Bring Your Own Device - Risks and opportunities

MOVILIDAD: RIESGO DE SEGURIDAD PARA LOS DISPOSITIVOS MÓVILES (BYOD)

Daniel Morales, CISA

Conferencia: Movilidad: Riesgo de seguridad para los

dispositivos móviles (BYOD)

B.Y.O.D. :

BringYourOwnDevice

“Traiga su propio dispositivo”

BYOD OR NOT… THAT IS THE QUESTION



Agenda• 1. Introducción• 2. Impacto al Negocio• 3. Preocupaciones de Riesgo, Seguridad y Privacidad• 4. Estrategias para manejar los Riesgos a los

Dispositivos Móviles• 5. Consideraciones de Gobierno de TI• 7. Resumen y Conclusiones



ALGUNAS CIFRAS PARA INICIAR• 25% de nuestros empleados

piensan que el esquema de dispositivos móviles no tiene implicaciones de seguridad

• 50% de nuestros empleadores no comunican políticas sobre mejores prácticas relacionadas a la seguridad de los dispositivos móviles de sus empleados

• 75% de los usuarios de teléfonos inteligentes no utilizan software de seguridad



MÁS CIFRAS• 62% de los usuarios de teléfonos

inteligentes no utilizan clave de protección para asegurar sus aparatos

• 65% de los usuarios de teléfonos inteligentes tienen datos corporativos en sus teléfonos

• 81% de los empleados admiten que usan sus dispositivos para accesar la red corporativa sin el conocimiento o permiso de sus empleadores, de ellos, 58% lo hace diariamente.



PARA TERMINAR CON LAS CIFRAS• 75% de los empleadores admiten que accesan información que

puede considerarse sensitiva o confidencial.• 50% de todos los usuarios de celulares mantienen claves,

información personal y detalles de sus tarjetas de crédito en sus dispositivos.

• 70 millones de teléfonos inteligentes son perdidos cada año, con una recuperación de tan solo el 7%

• 43% de todos los suscriptores de telefonía celular experimentan daño, pérdida o robo de su dispositivo

• Fuentes: Forbes / Information Week / Symantec / Javelin / Rudder Finn / Sophos / Avema / Trend Micro / Kensington / FusionOne / WatchGuard / Lookout Security / Digital Trends / Confident Technologies / Fiberlink



Dispostivos Móviles !• Teléfonos celulares con múltiples funciones al nivel de una

computadora personal o “teléfonos inteligentes”• Laptops, “netbooks” y computadoras tipo tableta• Asistentes Portátiles (PDAs)• Dispositivos USB, usados como bancos de información (por ejemplo

documentos, fotos, mp3/4) o para conectividad (como WiFi, Bluetooth® y HSDPA/UMTS/EDGE/GPRS modem cards)

• Cámaras Digitales• Identificadores de Radio Frecuencia (RFID) and RFID móviles (M-RFID)

utilizados para guardar datos, identificación y manejo de activos• Dispositivos con Infra Rojo activo (IrDA) como impresoras y tarjetas

inteligentes



Pueden Contener• Información confidencial• Datos obtenidos desde aplicaciones internas• Información individual privada (salud, finanzas,

antecedentes)• Correos• Hojas de cálculo• Propiedad intelectual• Secretos industriales• Información bajo monitoreo regulatorio



Conexiones• Los dispositivos móviles• Podrían utilizar redes inalámbricas• Podrían proveer ingreso a aplicaciones corporativas



Impacto Significativo al Negocio• Correo enrutado através de teléfonos inteligentes

abre un gran canal de comunicación• Laptops y Netbooks conectadas a la red corporativa

están presentes en todas las organizaciones• Dispositivos RFID son ampliamente utilizados en el

transporte y manejo de material• Dispositivos USB son utilizados para transportar

datos



El ambiente de negocios está cambiando• Los dispositivos móviles se han vuelto indispensables• Permiten a nuestros empleados estar conectados

todo el tiempo• Permiten conducir las actividades de negocio en

cualquier lugar (hogar, oficina, viajando entre destinos)



Gartner (Importante firma de consultoría en IT)

“Para el 2013, los teléfonos celulares superarán a las computadoras como el más común dispositivo para accesar la web a nivel mundial.”

Fuente: Gartner, www.gartner.com/it/page.jsp?id=1278413



Gartner• “Beneficios serán obenidos solamente si la

industria administra la tecnología efectivamente tomando en cuenta ambos factores, el valor y el riesgo”

Fuente: ISACA White Paper:Mobile Devices



Riesgos para el Negocio• Intercepción de Información genera un incumpliento

de protección de datos sensitivos, reputación corporativa y adherencia a las regulaciones legales y corporativas

• Propagación de código malicioso, lo cual puede resultar en fuga o destrucción de datos, e imposibilidad de accesar información requerida.

• Destrucción del dispositivo, intercepción de llamadas y posible exposición de información sensitiva

• Dispositivos perdidos o acceso no autorizado a dispositivos no seguros permite la exposición de datos sensitivos, resultando en un daño a la corporación, sus clientes y empleados.

• Pérdida de datos sensitivos en caso de pérdida o robo del dispositivo



Riesgos y Problemas de Seguridad• Dados los tipos de redes usan los dispositivos móviles que

crean amenazas a la pérdida de datos, los dispositivos móviles no se libran del riesgo inherente.

• Irónicamente, muchos de los riesgos asociados con los dispositivos móviles existen debido a su mayor ventaja: la portabilidad.

• Los mismos dispositivos se pueden utilizar como una plataforma para actividad maliciosa adicional.

• Existe la posibilidad de ataques en contra de dispositivos técnicos mediante el uso de las vulnerabilidades en la capa de comunicaciones.



Vulnerabilidades / Amenazas / Riesgos• Vulnerabilidad: La información viaja a través de redes

inalámbricas, las cuales son menos seguras que las redes alámbricas.

• Amenaza: Personas externas con malas intenciones pueden hacer daño a la corporación.

• Riesgo: Intercepción de Información genera un incumpliento de protección de datos sensitivos, reputación corporativa y adherencia a las regulaciones legales y corporativas



Vulnerabilidades / Amenazas / Riesgos• Vulnerabilidad: La movilidad ofrece a los usuarios la

oportunidad de eliminar los límites físicos de la empresa y por lo tanto elimina muchos controles de seguridad.

• Amenaza: Los dispositivos móviles cruzan las fronteras y los perímetros de la red, llevando software malicioso que puede filtrarse en la red de la empresa.

• Riesgo: la propagación de código malicioso, que puede resultar en la fuga o corrupción de datos o y la falta de disponibilidad de información requerida.



Vulnerabilidades / Amenazas / Riesgos• Vulnerabilidad: La tecnología Bluetooth es muy

conveniente para muchos usuarios al permitirles tener conversaciones con manos libres, sin embargo, a menudo se deja encendido y con posibilidad de ser detectado.

• Amenaza: Los hackers pueden detectar el dispositivo y lanzar un ataque.

• Riesgo: La corrupción de dispositivos, la pérdida de datos, la interceptación de llamadas, la posible exposición de información confidencial.



Vulnerabilidades / Amenazas / Riesgos• Vulnerabilidad: La información no cifrada se

almacena en el dispositivo.• Amenaza: En el caso de que un extraño malicioso

intercepte los datos en tránsito o robe un dispositivo, o si el empleado pierde el dispositivo, los datos son legibles y utilizables.

• Riesgo: La exposición de datos sensibles, resultando en daños a la empresa, clientes o empleados.



Vulnerabilidades / Amenazas / Riesgos• Vulnerabilidad: Los datos perdidos pueden afectar la

productividad del empleado.• Amenaza: Los dispositivos móviles pueden perderse

o ser robados, debido a su portabilidad. Los datos sobre estos dispositivos no siempre poseen una copia de seguridad.

• Riesgo: Los trabajadores que dependen de los dispositivos móviles que no pueden trabajar en el caso de dispositivos rotos, perdidos o robados y datos que no están respaldados.



Vulnerabilidades / Amenazas / Riesgos• Vulnerabilidad: El dispositivo no tiene los requisitos

de autenticación aplicados.• Amenaza: En el caso de que el dispositivo se pierde o

es robado, los intrusos pueden acceder al dispositivo y todos sus datos.

• Riesgo: Los datos de la exposición, pueden resultar en daño a la empresa y acarrear responsabilidades legales y/o contractuales.



Vulnerabilidades / Amenazas / Riesgos• Vulnerabilidad: La empresa no es dueña ni responsable por

el dispositivo.• Amenaza: Si no existe ninguna estrategia para dispositivos

móviles, los empleados pueden optar por llevar por cuenta propia dispositivos inseguros. Aunque estos dispositivos no pueden conectarse a la red privada virtual (VPN), ellos pueden interactuar con el correo electrónico o almacenar documentos sensibles.

• Riesgo: Fuga de datos, la propagación de código malicioso, pérdida de datos irrecuperables en el caso de pérdida o robo del dispositivo.



Vulnerabilidades / Amenazas / Riesgos• Vulnerabilidad: El dispositivo permite la instalación

de aplicaciones de terceros no autenticadas.• Amenaza: Las aplicaciones pueden contener código

malicioso que propaga a troyanos o virus, las aplicaciones también puede transformar el dispositivo en una puerta de entrada para los externos maliciosos penetren en la red de la empresa.

• Riesgo: Propagación de código malicioso, fuga de datos, la intrusión en redes empresariales



PARA HACER FRENTE A LOS RIESGOS

• Crear una estrategia para dispositivos móviles ayudará a asegurar que los riesgos se tienen en cuenta y que son manejados apropiadamente.

• Dicha estrategia debe ser documentada apropiadamente (asociada con políticas y estándares) y debe ser desarrollada con la participación de todas las partes interesadas.



Asuntos a Considerar• La definición de dispositivos permitidos• Definir la naturaleza de los servicios• Identificar la forma de utilizar los

dispositivos• La integración de todos los dispositivos

brindados por la empresa en un programa de gestión de activos

• Al describir el tipo de autenticación y cifrado que debe estar presente

• Al esbozar las tareas para las cuales los empleados pueden usar los dispositivos y los tipos de aplicaciones permitidas

• Aclarar procedimientos para almacenar y transmitir los datos de forma segura



Política• Ejecutable sobre variados tipos de

dispositivos• Gestionada de manera central por la

empresa• Fácil de implementar y soportar• Flexible para la administración de usuarios y

dispositivos• Centrado en dificultar la pérdida o robo• Auditable en todas sus partes• Probado y comprobado en su respuesta a

desastres• Que contemple todas las posibles amenazas

externas



Salvaguardias• Autenticación de Usuarios• Aplicación e integridad de la plataforma• Confidencialidad de los datos• Dispositivos confiables



Estrategias para hacer frente a los riesgos• Implementar una consola de administración central

para el dispositivo de control remoto, es decir, seguimiento de la ubicación, limpieza de datos, cambio de contraseña o autenticación fuerte de usuarios.

• Asegúrese de que los dispositivos móviles están cifrados para que la información no se pueda utilizar en caso de pérdida o robo.



Estrategias para hacer frente a los riesgos• Obtener visibilidad de todos los dispositivos

conectados a la infraestructura.• Reforzar la política corporativa para los dispositivos

estándar



Estrategias para hacer frente a los riesgos

• Establecer una plataforma cruzada de gestión centralizada los administradores de dispositivos móviles.

• Prestar apoyo a los distintos dispositivos



Estrategias para hacer frente a los riesgos• Proveer la seguridad apropiada a los sistemas que

son accesados con autorización, encripción y control de privilegios

• Controlar el flujo de datos entre los múltiples dispositivos



Estrategias para hacer frente a los riesgos• Monitorear y restringir la transferencia de datos a

dispositivos manuales o dispositivos de almacenamiento temporal desde una consola única y centralizada.

• Prevenir que los datos sean sincronizados en dispositivos móviles sin autorizacion




• Crear conciencia en los usuarios interesados acerca los activos de información, los riesgos y el valor para la empresa.

• Mantenerse al día con el uso de los dispositivos más recientes



Estrategias para hacer frente a los riesgos• Seguimiento de la forma en dispositivos se utilizan, y

proporcionar información periódica a la gerencia.• Promover la rendición de cuentas, responsabilidad y

transparencia con el uso de dispositivos




• Implementar una consola de administración central para gestionar todas las fases de gestión de activos, desde la instalación hasta su retiro definitivo.

• Demostración de cumplimiento de la normativa



CONSIDERACIONES DE GOBIERNO DE TI• "Para garantizar que la introducción de los

dispositivos móviles de una empresa van acordes a la estrategia corporativa y los objetivos, es imprescindible utilizar un marco probado tal como COBIT"."Marcos tales como COBIT y los riesgos de TI pueden proporcionar una base sólida para la gestión de la tecnología



CONCLUSIÓN• Las empresas que han estado

considerando el uso de dispositivos de cómputo móviles de su entorno deben calcular los beneficios que la tecnologíapueden ofrecer ellos y los riesgos adicionales asociados.

• Una vez que los beneficios y los riesgos se clarifican, las empresas deben utilizar un marco de gobierno para asegurar que el proceso y cambios en las políticas se implementan y se comprenden, y que los niveles apropiados de seguridad se aplican para evitar la pérdida de datos.



• "Los dispositivos móviles tienen el potencial para convertirse en la mayor amenaza para la fuga de información confidencial."

Documents

Bring Your Own Device - Risks and opportunities