¡Pilas! revise si el celular de su empresa puede ser una amenaza

por BBC Mundo

Con frecuencia, los empleados descargan aplicaciones que pueden representar un riesgo para la seguridad de su negocio.

¡Pilas! revise si el celular de su empresa puede ser una amenaza ¡Pilas! revise si el celular de su empresa puede ser una amenaza
;
BBC

¿Usted tiene idea de cuántas personas han descargado Pokemon Go en su celular del trabajo? Si usted fue uno de los que se aficionó al juego porque el departamento de tecnología de su empresa les permitió instalarlo en su dispositivo, la realidad es que muchas empresas no tienen ni idea de a qué se dedican sus empleados, o eso parece.

Por ejemplo, cuando la empresa especializada en ciberseguridad Imperva preguntó a uno de sus clientes bancarios cuántas apps creía que utilizaban sus empleados, la empresa calculó que entre 75 y 100 en total. El dato, en realidad, estaba más cerca de las 800.

Pero, ¿por qué es esto importante?

Las apps basadas en la nube con frecuencia tienen acceso a la cámara, la localización, los datos y los contactos de su teléfono. Así que nunca se sabe cuánta información sensible de la empresa se pueden estar llevando.

FP recomienda: La grave falla que afecta a los teléfonos Android y cómo saber si el suyo es vulnerable

Podría ser que esté dando las llaves de la puerta de atrás de su empresa a hackers, espías o estafadores, sobre todo si usa ingenuamente los mismos datos de ingreso para las apps externas que para las apps internas de la firma. “Es un problema crítico si no se sabe qué aplicaciones de terceros tienen acceso a sus datos”, dice Ryan Kalember, vicepresidente senior de estrategia de ciberseguridad en la empresa especializada Proofpoint.

Solo este año, empresas tecnológicas como LinkedIn, MySpace y Dropbox han sufrido grandes brechas de seguridad de datos. La empresa de seguridad Ponemon calcula que el coste promedio por cada una de ellas es de US$4 millones, o US$158 por registro robado.

Y dicha actitud despreocupada con las apps en el trabajo puede estar contribuyendo al problema, avisan los expertos. "Si la empresa no proporciona a los usuarios las herramientas que esperan para poder hacer su trabajo, las encontrarán por su cuenta", afirma Jon Huberman, ejecutivo jefe de la empresa para compartir de archivos Syncplicity. "Pero es un gran tema para la empresa, la fuga de datos es un gran problema".

Apps en la nube

Aunque apps como Slack, Evernote, Whatsapp y Dropbox pueden ayudarnos a hacer el trabajo diario de forma más eficiente, en la oficina y fuera de ella, con frecuencia no sabemos si han sido aprobadas por el departamento de tecnología o cuántos datos corporativos podemos estar compartiendo, queriendo o sin querer, con la nube.

"Los empleados no suelen pensar en la seguridad ni saben qué es y qué no es un dato sensible", argumenta Terry Ray, jefe de estrategia de producto de la empresa de ciberseguridad Imperva. "Y los riesgos de una brecha de datos se exacerban mucho por la existencia de la nube, aunque las apps basadas en ella, como la de Microsoft Office 365, son cada vez más populares porque reducen mucho los costes en tecnología de la información".

La preocupación es que estas apps de terceros pueden no tener robustos protocolos de seguridad porque fueron desarrolladas pensando sobre todo en los consumidores. Y los datos pueden estar almacenados en países extranjeros con leyes de protección de datos menos exigentes.

"La seguridad de las apps es el problema del que nadie habla", dice Cesare Garlati, jefe de seguridad estratégica en la Fundación Prpl, un organismo sin ánimo de lucro que promueve estándares de software de código abierto. "El software en la actualidad se ensambla, no se escribe. Los desarrolladores utilizan bibliotecas, de forma que no se sabe qué bits de un código defectuoso pueden estar escondidas en una app poniendo en peligro su seguridad",explica.

"La utilización del propio celular, tableta o computadora para el trabajo siempre ha sido una gran amenaza para el modelo de seguridad. Las empresas pierden la capacidad de controlar". Aunque las empresas hacen grandes esfuerzos para proteger información identificable personalmente, como los números de la seguridad social o de las tarjetas de crédito, es con frecuencia la información que parece inofensiva la que puede dar a los estafadores la munición para enviar un correo electrónico fraudulento (phishing) más creíble, por ejemplo, o una petición de un pago más plausible.

Otras amenazas

Muchas apps están también llenas de malware, otra amenaza para la seguridad corporativa.

"Muchas de estas apps están siendo monetizadas al vender información de los usuarios e intentando obtener fraudulentamente las credenciales bancarias", explica Kalember. "Muchas organizaciones han perdido dinero a través de estas apps de phishing que pretenden ser otra cosa, como el Flash Player o incluso una app de la Biblia, al permitir a gente de su departamento financiero acceder a las cuentas corporativas bancarias a través de aparatos móviles".

Y Huberman, de Syncplicity, apunta que si una empresa no sabe qué apps están utilizando sus empleados o qué datos se están compartiendo, esto es un problema cuando estos mismos empleados se van a otras empresas. "Todos esos datos se van con ellos", dice, "posiblemente a tus competidores". Y los programas de correo basados en la web pueden ser también arriesgados.

Siga leyendo: Las ventajas de la factura electrónica para su negocio

Antes de que a los médicos les dieran un ambiente seguro para compartir detalles confidenciales de los pacientes entre ellos, muchos usaban programas de e-mail abiertos como Gmail, rompiendo claramente las regulaciones de privacidad de datos, dice Huberman.

"Se dieron cuenta de esto pero su argumento era que necesitaban consultar con colegas para poder salvar vidas. Fuimos capaces de darles las herramientas adecuadas para compartir datos de forma segura en cualquier aparato sin saltarse las regulaciones".

Soluciones

Así que, ¿qué podrían hacer las empresas? Los consejos de los expertos son bastante consistentes y pueden resumirse en estos puntos:

  • Tener un programa de manejo de aparatos móviles que sea capaz de identificar las apps instaladas por los empleados y cómo son sus políticas de seguridad y privacidad
  • Asegurarse que todos los aparatos de la empresa están encriptados
  • Dejar claro a los trabajadores qué datos corporativos pueden o no ser compartidos con apps de terceros.
  • Monitorear a qué apps y a qué datos se está accediendo en las redes de la empresa.
  • Educar a los empleados para identificar comportamientos riesgosos y cómo darse cuenta de si reciben un correo electrónico fraudulento de phising.
  • Proporcionar las herramientas de productividad adecuadas para que no tengan la tentación de descargarse apps no aprobadas

También le puede interesar: CCB verificará identidad de sus usuarios con sistema biométrico

¿Tiene algo que decir? Comente

Para comentar este artículo usted debe ser un usuario registrado.