La evolución tecnológica ha hecho que la seguridad sea cada vez más importante. Y es que, abarca a todos los espectros que conforman el ámbito tecnológico. Uno de lo apartados en los que cobra cada vez una mayor importancia es en el de los dispositivos y aplicaciones móviles. Manuel Navarro Ruiz
Si la seguridad en entornos móviles es importante cuando se trata de un usuario, más todavía si estamos hablando de dispositivos y de su utilización en entornos empresariales. El problema radica en que muchas empresas no son conscientes de los riesgos que vienen aparejados al uso de estos dispositivos y, por ignorancia, no son prioritarios en el momento del diseño de la estrategia de seguridad de la compañía. Tal y como asegura, Angel Victoria, country manager de G DATA “el principal riesgo que corren las empresas es no haber incluido el “apartado” movilidad en su política de seguridad. Pensar que el PC necesita seguridad y el dispositivo móvil es el gran problema al que se enfrentan las empresas”.
Los riesgos, además de considerar a este tipo de dispositivos como seguros sin necesidad de incorporarles ninguna medida de seguridad, son múltiples. Y es que, es en el propio dispositivo y en la variedad de ellos, donde se encuentra uno de los principales riesgos. Tal y como apunta Manu Santamaría, Product Manager de Panda Cloud Fusion en Panda Security “uno de los puntos de riesgo más comunes en las organizaciones es la multitud y gran variedad de dispositivos con los que operan los usuarios. Además, la mayoría de las infecciones y ataques se producen a través de vulnerabilidades que explotan fallos de seguridad para los que ya existen actualizaciones, por lo que otra área crítica es la gestión de parches, teniendo control y visibilidad del estado del parque informático, que ahora además, incluye dispositivos móviles con diferentes sistemas operativos”.
En este contexto, donde la gestión de estos dispositivos es cada vez mayor, porque un antivirus tradicional no garantiza tener cubiertas las necesidades en el entorno empresarial. Para Santamaría, “en este tipo de situaciones se requiere otro tipo de soluciones más avanzadas. La principal tendencia viene de soluciones de tipo Endpoint Protection Platforms (auditoría de hardware y software, gestión de parches y vulnerabilidades, control de aplicaciones, etc.). Un antivirus tradicional es necesario e imprescindible pero ya no es suficiente. Desde el punto de vista de los responsables de la seguridad en la empresa es también muy importante que la herramienta a utilizar para controlar la red no requiera a su vez de nuevos servidores, configuración de nuevas conexiones VPN, etc. Y en este contexto, van ganando terreno soluciones sencillas que mediante un navegador web permitan la instalación de un pequeño agente en los dispositivos a gestionar, de tal forma que tengamos el control de todos ellos sin importar que estén dentro o fuera de la oficina. En este sentido en Panda Security ofrecemos al mercado una herramienta completa, capaz de reducir la complejidad en la gestión de la seguridad para dar respuesta directa a la tendencia BYOD. Y es que, en un contexto donde esta práctica cada vez tiene mayor implantación, la seguridad de las organizaciones y de los dispositivos móviles que gestionan sus empleados es crucial. Y este es precisamente otro de los puntos diferenciales de solución Panda Cloud Systems Management (PCSM), una plataforma para la gestión, monitorización y mantenimiento de los sistemas informáticos”.
Por su parte, Luis López, responsable del negocio de ciberseguridad de Trend Micro, señala que “algunos de los principales riesgos que tenemos identificados en esta materia son: pérdida de privacidad / confidencialidad; aumento de superficie de exposición. Por otro lado los smartphones son más fáciles de perder o de robar que otro tipo de dispositivos y los usuarios tienen tendencia a guardar más información personal y sensible en los dispositivos móviles, lo que los convierte en más atractivos para los ciberdelincuentes. Sin duda, son el nuevo objetivo de las campañas de malware tanto dirigido como oportunista y de las aplicaciones maliciosas. Igualmente, los dispositivos móviles son objeto de las violaciones de políticas corporativas”.
Pero hay muchos más. Algunos de los principales problemas suelen venir de mano de las infraestructuras de sistemas de pago y tránsito en los proveedores de acceso WiFi que presentan posibles problemas y riesgos adicionales. Según López habría que añadir también “diferentes riesgos identificados referentes a vulnerabilidades de software y hardware, complejidad en el suministro y provisión de estos dispositivos, además de escasa madurez en los controles y herramientas anti-fraude. Todo ello sin olvidar la connotación de estos dispositivos en el entorno de medios de pago, mediante tecnología como NFC, aplicada por ciertas compañías de móviles como la solución de Apple Pay y algunas aproximaciones que ha llevado a cabo Google, como Wallet. Este tipo de herramientas convertirán también a los móviles en objetos de deseo, al ser el nuevo “token” físico que tendremos para realizar múltiples operaciones financieras y pagos del día a día”.
El número de víctimas empresariales afectadas por ciberataques en 2014 es 2,4 veces mayor que el año anterior y las ciberamenazas móviles han tenido mucho que ver en este incremento. Lo cierto es que los dispositivos móviles cada vez contienen más datos confidenciales corporativos, pero no todas las empresas los tienen en cuenta a la hora de implementar su política de seguridad TI.
Robos, pérdida de dispositivos, malware para acceder a la información,… son algunos de los principales motivos que ocasionan esa pérdida de datos, por lo que las empresas, independientemente de su tamaño, con dispositivos propios o BYOD, deben proteger todos y cada uno de los móviles, PDs, tablets,… conectados a Internet y capaces de acceder a la información corporativa.
El número de incidentes de seguridad TI relacionados con los smartphones y tablets va en aumento y la mayoría de las empresas no cuenta con planes para limitar el uso de los dispositivos móviles personales en el trabajo. Una de las amenazas más peligrosas para las empresas es la pérdida de datos corporativos. De hecho, según los datos derivados de las empresas de nuestro país, más de la mitad de los incidentes de seguridad TI ocasionados por los empleados con el smartphone o tablet tuvieron como resultado la pérdida de información. El 28% de los esos datos eran críticos para la empresa y el 27% sensibles, según una encuesta realizada en 2014 por Kaspersky Lab junto a B2B Internacional.
Ser consciente
Ante este número creciente de amenazas, carece de toda lógica que las empresas, sobre todo pequeñas y medianas, no tomen medidas de seguridad para impedir que se le produzcan determinados ataques. Evidentemente, la seguridad al 100% no existe, pero nadie dejaría la puerta de su casa abierta de par en par y con un cartel invitando a un ladrón a llevarse todo lo que encuentre en el hogar. Porque esto es lo que hacemos con los teléfonos y las tabletas. Tal y como afirma Josep Albors, director del laboratorio de ESET España, “Por desgracia, muchas empresas aún piensan que los móviles permanecen al margen de las amenazas informáticas. Sólo se dan cuenta de la importancia de proteger este tipo de dispositivos cuando sufren un ataque y muchas veces ya es tarde”. Lo mismo piensan en Sophos: “Los usuarios no se dan cuenta de que lo que tienen entre las manos son pequeños ordenadores, que, al igual que sus hermanos mayores, pueden ser víctimas de ataques por parte de los ciberdelincuentes. En una reciente investigación de IDC, sólo el 24% de las PYMEs usan actualmente un producto MDM (Mobile Device Management) para administrar sus dispositivos móviles, porcentaje que aún baja más si hablamos de usuarios particulares”. Un problema que debería ser sencillo de solucionar, tal y como propone Josep Micolau, senior Business Technology Architect de CA Technologies quien cree que “las empresas deben ser conscientes de que actualmente la seguridad no sirve solo para proteger, sino que también se ha convertido en un facilitador del negocio. Esto hace que las empresas entiendan que para tener éxito en sus iniciativas de movilidad, no solo deben desarrollar más apps, sino que también deben desarrollar apps más seguras”.
Tendencias
La seguridad es un mercado en el que se trabaja a destajo, pero en el que no se sabe cuál será la próxima amenaza. Sí sabemos, en cambio, dónde y por qué se producen los ataques más comunes. En la mayoría de los casos dinero y obtención de datos suelen ser las principales causas. Tal y como señala Alfonso Ramírez, director general Kaspersky Lab, “podríamos decir que 2011 fue el año del nacimiento del malware móvil, especialmente en dispositivos basados en Android; 2012 fue el de su desarrollo y en 2013 llegó a la madurez. En 2014, el malware móvil se ha centrado en ataques financieros: el número de troyanos bancarios móviles ha sido nueve veces mayor que el año anterior y su desarrollo continúa a un ritmo alarmante. Desde luego, en Kaspersky Lab creemos que el malware móvil seguirá creciendo y su objetivo será claramente financiero, de hecho las cifras de este año ya lo indican: se han detectado un total de 12.100 troyanos de banca móvil, 9 veces más que el año pasado. El 53% de los ataques pretendían robar dinero a los usuarios (SMS-troyanos, troyanos bancarios). No debemos olvidar de las recientes campañas de ciberespionaje contra dispositivos móviles (Regin, por ejemplo) que no buscan el robo económico, sino conseguir información tanto de empresas privadas como de diversos organismos públicos”. Por su parte el portavoz de CA Technologies señala por dónde van a ir las próximas tendencias en seguridad móvil. En su opinión, “podemos diferenciar dos tendencias en seguridad móvil: la seguridad del dispositivo y la seguridad de las aplicaciones móviles. Las empresas abordan la seguridad enfocada a proteger el dispositivo y la información localmente almacenada de una forma muy concreta mediante iniciativas de gestión de dispositivos móviles (MDM), de accesos a aplicaciones móviles (MAM), de contenidos móviles (MCM) y de correo electrónico en el móvil (MEM). En cuanto a la seguridad de las apps desarrolladas por la empresa y que acceden a datos corporativos, debe protegerse el acceso seguro por parte del usuario a la información, pero la seguridad también debe ser un facilitador del negocio, con funcionalidades como social login o habilitar un single signon seguro basado estándares como oAuth o federación SAML. Incluso cuando los servicios lo requieran, por su nivel de riesgo o criticidad, deberán incorporarse mecanismos de seguridad más robustos como la autenticación biométrica”. Por su parte, Josep Albors de ESET cree que “además de las capas tradicionales de seguridad, como pueden ser los antivirus, se están incluyendo servicios de localización del dispositivo -e incluso de destrucción remota de la información- en caso de pérdida o robo. También se está imponiendo la separación de usuarios mediante cuentas diferentes en un mismo teléfono para que se pueda hacer uso del BYOD de forma segura, separando los datos corporativos de la información personal”.
Gestionar la seguridad móvil de la empresa
Las empresas deben adaptar sus políticas de seguridad tanto al incremento de amenazas como a la diversidad de dispositivos presentes en la empresa, lo que puede suponer un aumento de los vectores de ataque. La política de seguridad debería incluir un anti-malware, control de endpoints, cifrado de datos, gestión de parches y herramientas de administración y gestión centralizada de todas las funciones para proteger toda su información. Los fabricantes deben ofrecer a las empresas suites de seguridad multidispositivo que protejan todos los dispositivos de la empresa. Estas soluciones son las más completas para las compañías pero sólo un 21% las utiliza.
Tal y como asegura el director general de Kaspersky Lab, “Es necesario implementar una plataforma de seguridad capaz de gestionar cualquier dispositivo y sistema operativo. Debe incluir smartphones, que sean de la organización o del trabajador, desde los que se acceda a información corporativa para evitar posibles fugas o robos de datos que puedan generar daños a la empresa. Pero no se puede olvidar a los trabajadores que deben estar concienciados de los riesgos a los que exponen a su empresa para que actúen con lógica y cautela y no se conviertan en el eslabón débil de la seguridad TI”. Por su parte desde Panda Security, se asegura que “en el contexto actual donde el número de nuevos virus que aparecen diariamente está batiendo todos los records, un modelo híbrido entre ficheros de firmas y nube resulta imprescindible para poder dar respuesta rápida a los más de 200.000 nuevos virus que aparecen diariamente. Por otro lado, gestionar las vulnerabilidades del software es otro aspecto clave de cara a ofrecer una protección con garantías. El 90% de las infecciones vienen a través de vulnerabilidades no parcheadas, tanto del sistema operativo como de software de terceros (Java, Adobe, Flash, etc.). Los dispositivos a proteger necesitan no sólo la típica seguridad que ofrecen las compañías de antivirus (antivirus, firewall, Device control, etc.) sino que también resulta imprescindible la posibilidad de gestionar y parchear las vulnerabilidades del sistema y de software de terceros”.
Pero, ¿cómo se puede gestionar de forma correcta todo ese entramado de dispositivos y aplicaciones? En GData tienen claro que “la responsabilidad de dicha seguridad nunca debe ser del empleado, sino de cada empresa. Los mínimos de seguridad que exigimos a la red tradicional debemos exigirlos también para los dispositivos móviles. No es complicado”. Por su parte, desde Fortinet considerar que hay una medida básica que todo gestor de red debe tomar en relación a la seguridad móvil: El acceso a los sistemas clave no debe permitirse desde un teléfono móvil. Y citan ejemplos: “el equipo financiero no debería poder realizar operaciones a través de una aplicación móvil. Este tipo de operaciones debería estar accesible solo desde los host autenticados y con requerimiento de credenciales. Tampoco el sistema de control industrial (ICS) debería ser supervisado a través de una aplicación móvil y, debería ser solo accesible desde host o áreas restringidas. Por último, la educación es clave a la hora de garantizar la seguridad móvil, implicando a los trabajadores en el uso adecuado de sus teléfonos. Es importante transmitir que los virus para móviles son un hecho (todavía hay gente que no es consciente) y que, la mayoría de las veces, proceden de descargas de aplicaciones con apariencia fiable pero que son virus. Para evitar que los empleados de nuestra corporación pongan en riesgo la seguridad de la red, es importante que les enseñemos a verificar todos los datos relevantes antes de descargarse una aplicación, tales como: su procedencia, quién es el desarrollador, qué comentarios se hacen sobre esa app en la red, el ranking que ocupa en el Marketplace, etc”.
En unos entornos de TI cada vez más complejos no sólo debido a la movilidad y al fenómeno BYOD, sino también por la necesidad de gestionar la seguridad de diferentes tipos de dispositivos de diferentes plataformas, incluidos móviles y tabletas, se requiere de una solución que permita gestionar todo tipo de dispositivos y de una manera uniforme, estén dentro o fuera de la red. Para Manu Santamaría, Product Manager de Panda Cloud Fusion en Panda Security, “si intentamos gestionar los despliegues de software, las actualizaciones, los parches, la seguridad, el soporte reporte, MDM, etc., con diferentes soluciones, la tarea se vuelve incontrolable y totalmente ineficiente. Es por tanto necesario contar con una solución que permita a diferentes administradores de TI gestionar de una forma centralizada todo tipo de dispositivos desde cualquier lugar y en cualquier momento. La solución elegida debe ser fácil de desplegar y tener una rápida curva de aprendizaje, de forma que se pueda sacar el máximo partido desde el primer día. Las soluciones Cloud son sin duda la respuesta a estas necesidades”.
La nube segura
Y es en la nube donde corren muchas de las aplicaciones. Y aunque la nube es segura introducirse en alguna de las apps, requiere introducir determinadas contraseñas o parámetros. Y es aquí donde aparecen los riesgos. La nube ha revolucionado muchos sectores, y entre ellos, la movilidad y, por supuesto, la seguridad. La nube supone un gran avance tecnológico, pero interactuar con ella sin contar con las medidas de seguridad apropiadas puede acarrear más pérdidas que beneficios. Así que los fabricantes, como hemos dicho anterior mente con Panda Security, han desarrollado soluciones para securizar estos entornos en dispositivos móviles. Por ejemplo, en Trend Micro cuentan con soluciones de seguridad que combinan protección para dispositivos móviles e interacciones con cualquier recurso de Internet (entre otros, la nube). Y es que como asegura el portavoz de esta empresa, “los riesgos que podemos encontrar, éstos especialmente están vinculados a problemas en la recuperación de contraseñas en entornos de auto-servicio (¿Cómo se llama tu mascota?, ¿A qué escuela fuiste?); incumplimiento de leyes de protección de datos internacionales; implementación de cifrado para mantener la privacidad; posible manipulación por carriers y gobiernos por leyes nacionales, por eso hacen falta soluciones específicas”
BYOD, MDM, MAM, no es un mar de siglas
Si algo sorprende de la seguridad asociada a dispositivos móviles es la cantidad de siglas que hay para definir diferentes soluciones o métodos de seguridad. Quizá la más común de todas ellas, y por ello hablaremos de ella en primer lugar es BYOD o Bring Your Own Device o lo que es lo mismo, utilizar el móvil o la tableta personal en entornos de trabajo. Sin embargo, parece ser que muchas compañías nunca permitieron la integración plena de los dispositivos propios (BYOD), sino que han optado más por accesos remotos seguros y virtualizados a la mayoría de sus servicios, normalmente a través de múltiples dispositivos, ya sean propios o no. “No obstante, -y como señala Luis López, responsable del negocio de ciberseguridad de Trend Micro- muchas otras compañías han abrazado BYOD como una posibilidad real de ahorro de costes y la forma de conseguir una flexibilidad sin precedentes. En estos casos, para desarrollar un estrategia de BYOD e implementarla de forma segura, se deben tener en cuenta estos puntos: respecto al uso de dispositivos móviles personales, habrá que definir cuáles son los dispositivos a admitir en nuestra estrategia BYOD (Apple iOS, Android de Google y, en muchos casos, los dispositivos BlackBerry y Microsoft). Autenticación fuerte para los usuarios con certificados o passwords de un solo uso, el correspondiente registro de actividad de los usuarios y el uso de cifrado VPN desde el móvil hasta el entorno final de la aplicación. También será fundamental incluir un sistema de Borrado Remoto, en caso de que el dispositivo susceptible de incluir datos de la compañía se pierda o sea robado, o bien si el empleado abandonase la compañía”
Con respecto a los datos de usuario, sería esencial detallar quién posee y controla qué datos de la organización. Para evitar riesgos futuros se detallará un procedimiento de aprobación para ver que dispositivos deberían poder acceder a qué aplicaciones. Y sobre estas últimas, deben existir listas sobre lo que se permitirá y lo que no para cada usuario y/o dispositivo. “Además de analizar qué aplicaciones podrían resultar un riesgo importante en caso de que se les permitiese acceso desde dispositivos tipo BYOD”, finaliza López.
Es verdad que tener información corporativa en nuestro dispositivo móvil personal es, sin duda, muy práctico y cómodo, pero supone un riesgo considerable para la seguridad de la empresa. El 69% de un estudio realizado por Kaspersky Lab admite que el BYOD constituye una amenaza creciente para la seguridad de las infraestructuras TI corporativas en España. Establecer ciertas políticas de seguridad TI, así como implementar software de seguridad en los dispositivos móviles en la empresa podría reducir significativamente los riesgos de negocio asociados a los smartphones y tablets. Sólo el 50% de las empresas españolas utiliza medidas de seguridad para proteger los dispositivos móviles: el 31% utiliza soluciones antimalware y el 19% soluciones de gestión de dispositivos móviles (MDM). Las expectativas de futuro en cuanto a prevención de ataques corporativos no son muy esperanzadoras ya que sólo el 32% de los encuestados planea desplegar una política de seguridad de dispositivos móviles en los próximos años y el 17% no tienen en sus previsiones desarrollar una.
La realidad es que en España, aunque la mayoría de las personas lleva en el bolsillo tanto su teléfono de empresa, como el personal, cada vez más empleados optan por un único dispositivo, o bien por utilizar su tableta en el entorno profesional. Y lo hacen principalmente por pura comodidad, que sin lugar a dudas, acaba traduciéndose en productividad para la organización. Pero BYOD, al final puede suponer muchos más costes. Tal y como aseguran desde Sophos, “aunque inicialmente pudiéramos pensar que iba a ser menos costoso para la organización, al tener que adquirir menos dispositivos móviles, lo cierto es que este fenómeno es un auténtico quebradero de cabeza para los departamentos de TI. Dar soporte a diferentes tipos de dispositivos puede suponer un aumento de costes en su gestión. El uso de aplicaciones en dispositivos móviles, conectados a la red corporativa, amplía sin lugar a dudas, el perímetro de la red de la empresa y puede producir incidentes de seguridad en la misma. Por lo tanto será necesario actualizar la política de seguridad atendiendo a estos nuevos requisitos y con herramientas específicas que permitan monitorizar y gestionar estos nuevos dispositivos”.
¿Qué ocurre con MDM, MAM y MCM? El primero es la gestión de los dispositivos. El segundo hace referencia a las aplicaciones. El tercero es para los contenidos de los dispositivos. Al igual que BYOD se pone en cuestión, con estas no ocurre lo mismo. Josep Micolau de CA Technologies cree que “Las soluciones MDM, MCM y MAM son efectivas y totalmente necesarias en un entorno empresarial. Actualmente los empleados manejan datos de negocio y correo electrónico con información sensible en sus dispositivos móviles por lo que se deben habilitar los mecanismos de protección de dispositivos, de los contenidos, del acceso a las aplicaciones y del correo electrónico en el móvil para prevenir los riesgos habituales de estos dispositivos”.
El portavoz de ESET añade que “todas estas soluciones añaden capas de seguridad y gestión que, bien configuradas, ayudan proteger los dispositivos móviles. No obstante, tanto el usuario como el departamento de TI deben dejar claro desde el principio cual es el alcance de esta gestión para que no se inmiscuya en el uso personal del dispositivo”. Y es aquí donde surge uno de los problemas que hacen desconfiar de este tipo de soluciones. Sobre todo a los empleados, que consideran que pueden estar controlados en todo momento por sus jefes. Por eso desde ESET recomiendan que “estas soluciones han de estar correctamente configuradas y el usuario informado de a qué datos se puede acceder con ellas. A efectos prácticos, una mala gestión de estas herramientas puede causar el mismo daño a la privacidad del usuario que un código malicioso, puesto que el departamento que las controla tiene un control total del dispositivo y de la información que almacena”. Más o menos igual a como lo perciben en Trend Micro: “en muchos casos sí, en nuestro caso la aproximación idónea trata de dejar espacio para el usuario y no controlarlo ni monitorizarlos y ejecutar la parte corporativa de forma estanca, como si fuera un escritorio virtual, que contendría todo el entorno corporativo en una super-app que permitiese un entorno al acceso corporativo separado del resto de las aplicaciones de usuario”.
Sin embargo en CA no lo ven así. Para Micolau, “las soluciones MDM y MCM no están pensadas para limitar la privacidad del usuario. Su objetivo es garantizar que el dispositivo se encuentra correctamente configurado, que no se realiza un uso inadecuado deliberada o accidentalmente, que los contenidos corporativos están protegidos y que no se implementen aplicaciones móviles que puedan suponer una amenaza. Por ejemplo, estas soluciones permitirán reformatear el dispositivo remotamente en caso de pérdida, securizar los contenidos locales, etc. Todas estas son capacidades que protegen al propio usuario y que no están pensadas como una intrusión en su privacidad”.
Empresa móvil, sí, pero también segura
Por Tomás Lara, director general de Trend Micro para España y Portugal
Los negocios hoy son más globales y tienen otras exigencias que, junto a los avances tecnológicos han propiciado nuevas formas de trabajar y de acceder a la información. La frontera entre la vida privada y la profesional cada vez está más diluida, tanto es así que los trabajadores utilizan sus propios dispositivos, ya sean ordenadores, tablets y, por puesto, smartphones para trabajar y conectarse a las redes corporativas.
Los usuarios cada vez más acceden a los recursos corporativos desde la oficina, desde su casa, durante sus desplazamientos… Sin embargo, no siempre trabajan en una red, dispositivo o aplicación de la empresa, por este motivo, protegerlos se ha convertido en un reto cada vez más difícil, independientemente de las actividades que realicen o de dónde se encuentren. A menudo los trabajadores móviles no son conscientes del riesgo al que exponen a la red corporativa y desconocen que su comportamiento aumenta la inseguridad de la empresa, haciéndola más vulnerable.
La aparición de este fenómeno, conocido como “consumerización de las TI” o Bring Your Own Device (BYOD), coloca a las empresas en la tesitura de permitir no sólo el uso de los potentes y avanzados dispositivos que adquiere el personal, sino también de ofrecer asistencia para los mismos. Aprovechar todas las oportunidades que la movilidad ofrece sin poner en riesgo la infraestructura de TI de la compañía y la integridad de los datos, y cumpliendo en todo momento con las normativas correspondientes, plantea un importante desafío en términos de seguridad. Esto requiere de tecnologías que aporten control, visibilidad y protección total para los dispositivos y que, a poder ser, se integren bajo una sola estructura de administración que permita a las empresas la posibilidad de gestionar la seguridad de los equipos abarcando tanto los de escritorio como cualquier dispositivo móvil.
En definitiva, se hace necesaria una seguridad más avanzada que acompañe a los usuarios dondequiera que vayan. Se necesita una seguridad interconectada e inteligente que haga posible compartir información entre las capas de seguridad para poder consolidar la visión de la actividad de los usuarios en todos los vectores de amenazas. Además, se requiere una defensa que realice con fluidez la transición entre la seguridad in situ y en la nube sin que se vean afectadas las licencias o los acuerdos comerciales.
Al recuperar la visibilidad y el control de los dispositivos móviles, los administradores de TI de una compañía pueden adoptar la estructura de trabajo BYOD, lo que se traduce a su vez en el aumento de la productividad y la flexibilidad de los empleados, así como en la reducción de costes de TI.
No poner límites al avance
En cualquier caso, lo que en último lugar mide una empresa hablando en términos de negocio, no es tanto si se cumplen o no las políticas de protección de datos, sino el rendimiento de los empleados. Éstos quieren hacer su trabajo y hacerlo lo mejor posible, lo que implica que en ocasiones recurran al uso de tecnologías que les faciliten la labor o el acceso a la información, pero que no están autorizadas por el departamento de TI de la empresa. En este punto estamos ante el concepto de “shadow IT”, que hace referencia a los sistemas y soluciones tecnológicos que se utilizan en las organizaciones sin la autorización explícita de la empresa, algo que en los entornos móviles y cloud se da con bastante frecuencia.
En una organización moderna no va funcionar limitar el avance hacia la innovación, por ello, la solución está en aceptar con más frecuencia las nuevas soluciones y propuestas que agilicen el trabajo, siempre teniendo en cuenta las consecuencias para la seguridad y contemplando en la estrategia corporativa políticas que ayuden a reducir los riesgos. La movilidad y la seguridad no son una opción, sino una realidad obligatoria. Es lo mismo que ha ocurrido con BYOD, es decir, se debe dejar a los empleados utilizar los servicios, aplicaciones y dispositivos móviles que deseen, pero cerciorándose de que lo hacen de forma autorizada y con garantías de seguridad.
La gestión de datos móviles es una preocupación para las organizaciones, especialmente cuando hablamos de dispositivos móviles que están listos para acceder a datos almacenados en la nube. Los empleados quieren sincronizar y compartir la información, y tener la capacidad de colaborar con otros en esta tarea. Las organizaciones están luchando para determinar los niveles de privacidad aceptables en los dispositivos móviles, puesto que el malware móvil es uno de los peligros que más está creciendo y que más estragos está causando.
Es por ello por lo que esa visibilidad y control de todos los aspectos de la vida digital de los usuarios a los que anteriormente se hacía referencia son tan críticos. Una consola única, un solo directorio y una política se pueden aplicar a los usuarios finales y a los procesos haciendo más fácil la adopción de BYOD. Es posible desplegar y gestionar dispositivos móviles, apps móviles, recursos corporativos y datos empresariales respetando la privacidad de los usuarios y sin perjudicar a los empleados con software y procesos propietarios. Los beneficios serán múltiples para la empresa.
Movilidad empresarial: para gustos, colores
Miguel Peña, director de innovación de NTS
El mercado de la movilidad empresarial ha experimentado grandes cambios en los últimos años. Si bien inicialmente hablábamos de un marco de juego con un número de actores limitado, en el que destacaba la propuesta de BlackBerry (acaparó el protagonismo de este mercado gracias a valores como la calidad de su teclado, la duración de su batería, sus capacidades de gestión remota gracias a su servidor BES y su integración segura en la red corporativa), hoy en día estamos ante un mercado con múltiples propuestas, con el consiguiente dilema para las empresas.
El cambio de tendencia se produce alrededor del año 2007, con la entrada en escena del primer iPhone, y con él, de otras plataformas que comenzaron su andadura en el mercado de consumo pero que han conseguido hacerse un importante hueco en el segmento corporativo, modificando el panorama móvil corporativo, creando nuevas necesidades de servicios (como la gestión de dispositivos y el MDM) y desplazando a jugadores que, hasta el momento, habían ostentado el liderazgo de este mercado.
La irrupción de iOS y Android supuso un soplo de aire fresco a nivel de interfaz e interacción con el usuario, una nueva corriente en la usabilidad a la que BlackBerry no supo reaccionar. Los nuevos terminales con capacidades avanzadas de ejecución de aplicaciones, grandes pantallas táctiles y un ecosistema de apps desarrolladas por terceros, empezaron a consolidar su presencia en el mercado de consumo… y poco a poco en el corporativo. La cúpula directiva de las organizaciones empezó a rendirse a los nuevos terminales iPhone como icono de status, pues para entonces los dispositivos BlackBerry ya habían colapsado el mercado de consumo, y poseer este terminal ya no era un símbolo diferencial ni distintivo. A este hecho, le siguieron el aterrizaje de los tablets y el posicionamiento del iPad como una herramienta de trabajo útil.La respuesta de BlackBerry ante este nuevo escenario se basó en un empeño por seguir aferrándose a la superioridad del teclado físico frente al virtual. Pero la ausencia de una estrategia de más calado, precipitó su pérdida de protagonismo en el mundo empresarial, a pesar de tener una solución técnica potente y eficiente para este mercado.
Según las últimas cifras publicadas por IDC, BlackBerry acapara actualmente – aunque sigue en clara tendencia descendente- el 20% del mercado de empresa, apoyándose en su seguridad y facilidad de gestión para los departamentos de TI, frente al casi 50% de iOS (incluyendo iPhone e iPad) y el 25% de Android. Y eso que, en el caso de este último, destaca la falta de tablets sobre esta plataforma pese a la abundante oferta comercial. La razón estriba en que una gran parte de los tablets Android vendidos son el “Kindle Fire” de Amazon, sin aplicación alguna en el mundo empresarial. Windows Phone, por su parte, no llega al 1% debido a su clara orientación hacia el mercado de consumo. Incluso aunque ahora empieza a cambiar esto, otros productos de Microsoft como sus tablets con Windows RT que tienen la mayor orientación de su segmento al mundo corporativo no logran alcanzar grandes cuotas, por lo que la presencia de la firma de Redmond es casi testimonial.
En este panorama tan cambiante y heterogéneo, a las empresas se les presenta el dilema de hacia dónde dirigir su estrategia de movilidad corporativa, teniendo en cuenta que, a la vista de la inquietud que suscita el incierto futuro de algunos fabricantes, las inversiones que se realicen han de garantizar la continuidad del servicio a medio y largo plazo. Aunque cualquier predicción que podamos hacer no pasará de ser un vaticinio, podemos pensar en un posible futuro escenario marcado por las siguientes tendencias:
iOS. En el mercado corporativo tendrá que esforzarse por no perder el dominio que actualmente posee en el segmento tablet. Se espera un estancamiento de su cuota en torno al 40%, con pequeñas variaciones cíclicas que suelen coincidir con el lanzamiento de sus productos.
Android: Marca una clara tendencia de crecimiento aunque los expertos auguran que su ciclo parece próximo a agotarse debido a varios factores. Por un lado, para seguir creciendo tendría que arañar cuota a iOS, lo que a día de hoy se antoja cuanto menos complicado ya que, pese a contar con terminales de alta gama, Android no se asocia al segmento Premium, al menos en el mercado corporativo. Si bien es cierto que tiene más recorrido en el mercado de tablets que en el de móvil, su techo está alrededor del 40% ó 45%.
BlackBerry: La falta de terminales le ha costado su hegemonía en el mercado y, pese a que ya cuenta con una buena oferta de dispositivos BlackBerry 10 en gama media y alta, todo parece indicar que seguirá perdiendo cuota debido al daño que ha provocado en su imagen los últimos virajes en su estrategia corporativa. A esto hay que añadir además el hecho de que las aplicaciones desarrolladas para BlackBerry 7 no sean compatibles con BlackBerry 10, lo que ‘exige’ a las compañías una migración que abre la puerta a otros sistemas. Por otro lado, el hecho de que su oferta no contemple la propuesta de tablet, con cada día más adeptos en el segmento corporativo, es otro punto en contra. Aún así, un buen ritmo de lanzamiento de terminales (aunque inferiores a las previsiones, sus cifras de venta son de 1 millón de dispositivos/mes) y la decisión de la compañía de hacer sus soluciones compatibles con iOS y Android, con el objetivo de dar respuesta a un entorno que camina hacia la heterogeneidad, debería permitirle detener e incluso invertir esta tendencia en el medio plazo.
Windows Phone: En general su cuota es residual en el mercado corporativo salvo quizá en el segmento de tabletas. Presenta un fuerte crecimiento en mercado consumo pero por ahora para la mayoría de las empresas no es una opción a considerar, salvo quizás en estrategias BYOD.
Otros: Hay una cuota de mercado de hasta un 15% potencial que puede ser cubierta por otros sistemas operativos. La inquietud de los fabricantes por el monopolio de Google a través de Android y el encarecimiento de los dispositivos que ha llevado a la práctica desaparición de terminales low-cost están impulsando la aparición de nuevas iniciativas como Bada, Tizen, Firefox OS o Ubuntu mobile. Aunque actualmente no tienen mercado, destaca el potencial de Firefox OS para llegar al mercado corporativo con terminales de muy bajo precio que pueden ser una respuesta a las necesidades de colectivos que trabajan en campo.
Las opciones son múltiples, y lejos queda ya que volvamos a encontrar un escenario dominado por una sola marca. En esta tesitura, serán los propios interesados los que deberán analizar cuáles son sus necesidades de movilidad actuales, pero también futuras, teniendo además en cuenta que, ante la diversidad de opciones que ofrece el mercado, apostar por una estrategia multiplataforma, con diferentes sistemas móviles conviviendo simultáneamente en los distintos colectivos de la organización, puede ser la clave que garantice el éxito e implicará decisiones no sólo relacionadas con la migración a nuevos sistemas, sino también con la implantación de políticas y soluciones de gestión de dispositivos (Mobile Device Management) con las que ‘orquestar’ el parque móvil resultante de forma unificada reduciendo así los costes de TI.
