2. Conferencia:
Movilidad: Riesgo de seguridad para los
BYOD OR NOT… THAT
dispositivos móviles (BYOD)
IS THE QUESTION
B.Y.O.D. :
Bring
Your
Own
Device
“Traiga su propio
dispositivo”
3. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Agenda
• 1. Introducción
• 2. Impacto al Negocio
• 3. Preocupaciones de Riesgo, Seguridad y Privacidad
• 4. Estrategias para manejar los Riesgos a los
Dispositivos Móviles
• 5. Consideraciones de Gobierno de TI
• 7. Resumen y Conclusiones
4. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
ALGUNAS CIFRAS PARA INICIAR
• 25% de nuestros empleados
piensan que el esquema de
dispositivos móviles no tiene
implicaciones de seguridad
• 50% de nuestros empleadores
no comunican políticas sobre
mejores prácticas
relacionadas a la seguridad de
los dispositivos móviles de sus
empleados
• 75% de los usuarios de
teléfonos inteligentes no
utilizan software de seguridad
5. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
MÁS CIFRAS
• 62% de los usuarios de teléfonos
inteligentes no utilizan clave de
protección para asegurar sus
aparatos
• 65% de los usuarios de teléfonos
inteligentes tienen datos
corporativos en sus teléfonos
• 81% de los empleados admiten que
usan sus dispositivos para accesar la
red corporativa sin el conocimiento
o permiso de sus empleadores, de
ellos, 58% lo hace diariamente.
6. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
PARA TERMINAR CON LAS CIFRAS
• 75% de los empleadores admiten que accesan información que
puede considerarse sensitiva o confidencial.
• 50% de todos los usuarios de celulares mantienen claves,
información personal y detalles de sus tarjetas de crédito en sus
dispositivos.
• 70 millones de teléfonos inteligentes son perdidos cada año,
con una recuperación de tan solo el 7%
• 43% de todos los suscriptores de telefonía celular experimentan
daño, pérdida o robo de su dispositivo
• Fuentes: Forbes / Information Week / Symantec / Javelin /
Rudder Finn / Sophos / Avema / Trend Micro / Kensington /
FusionOne / WatchGuard / Lookout Security / Digital Trends /
Confident Technologies / Fiberlink
7. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Dispostivos Móviles !
• Teléfonos celulares con múltiples funciones al nivel de una
computadora personal o “teléfonos inteligentes”
• Laptops, “netbooks” y computadoras tipo tableta
• Asistentes Portátiles (PDAs)
• Dispositivos USB, usados como bancos de información (por
ejemplo documentos, fotos, mp3/4) o para conectividad (como
WiFi, Bluetooth® y HSDPA/UMTS/EDGE/GPRS modem cards)
• Cámaras Digitales
• Identificadores de Radio Frecuencia (RFID) and RFID móviles
(M-RFID) utilizados para guardar datos, identificación y manejo
de activos
• Dispositivos con Infra Rojo activo (IrDA) como impresoras y
tarjetas inteligentes
8. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Pueden Contener
• Información confidencial
• Datos obtenidos desde aplicaciones internas
• Información individual privada
(salud, finanzas, antecedentes)
• Correos
• Hojas de cálculo
• Propiedad intelectual
• Secretos industriales
• Información bajo
monitoreo regulatorio
9. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Conexiones
• Los dispositivos móviles
• Podrían utilizar redes inalámbricas
• Podrían proveer ingreso a aplicaciones corporativas
10. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Impacto Significativo al Negocio
• Correo enrutado através de teléfonos inteligentes
abre un gran canal de comunicación
• Laptops y Netbooks conectadas a la red corporativa
están presentes en todas las organizaciones
• Dispositivos RFID son ampliamente utilizados en el
transporte y manejo de material
• Dispositivos USB son utilizados para transportar
datos
11. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
El ambiente de negocios está cambiando
• Los dispositivos móviles se han vuelto indispensables
• Permiten a nuestros empleados estar conectados
todo el tiempo
• Permiten conducir las actividades de negocio en
cualquier lugar (hogar, oficina, viajando entre
destinos)
12. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Gartner (Importante firma de consultoría en IT)
“Para el 2013, los teléfonos celulares superarán a las
computadoras como el más común dispositivo para
accesar la web a nivel mundial.”
Fuente:
Gartner, www.gartner.com/it/page.jsp?id=1278413
13. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Gartner
• “Beneficios serán obenidos solamente si la
industria administra la tecnología
efectivamente tomando en cuenta ambos
factores, el valor y el riesgo”
Fuente: ISACA White Paper:Mobile Devices
14. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Riesgos para el Negocio
• Intercepción de Información genera un
incumpliento de protección de datos
sensitivos, reputación corporativa y adherencia a las
regulaciones legales y corporativas
• Propagación de código malicioso, lo cual puede
resultar en fuga o destrucción de datos, e
imposibilidad de accesar información requerida.
• Destrucción del dispositivo, intercepción de
llamadas y posible exposición de información
sensitiva
• Dispositivos perdidos o acceso no autorizado a
dispositivos no seguros permite la exposición de
datos sensitivos, resultando en un daño a la
corporación, sus clientes y empleados.
• Pérdida de datos sensitivos en caso de pérdida o
robo del dispositivo
15. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Riesgos y Problemas de Seguridad
• Dados los tipos de redes usan los dispositivos móviles que
crean amenazas a la pérdida de datos, los dispositivos
móviles no se libran del riesgo inherente.
• Irónicamente, muchos de los riesgos asociados con los
dispositivos móviles existen debido a su mayor ventaja: la
portabilidad.
• Los mismos dispositivos se pueden utilizar como una
plataforma para actividad maliciosa adicional.
• Existe la posibilidad de ataques en contra de dispositivos
técnicos mediante el uso de las vulnerabilidades en la
capa de comunicaciones.
16. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Vulnerabilidades / Amenazas / Riesgos
• Vulnerabilidad: La información viaja a través de redes
inalámbricas, las cuales son menos seguras que las
redes alámbricas.
• Amenaza: Personas externas con malas intenciones
pueden hacer daño a la corporación.
• Riesgo: Intercepción de Información genera un
incumpliento de protección de datos
sensitivos, reputación corporativa y adherencia a las
regulaciones legales y corporativas
17. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Vulnerabilidades / Amenazas / Riesgos
• Vulnerabilidad: La movilidad ofrece a los usuarios la
oportunidad de eliminar los límites físicos de la empresa y
por lo tanto elimina muchos controles de seguridad.
• Amenaza: Los dispositivos móviles cruzan las fronteras y
los perímetros de la red, llevando software malicioso que
puede filtrarse en la red de la empresa.
• Riesgo: la propagación de código malicioso, que puede
resultar en la fuga o corrupción de datos o y la falta de
disponibilidad de información requerida.
18. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Vulnerabilidades / Amenazas / Riesgos
• Vulnerabilidad: La tecnología Bluetooth es muy
conveniente para muchos usuarios al permitirles
tener conversaciones con manos libres, sin
embargo, a menudo se deja encendido y con
posibilidad de ser detectado.
• Amenaza: Los hackers pueden detectar el dispositivo
y lanzar un ataque.
• Riesgo: La corrupción de dispositivos, la pérdida de
datos, la interceptación de llamadas, la posible
exposición de información confidencial.
19. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Vulnerabilidades / Amenazas / Riesgos
• Vulnerabilidad: La información no cifrada se
almacena en el dispositivo.
• Amenaza: En el caso de que un extraño malicioso
intercepte los datos en tránsito o robe un
dispositivo, o si el empleado pierde el dispositivo, los
datos son legibles y utilizables.
• Riesgo: La exposición de datos sensibles, resultando
en daños a la empresa, clientes o empleados.
20. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Vulnerabilidades / Amenazas / Riesgos
• Vulnerabilidad: Los datos perdidos pueden afectar la
productividad del empleado.
• Amenaza: Los dispositivos móviles pueden perderse o
ser robados, debido a su portabilidad. Los datos
sobre estos dispositivos no siempre poseen una copia
de seguridad.
• Riesgo: Los trabajadores que dependen de los
dispositivos móviles que no pueden trabajar en el
caso de dispositivos rotos, perdidos o robados y
datos que no están respaldados.
21. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Vulnerabilidades / Amenazas / Riesgos
• Vulnerabilidad: El dispositivo no tiene los requisitos
de autenticación aplicados.
• Amenaza: En el caso de que el dispositivo se pierde o
es robado, los intrusos pueden acceder al dispositivo
y todos sus datos.
• Riesgo: Los datos de la exposición, pueden resultar
en daño a la empresa y acarrear responsabilidades
legales y/o contractuales.
22. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Vulnerabilidades / Amenazas / Riesgos
• Vulnerabilidad: La empresa no es dueña ni responsable
por el dispositivo.
• Amenaza: Si no existe ninguna estrategia para dispositivos
móviles, los empleados pueden optar por llevar por
cuenta propia dispositivos inseguros. Aunque estos
dispositivos no pueden conectarse a la red privada virtual
(VPN), ellos pueden interactuar con el correo electrónico
o almacenar documentos sensibles.
• Riesgo: Fuga de datos, la propagación de código
malicioso, pérdida de datos irrecuperables en el caso de
pérdida o robo del dispositivo.
23. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Vulnerabilidades / Amenazas / Riesgos
• Vulnerabilidad: El dispositivo permite la instalación
de aplicaciones de terceros no autenticadas.
• Amenaza: Las aplicaciones pueden contener código
malicioso que propaga a troyanos o virus, las
aplicaciones también puede transformar el
dispositivo en una puerta de entrada para los
externos maliciosos penetren en la red de la
empresa.
• Riesgo: Propagación de código malicioso, fuga de
datos, la intrusión en redes empresariales
24. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
PARA HACER FRENTE A LOS RIESGOS
• Crear una estrategia para
dispositivos móviles ayudará a
asegurar que los riesgos se tienen
en cuenta y que son manejados
apropiadamente.
• Dicha estrategia debe ser
documentada apropiadamente
(asociada con políticas y
estándares) y debe ser
desarrollada con la participación
de todas las partes interesadas.
25. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Asuntos a Considerar
• La definición de dispositivos permitidos
• Definir la naturaleza de los servicios
• Identificar la forma de utilizar los
dispositivos
• La integración de todos los dispositivos
brindados por la empresa en un
programa de gestión de activos
• Al describir el tipo de autenticación y
cifrado que debe estar presente
• Al esbozar las tareas para las cuales los
empleados pueden usar los dispositivos
y los tipos de aplicaciones permitidas
• Aclarar procedimientos para almacenar
y transmitir los datos de forma segura
26. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Política
• Ejecutable sobre variados tipos de
dispositivos
• Gestionada de manera central por la
empresa
• Fácil de implementar y soportar
• Flexible para la administración de usuarios y
dispositivos
• Centrado en dificultar la pérdida o robo
• Auditable en todas sus partes
• Probado y comprobado en su respuesta a
desastres
• Que contemple todas las posibles amenazas
externas
27. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Salvaguardias
• Autenticación de Usuarios
• Aplicación e integridad de la plataforma
• Confidencialidad de los datos
• Dispositivos confiables
28. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Estrategias para hacer frente a los riesgos
• Implementar una consola de administración central
para el dispositivo de control remoto, es
decir, seguimiento de la ubicación, limpieza de
datos, cambio de contraseña o autenticación fuerte
de usuarios.
• Asegúrese de que los dispositivos móviles están
cifrados para que la información no se pueda utilizar
en caso de pérdida o robo.
29. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Estrategias para hacer frente a los riesgos
• Obtener visibilidad de todos los dispositivos
conectados a la infraestructura.
• Reforzar la política corporativa para los dispositivos
estándar
30. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Estrategias para hacer
frente a los riesgos
• Establecer una
plataforma cruzada de
gestión centralizada los
administradores de
dispositivos móviles.
• Prestar apoyo a los
distintos dispositivos
31. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Estrategias para hacer frente a los riesgos
• Proveer la seguridad apropiada a los sistemas que
son accesados con autorización, encripción y control
de privilegios
• Controlar el flujo de datos entre los múltiples
dispositivos
32. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Estrategias para hacer frente a los riesgos
• Monitorear y restringir la transferencia de datos a
dispositivos manuales o dispositivos de
almacenamiento temporal desde una consola única y
centralizada.
• Prevenir que los datos sean sincronizados en
dispositivos móviles sin autorizacion
33. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Estrategias para hacer
frente a los riesgos
• Crear conciencia en los
usuarios
interesados acerca los
activos de
información, los
riesgos y el valor para
la empresa.
• Mantenerse al día con
el uso de los
dispositivos más
recientes
34. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Estrategias para hacer frente a los riesgos
• Seguimiento de la forma en dispositivos se utilizan, y
proporcionar información periódica a la gerencia.
• Promover la rendición de cuentas, responsabilidad y
transparencia con el uso de dispositivos
35. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
Estrategias para hacer frente
a los riesgos
• Implementar una consola
de administración central
para gestionar todas las
fases de gestión de
activos, desde la instalación
hasta su retiro definitivo.
• Demostración de
cumplimiento de la
normativa
36. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
CONSIDERACIONES DE GOBIERNO DE TI
• "Para garantizar que la introducción de los
dispositivos móviles de una empresa van acordes a la
estrategia corporativa y los objetivos, es
imprescindible utilizar un marco probado tal como
COBIT".
"Marcos tales como COBIT y los riesgos de TI pueden
proporcionar una base sólida para la gestión de la
tecnología
37. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
CONCLUSIÓN
• Las empresas que han estado
considerando el uso de dispositivos de
cómputo móviles de su entorno deben calcular los
beneficios que la tecnología
pueden ofrecer ellos y los riesgos adicionales asociados.
• Una vez que los beneficios y los riesgos se clarifican, las
empresas deben utilizar un marco de gobierno para
asegurar que el proceso y cambios en las políticas se
implementan y se comprenden, y que los niveles
apropiados de seguridad se aplican para evitar la
pérdida de datos.
38. Conferencia:
Movilidad: Riesgo de seguridad para los
dispositivos móviles (BYOD)
• "Los dispositivos móviles
tienen el potencial para
convertirse en la mayor
amenaza para la fuga de
información confidencial."