando que las personas entre 55 y 75 años son el grupo de edad de crecimiento más rápido en los últimos cinco años, alcanzando dos tercios con acceso a un teléfono inteligente.[1]

Hace diez años, la mayoría de las organizaciones no abordaban los medios móviles, la nube y las redes sociales. Debido a la explosión experimentada en los últimos diez años en estas plataformas, parece que casi todo el mundo tiene al menos una cuenta de redes sociales y un teléfono en el bolsillo, lo cual ha obligado a las empresas a actuar de la misma forma para no quedarse atrás en este momento de cambios, esto supone un nuevo impacto, la seguridad de la fuerza de trabajo móvil (workforce).

Para muchas personas, la tecnología de la información ha cambiado el significado del trabajo. El lugar de trabajo clásico es la oficina, un lugar donde los empleados se reúnen para realizar una variedad de tareas con un propósito común. En cambio, ahora muchas personas ya no tienen la necesidad de ir a trabajar, ya que disponen de portátiles, smartphones, impresora y conectividad a Internet en sus propios hogares [2]. Su “oficina” es donde viven. Estos nuevos perfiles de trabajo yo los denomino “trabajadores móviles”, capaces de realizar su trabajo desde cualquier lugar, siempre y cuando tengan las herramientas técnicas necesarias para ello.

Sin embargo, en este post y en los siguientes no nos centraremos en la gestión de los “trabajadores móviles”, sino en la Gestión del Riesgo Empresarial en el Mundo Móvil, es decir de las tecnologías de la información de la propia empresa que hacen uso en el exterior.

Si los trabajadores ya no tienen la necesidad de ir a la empresa, ésta no tendrá la necesidad de guardar un escritorio para cada empleado, dado que al tener su propio material será tan sencillo como llegar y sentarse donde ellos gusten. El teletrabajo es un concepto que están intentando implementar varias empresas en España con gran dificultad, ya que si analizamos los datos proporcionados a lo largo de 10 años por el INE (Instituto Nacional de Estadística) apenas alcanza una variación del 3%. En 2017, un 95,4% de los asalariados aseguró no trabajar “ningún día” desde casa, tal y como se muestra en la siguiente gráfica. [3]

Teletrabajo

Figura 1: Porcentaje de asalariados que trabajan desde su domicilio particular, desde 2007

Esto conlleva a reflexionar en un riesgo añadido, si ellos traen y llevan sus propios dispositivos tecnológicos, toda la información de la empresa reside en dichos dispositivos y estos a su vez se conectan en diferentes redes de internet que pueden resultar inseguras, por ejemplo. Esto puede suponer que su información caiga en manos no deseadas.

¿Qué impacto produce el Mundo Móvil en la Auditoría Interna?

Las tecnologías evolucionan de forma más rápida y constante lo que obliga a los auditores internos a mantenerse al día de las nuevas tecnologías móviles que usan las organizaciones y analizar los riesgos a los que están expuestos en todo momento, los cuales se analizarán en uno de los próximos posts relacionados con la Gestión del Riesgo Empresarial en el Mundo Móvil. [4]

Según el análisis de Deloitte de “2018 Hot topics for IT Internal Audit in Financial Services”, donde se muestran los cambios que ha sufrido dicho ranking desde 2012, se aprecia como hasta el año 2014 apenas se valoraba este aspecto en las empresas, ya que se presenta por primera vez en el ranking sin perder presencia desde dicho año. Actualmente, en el año 2018, ha descendido del séptimo puesto al noveno.[5]

 

Referencias:

[1] Deloitte, «Global Mobile Consumer Survey 2018: The UK Cut», acceso 10 de noviembre de 2018, http://www.deloitte.co.uk/mobileUK/.

[2] Steven J.Ross, «I Left My Security in the Office», ISACA Journal, volume  4 (2018):  3 – 5.

[3] Laura Olías y Ana Ordaz, « El teletrabajo no acaba de despegar en las empresas españolas», eldiario.es, 8 de septiembre de 2018, acceso 10 de noviembre de 2018,  https://www.eldiario.es/economia/teletrabajo-opcion-despegar-empresas-espanolas_0_811919417.html .

[4] Ed Page y Jason Goldberg, «Coping With the Pace of Change in Mobile Applications», Top Priorities for Internal Audit in Financial Services Organizations, nº 1 (2016), https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/srfinancialservicesindustryresults2016 : 31-34.

[5] Deloitte, «2018 Hot topics for IT Internal Audit in Financial Services», acceso 12 de noviembre de 2018, https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/financial-services/deloitte-uk-2018-hot-topics-for-it-internal-audit.pdf.