• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?
 

Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?

on

  • 345 views

Sebastián Bortnik, Gerente de Educación y Servicios de ESET Latinoamérica.

Sebastián Bortnik, Gerente de Educación y Servicios de ESET Latinoamérica.
13° Congreso Internacional de Tecnología para el Negocio Financiero

Statistics

Views

Total Views
345
Views on SlideShare
342
Embed Views
3

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 3

http://server1 3

Accessibility

Categories

Upload Details

Uploaded via SlideShare as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales? Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales? Document Transcript

    • Los dispositivos personales en el trabajo son una fuente de preocupación para las empresasdesde el punto de vista de la seguridad.Buena parte de la información de la empresa reside ahora en dispositivos que son propiedad desus empleados.Los atacantes persiguen fines económicos concretos, porque en los dispositivos móviles hayinformación valiosa.La información personal se mezcló con la corporativa.Robo de fotos y documentos, utilización de crédito y acceso a cuentas bancarias son los riesgosmás importantes.El 82% de las personas usa sus dispositivos personales con fines laborales.Los usuarios utilizan sus dispositivos para conectarse a la red interna, el más riesgoso de losusos. La segunda más común es el acceso a correos corporativos. La más grave de todas es elalojamiento de información sensible.La solución no es sencilla, y no se reduce a dejar usar los dispositivos personales o no.La prohibición sin control no tiene sentido. La autorización para usar dispositivos personales singestión, tampoco.Gerente de Educación y Servicios para Latinoamérica de la empresa ESET, dedicada al desarrollo, investigación ycomercialización de soluciones de protección antivirus y seguridad informática.Anteriormente, se desempeñó como Jefe de Sistemas en una empresa de telecomunicaciones y posteriormente fueconsultor y especialista de seguridad de una empresa dedicada a infraestructura y sistemas informáticos.Posee la certificación CISM (Certified Information Security Manager) otorgada por ISACA además de especializaciones enredes (CISCO CCNA) y seguridad de la información.El ejecutivo tiene bajo su responsabilidad supervisar el trabajo de investigación realizado por el Laboratorio de lacompañía, para conocer las tendencias sobre seguridad y ataques informáticos. Además, tiene la labor de llevar adelantela concientización en seguridad informática que la empresa desarrolla.LAS IDEAS PRINCIPALESLAS IDEAS PRINCIPALESACERCA DEL DISERTANTEBRING YOUR OWN DESTRUCTION:¿QUÉ HACEMOS CON LOS DISPOSITIVOS PERSONALES?Sebastián BortnikGerente de Educación y Serviciosde ESET LatinoaméricaGentileza de
    • Hoy quiero compartir el resultado de las experiencias que hemos atravesado enlos últimos años en el área de Educación y Servicios de ESET Latinoamérica. A partirdel ingreso de las nuevas tecnologías móviles en diferentes ámbitos de nuestra vida,hemos podido verificar una preocupación creciente en varias empresas a partir deluso de los dispositivos personales de empleados en el trabajo.En términos de seguridad, nos preguntamos entonces: ¿qué hacemos con losteléfonos personales en el trabajo?Tenemos que partir de la base que existen riesgosy amenazas en este tipo de usos. Constantemente, surgen incidentes de seguridad yse realizan ataques contra las tecnologías que usamos.¿Por qué nos atacan? En los últimos cinco años, ha cambiado mucho la forma en laque utilizamos nuestros dispositivos móviles. Ahora, allí hay más información valiosapara los atacantes. De aquí que el atacante no ataque porque sí o por mero placer. Loque motoriza el ataque es una intención de lucro.A partir de esto, la primera pregunta que nos tenemos que hacer es la siguiente:¿en los dispositivos personales de los empleados, hay información que nos intereseproteger?El problema surge cuando la información personal de los móviles de nuestrosempleados se mezcla con la información corporativa. Ahí se inicia el problema.de información. Es un problema grave que preocupa mucho a la gente de seguridad.¿Cuáles son los riesgos de mezclar información personal y corporativa? En primerlugar,elrobodeinformaciónquetengavalorparalaorganización,yaseanfotografías,prototipos, diseños o documentos. Si los empleados se llevan esta información a suscasas, puede haber un mayor riesgo de robo de propiedad intelectual. En segundolugar,lautilizacióndelcréditoydecredencialesdeacceso,esdecir,elaccesoacuentasbancarias y de contraseñas.Es un hecho que el 82% de los empleados utiliza sus dispositivos personales con fineslaborales, es decir, 8 de cada 10 usuarios no utiliza los recursos de la empresa. ¿Porqué ocurre esto? La primera respuesta señala un factor: la comodidad. Si tenemos dosteléfonos, vamos a usar el que nos sea más cómodo. Éste es el punto de partida delproblema: es más factible atacar el sistema personal que el corporativo, y el atacantesabe esto.Entonces, tenemos tres focos de conflicto: a) que el usuario utilice la red interna conun dispositivo que está afectado y contagie a los demás; b) la utilización de correoscorporativos por parte del usuario en lugares fuera del trabajo. c) La utilización deinformación sensible que puede ser atacada. Ésta es la más grave y aquí se puederesumir todo el conflicto.Entre las amenazas se cuentan el robo de información, el acceso a la red corporativa ylos robos. El 58% de las personas que encuestamos aseguraron que en los últimos dosaños les robaron al menos una vez un dispositivo personal. El 47% de las que se guíanpor la lógica del“bring your own device”tuvieron fugas de información.¿Qué podemos hacer? La seguridad de la información tiene una parte tecnológicay otra humana. Yo no puedo garantizar con la tecnología que no va a haber unincidente.A la hora de decidir qué hacer hay tres pasos: análisis de riesgo, definir posturas yordenar procesos. La más complicada es la del medio: yo puedo decidir que se puedeo no usar la notebook personal, pero la forma en que lo comunico a los empleados.Empecemos con el análisis de riesgo. Pirmero tenemos que clasificar informaciónpara valorar qué hay que proteger, qué es grave y qué no. Mucho más práctico queperseguir al usuario es perseguir a la información que no queremos que se filtre. Notiene sentido proteger todo, si sólo hay tres cosas que quiero proteger. Luego viene laaplicación de medidas de control.A partir del análisis de riesgo, tenemos que definir una postura. Elproblema es cuando esa postura se reduce a permitir o no permitir el“En los últimosaños empezóa crecer lapreocupaciónde los CIO’srespecto al uso delos dispositivospersonales en eltrabajo”.“Todos los díasnos encontramoscon nuevosataques deseguridad a losdispositivosmóviles”.“La primerapregunta quenos tenemos quehacer es si enlos dispositivosde nuestrosempleados hayinformaciónque deseamosproteger”.Lunes, 24 de Junio de 2013BRING YOUR OWN DESTRUCTION
    • bring your own device. Cuando lo permitimos, tenemos que acompañarese permiso con una gestión y cuando no lo permitimos, debe haber uncontrol de esa prohibición.No se trata de una cuestión de gustos o simplemente de negar o afirmarun uso. Cuando tomamos la decisión, ya sea por sí o por no, luego, esadecisión debe ser acompañada y sostenida. Y, sobre todo, no debemostener miedo de la decisión que tomemos.La gente del área de información suele solucionar las cosas contecnología, pero muchas veces esto no es suficiente. Es importanteordenar los procesos dentro de la empresa, es decir, cuáles serán laspolíticas de uso de los dispositivos, cómo será la conectividad dentro dela empresa (¿todos los dispositivos se conectan a la red corporativa?) , elmantenimiento y la seguridad. Podemos decirle al empleado que puedeutilizar ciertos dispositivos, pero tal vez no todos. Por supuesto, tododepende del contexto y de las necesidades y objetivos de la empresa.Luego, respecto del mantenimiento, si se permite la utilización delsoftware personal, hay que hacer un seguimiento. Es importante hacersecargo del problema. La mala noticia es que no podemos negar estasituación.Parael2015,seestimaquehabrá1300millonesdetrabajadoresmóviles. Son trabajadores que no van a venir a la empresa. Otro dato:en 2016, la mitad de los dispositivos móviles en las empresas serán delos empleados. Entonces, si no cambiamos la mentalidad, más adelantevamos a llegar muy tarde a un proceso inexorable.A veces la mejor forma de controlar, hasta de obtener el compromisode tu usuario, es ayudar al usuario a cumplir con las normas. Hay quetomar decisiones acordes con la realidad y acompañar las decisiones congestión. La línea que separa bring your own device de bring your owndestruction depende de nosotros.“Tenemosenormesdispositivos decontrol paraproteger nuestrosdatos y cualquierempleado seconecta a nuestrared sin ningunaposibilidad decontrol”.“Hicimos unaencuesta en laque el 82% delas personasconfirma que usasus dispositivospersonales confines laborales.”“Lo primero uqehay que hacer esdejar de leer notassobre bring yourown device si, ono. No importa sisepermite o no,importa comose gestiona ladecisión que setoma”.Lunes, 24 de Junio de 2013BRING YOUR OWN DESTRUCTION