La cantidad de dispositivos con que los usuarios se mueven en el día a dia comenzó a plantear interrogantes en el ámbito de las empresas. Si se debe cuidar la seguridad de la información en todos sus aspectos, ¿qué política debe aplicarse con los smartphones, las tablets, PCs portátiles y demás dispositivos que usan los empleados?

El tema está obligando a los gerentes de Sistemas a pensar en las estrategias a poner en marcha. Un 78% de los responsables del área de Informática permite a los empleados el uso de dispositivos personales para realizar su trabajo, según un informe de TrendMicro realizado entre 850 ejecutivos de ese sector a nivel global. Esto sucede pese a que el 50% de las firmas consultadas sufrió algún tipo de incidente que puso en riesgo la seguridad de la información o, directamente, provocó la pérdida de datos.

Las posturas parecen estar divididas en el mundo corporativo local. Según de qué tipo de empresa se trate, las autorizaciones para usar esos dispositivos dentro de la empresa son más o menos estrictas. En el punto donde sí parece haber coincidencias es en el cuidado de los dispositivos que son de la empresa, especialmente cuando deben conectarse a redes de terceros. En general, la política es que sólo se suban a la Red a través de los accesos 3G mediante claves y autorizaciones especialmente definidas y jamás hacerlo vía WiFi.

Las complicaciones parecen venir del lado de los dispositivos -tabletas, smartphones- que adquieren los empleados y que suelen ser utilizados para acceder a servicios de su empleador, como el correo electrónico o el sistema de CRM (Customer Relationship Management).

Sin problemas
Entre las empresas que no tienen inconvenientes en que los empleados traigan sus dispositivos se encuentra Despegar.com. “No es bueno como política prohibir que traigan sus equipos, y menos cuando estamos del lado del desarrollador a quien, por el contrario, le doy herramientas y ejercicios creativos para que avance en su actividad. En lo que hace a la seguridad informática, hay políticas vinculadas con el control de acceso. Los dispositivos de la empresa pueden ser llevados a su casa por los empleados para trabajar desde allí. A quien trae su propia computadora para trabajar en la empresa se le da una clave de acceso pero no tiene permisos para ingresar a áreas sensibles, como la base de datos y otra información crítica”, explicó a IT Business, Edgardo Sokolowicz, jefe de Tecnología de Despegar Argentina, empresa, que emplea a 3.800 a nivel regional.

Para el ejecutivo, restringir tiene sus costos, especialmente cuando se trata de una empresa de IT, cuya dinámica obliga a los empleados a estar familiarizados con ellos para poder desarrollar productos y servicios que interesen.

“Vemos que hay un alto grado de adopción de los dispositivos móviles en las empresas. Y como comportamiento se advierte que los trabajadores quieren tener acceso al correo de la empresa de manera remota. El problema es que no hay una política clara y establecida sobre el uso de equipos móviles. No se ha determinado aún cómo llevar las políticas existentes para la computadora de escritorio al mundo móvil. Otro de los problemas que se plantean se vincula con la presión que ejercen empleados jerárquicos con equipos más sofisticados (tabletas o smartphones de última generación) que necesitan que se les brinde soporte y diversos servicios”, sostiene Maximiliano Cittadini, especialista de Productos de la consultora EDSI Trend Argentina.

Hay cierta coincidencia en que la seguridad propia de la compañía debe estar protegida más allá de si a los empleados se les permite o no el ingreso de sus chiches tecnológicos. Por caso, en Softline se definieron políticas que abarcan dos ejes principales. Por un lado, el vinculado con el uso de los equipos de la empresa y, por el otro, el relativo al acceso a la información.

Respecto al primer punto, cuando se trata de trabajo remoto, como todos los empleados tienen notebooks, la política de la firma es que todos estos sean configurados por la empresa. Así se definen los permisos y autorizaciones, tanto para conectarse a una red como para acceder a determinadas áreas. Cabe recordar que la compañia cuenta con una plantilla de 1.900 trabajadores a nivel global.

“Sobre las estrategias para proteger la información hay dos pilares: el primero se relaciona con el acceso al dispositivo de información. Eso lo manejamos a través de políticas de identidad. En segundo lugar, fijamos medidas de seguridad perimetral, específicamente orientada hacia la seguridad de la información. Además de los antivirus que deben instalarse en computadoras y dispositivos móviles, se establecen permisos y autorizaciones vinculados con lo electrónico”, detalla Gustavo Rodríguez, director de servicios de Softline Argentina. En estos casos, se procede a realizar un resguardo remoto, especialmente en el caso de los móviles, que pueden perderse, además de otras decisiones relacionadas con los discos rígidos. “Para cierta información de la compañía, hay medidas claramente delimitadas para evitar que esos datos se impriman o se reenvíen”, subrayó Rodríguez.

Asícomo en Despegar y en Softline las políticas son abiertas y hay posibilidad de conectar equipos personales con determinado nivel de autorizaciones, en otras compañías las restricciones son mayores. “No permitimos la conexión de equipos personales a los sistemas de la empresa. Tampoco habilitamos las capacidades WiFi y/o Bluetooth de los dispositivos. Sólo se puede usar este tipo de conectividad con los equipos de la empresa porque consideramos que es la única manera de brindar servicios de manera segura", dice Eduardo Bolster, gerente de Servicios Informáticos de Manpower Group Argentina. La firma de reclutamiento de personal autorizaba hasta ahora, entre sus 750 empleados, sólo el uso de equipos BlackBerry para poder controlar la información. Hoy, evalúan qué otros smartphones podrían incorporarse, en base a la capacidad de filtrado que tengan. En lo que respecta a Android, se estudia la funcionalidad del Active Sync y filtrado, al igual que las posibilidades que ofrece la plataforma de Apple. Sin embargo, el ejecutivo insiste en que las conexiones Wi-Fi están completamente bloqueadas y el acceso a la red es exclusivo para los equipos habilitados. “No se restringe el acceso: pero se mantiene un control exhaustivo de los sistemas”, amplia.

Es interesante observar cómo se aborda el tema de la seguridad en las empresas dedicadas, justamente, a esa actividad. En ADT, la compañía que provee alarmas y soluciones de seguridad electrónica, la política vinculada al uso de teléfonos inteligentes “es limitada a fines estrictamente laborales. Los celulares son considerados una herramienta de trabajo y deben ser usados para eso, lo mismo en el caso de cualquier otro equipo IT”, comentaron desde la empresa. “Somos conscientes que la conectividad es cada vez mayor. Los límites no son claros por eso estamos hoy trabajando en un documento de uso interno para que todos los colaboradores estén al tanto de los alcances de estas herramientas”.

Para Cittadini, uno de los mayores desafíos dentro de las organizaciones consiste en que la mayoría de los smartphones, que utilizan los empleados, son comprados por ellos mismos. “Entonces, hay una disparidad de sistemas operativos y plataformas con las que se encuentra el administrador, quien no tiene las herramientas para gestionar este universo. Esto evidencia la falta de políticas claras sobre el uso de dispositivos móviles en los entornos empresariales. La única excepción es BlackBerry que, por haber nacido para el ámbito corporativo, tiene una política más definida para el ámbito de administración del equipo”, resume.

Gestión complicada
La ventaja que ofrece BlackBerry frente a las otras plataformas es que suelen ser terminales adquiridas por la propia compañía y, en ese marco, se puede forzar su seguridad. La seguridad se garantiza al poder encriptar los datos en caso de robo, al tiempo que, por medio de la red telefónica, se manda un comando para borrar ese teléfono del sistema. No ocurre lo mismo cuando, en el ámbito de la administración, aparecen dispositivos dotados de iOS (Apple), Android, o incluso Symbian (Nokia). Para contrarestar su diversidad, las empresas de seguridad tratan de brindar herramientas que logren universalizar esa administración.

“Los dispositivos con iOS y Android tienen capacidad para resguardar datos en casos de pérdida. La diferencia es que no hay herramientas del proveedor del hardware sino que son las empresas de seguridad que terminan proveyendo la solución”, concluye Cittadini.