Cada vez con mayor intensidad los usuarios en todo el mundo están presionando a sus organizaciones para que les permitan utilizar sus propios teléfonos inteligentes y tablets para acceder a datos y aplicaciones corporativas. La respuesta ha sido muy variada, unas lo autorizan e incluso apoyan financieramente a los empleados, mientras que otras lo prohíben rotundamente. Las que adoptan la segunda posición (de restricción) argumentan los riesgos de seguridad como la principal razón de su negativa. En este artículo analizaré el fenómeno que genéricamente se ha llamado BYOD (por las siglas en inglés de Bring Your Own Device, que se traduce como “trae tu propio dispositivo”) así como los argumentos a favor y en contra, para terminar con algunas recomendaciones concretas al personal encargado de la seguridad.

El caso de Chanchis

Chanchis, empleada en una empresa financiera, está francamente molesta el día de hoy. Hace unos días, y después de ahorrar algunas quincenas, compró su nuevo iPad. Muy orgullosa llegó a su casa y empezó a bajar algunas aplicaciones de Internet. Le habían recomendado dos que le podrían servir para el trabajo: una para llevar anotaciones y otra para coordinación de proyectos. Al día siguiente llegó a su lugar de trabajo, configuró su nuevo dispositivo para conectarse a la red corporativa y empezó a jugar (perdón, a trabajar) con sus nuevas aplicaciones, comprobando lo fácil y útiles que resultan. Pero hoy, cuando acudió al área de sistemas pues no podía imprimir desde la red, Cuco, el encargado de seguridad, le dijo que no estaba permitido usar ese tipo de dispositivos en la red corporativa y le enseñó una nueva política al respecto (que, por supuesto, Chanchis no conocía).  Ella argumentó que con el iPad sería más productiva para la empresa y que, incluso, estaba pensando ya no ocupar su PC de escritorio con lo cual la organización podría tener un ahorro, pero todo fue en vano. Cuco se limitaba a repetir “la política es muy clara. No se puede conectar a la red ningún dispositivo que no esté específicamente autorizado”.

El escenario anterior resume las dos posturas que cada  día se enfrentan más y más: por un lado los usuarios que quieren ser más productivos usando dispositivos más amigables y versátiles. Por el otro, los responsables de seguridad y de infraestructura que saben los riesgos de permitir la entrada a la red de dispositivos tan “abiertos” como las tablets y los teléfonos inteligentes.

A esta necesidad o deseo de los usuarios para utilizar sus propios dispositivos en el trabajo y acceder desde ahí a la red corporativa (con la información y aplicaciones que requieren para realizar sus funciones) se le ha llamado BYOD. Esta tendencia, cada vez más fuerte, es -de acuerdo a varios especialistas- una parte de un fenómeno más global llamado “consumerización” (anglicismo que no me gusta usar y que es una mala traducción de la palabra inglesa consumerization) y que tiene que ver con el poder creciente de los clientes para decidir no solo a quién le comprarán los bienes y servicios que desean, sino también el poderlos particularizar a sus necesidades.

Un ejemplo: Pedro está en un supermercado y quiere comprar un determinado vino, pero en vez de poner la botella en su carrito de compras simplemente la gira para que se vea el código de barras. A continuación lee dicho código con su teléfono celular y consulta por Internet el precio en tiendas similares, así comprueba que el mejor precio lo tiene una tienda cercana que, adicionalmente, tiene servicio a domicilio. Eso es un ejemplo del poder que actualmente tiene un cliente, y por lo cual las tiendas tradicionales están francamente preocupadas.

Regresando al tema que nos ocupa, analicemos los argumentos que más comúnmente esgrimen los usuarios a favor de la utilización de sus dispositivos en la empresa:

  • Facilidad y comodidad de uso. Estos dispositivos tienen interfases más amigables, son más portátiles  y tienen una gran variedad de aplicaciones, muchas de ellas gratuitas, lo que causa que los usuarios prefieran estos dispositivos en vez de una computadora tradicional.
  • Ahorro. Como lo establecen varios estudios[1], la mayoría de los usuarios están dispuestos a comprar sus propios dispositivos, por lo cual la organización para la que trabajan podría tener un ahorro al dejar de adquirir computadoras de escritorio o laptops.
  • Libertad de elección. Uno de los elementos que más atraen a los empleados es poder elegir sus dispositivos en vez de adaptarse al que la organización les asigne. Parece que esta es la razón por la que, como hemos dicho, muchos prefieren pagar por sus propios dispositivos y usarlos para su trabajo.

En contrapunto de los argumentos de los usuarios, las áreas de sistemas tienen los propios:

  1. Dificultad de control. Para muchas empresas los nuevos dispositivos son cosas parecidas a las PC y, por tanto, están tratando de aplicar el mismo modelo de control que han usado para ellas: mantener un inventario actualizado que incluya la configuración de cada dispositivo, validar que solo se usen aplicaciones autorizadas por la organización, administrar direccionamiento IP, acceso a servicios y aplicaciones corporativas. Bajo este paradigma de control, encuentran que la tarea resulta sumamente complicada, si no imposible.
  1. Falta de estandarización y mayores costos de soporte. Asociado con el punto anterior, el personal de soporte, regularmente ya sobrepasado por la cantidad de trabajo y requerimientos de los usuarios,  ahora que tiene que conocer y hasta dominar diversos sistemas operativos y los trucos de cada tipo de dispositivo. Por ejemplo, si se trata de teléfonos inteligentes, deberá conocer al menos tres ambientes: iPhone, Blackberry y Android. Además, cuando los usuarios tienen la libertad de instalar cualquier tipo de aplicación, las necesidades de soporte pueden crecer exponencialmente.
  1. Inseguridad creciente. Desde hace un par de años los reportes especializados de seguridad han documentado las cada vez mayores amenazas que tienen estos dispositivos. Los eventos recientes sobre ataques específicos lo han confirmado[2] y se prevé que debido al número creciente de usuarios de estos dispositivos, y a la poca seguridad que típicamente manejan, mucho del malware esté dirigido a ellos y ya no tanto a las PC convencionales.

Como vemos, ambas posturas tienen muchos argumentos lógicos y válidos, aunque encontrados ¿Qué hacer entonces? Esta discusión sobre libertad vs orden ha hecho que algunas personas desempolven viejas historias de los anales de la informática y recuerden lo que pasó con allá a principios de los años 80. En aquel entonces los usuarios querían más libertad, manejar su información y usar aplicaciones más rápidas. Sus quejas giraban en torno a lo tardado que resultaba el desarrollo de sistemas, la complicación de generar reportes en forma más dinámica y no tener acceso directo a su información.

Las computadoras personales que surgieron a finales de los años 70 y tomaron fuerza con la primera IBM PC (1981), vinieron a resolver algunos de estos problemas. Nacieron diversas herramientas, como procesadores de texto y hojas de cálculo, para que los usuarios manejaran su propia información o desarrollaran sus propios programas; productos como dBase, Turbo-Pascal o SQL-Windows fueron representativos de esa época. Además, las redes locales que se popularizan a mediados de la década de los años 80 les permitían compartir información y recursos de una manera sencilla.

¿Pero cómo respondieron los informáticos? En aquellos años, la mayoría de las personas de sistemas utilizaban computadoras mayores, mainframes o minicomputadoras con terminales tontas, por lo que veían a las PC como algo extraño y se mostraban reacios a adoptarlas masivamente. Acostumbrados a tener una fuerte centralización, no mostraban mucho interés en las posibilidades que estas nuevas opciones tecnológicas y herramientas les ofrecían. La respuesta no se hizo esperar: los usuarios compraban sus PC e incluso las conectaban en red sin permiso del área de sistemas, creaban sus primeras hojas de cálculo o desarrollaban sus primeras aplicaciones usando bases de datos.

¿Y qué resultó? Las áreas de sistemas –de una forma u otra- tuvieron que aceptar esta nueva realidad y sumarse a ella, a la vez que cambiaban su paradigma y creaban nuevos roles y formas de trabajo para este mundo que era bastante diferente.  Junto con estos roles y funciones, también surgió la necesidad de crear formas de organizar el desorden que se había creado. Había que contestar preguntas muy distintas: ¿Quién debería llevar el control de las PC, incluyendo las marcas y modelos que se comprarían, qué tipos de configuración se permitirían o con qué software se le entregarían a los usuarios? ¿Quién debería desarrollar las nuevas aplicaciones y con qué herramientas? ¿Qué tipo de red, topología y tipo de cableado utilizar? ¿Cómo administrar las direcciones IP?  Y otras muchas preguntas por el estilo.

¿Y en los últimos años?  Sumada a la explosión de las PC y las redes locales ha venido la de Internet y la conectividad IP. Esto ha creado un sinfín de aplicaciones y servicios para beneficio de las organizaciones y de los usuarios, pero también ha creado un número creciente de vulnerabilidades y amenazas, que han hecho de la seguridad informática un tema del que cada vez es más necesario conocer. Junto con estrategias y enfoques más amplios, han surgido distintas herramientas y soluciones tecnológicas para administrar los riesgos en la infraestructura de TI.

Pero ¿Qué tiene que ver todo lo anterior con el BYOD? Pues que la historia se repetirá en lo fundamental si los que estamos a cargo de la seguridad y de TI no cambiamos de paradigma. En otras palabras, tenemos que pensar en cómo balancear entre libertad y control, entre el uso libre, indiscriminado e inseguro de los dispositivos de los usuarios en la empresa, y el control y seguridad de nuestra información. Nota importante: observe que no hablo del control sobre los dispositivos, sino del control y seguridad sobre la información de la organización.

Si no cambiamos de paradigma, de todas formas van a ganar los usuarios y después tendremos que “limpiar el desorden”,  ¿o de verdad creemos que podemos ir en contra de las modas, de la facilidad de uso, de la versatilidad de las aplicaciones que esos nuevos dispositivos tienen? ¿Qué va a hacer usted cuando el propio director de la empresa le diga:  “¡Cuco, no me vengas con esos cuentos de los riesgos. Quiero usar mi iPad en la oficina, tú ve cómo le pones seguridad pero déjame trabajar con lo que soy más productivo!”?

Algunas empresas en Estados Unidos y en el mundo han optado por autorizar el uso de estos dispositivos, aunque el nivel de aceptación no siempre es el mismo. Por ejemplo, de acuerdo al reporte de Ovum en Europa, 50% de las empresas estudiadas ya permiten que sus empleados utilicen el correo electrónico desde sus dispositivos personales, aunque solo un porcentaje pequeño de la misma muestra (6%) les da acceso completo a aplicaciones y datos de la red corporativa.

Por otro lado, dentro de las que lo permiten, hay algunas que le dan la libertad al empleado para que elija marca y modelo del dispositivo, siempre y cuando el empleado lo adquiera con sus recursos. Curiosamente esta medida ha sido bien recibida pues los empleados prefieren pagar por sus dispositivos a cambio de tener la libertad de escoger el que desean.

Permítame ahora darle algunas recomendaciones para sobrevivir mejor en este nuevo torbellino que se avecina con el BYOD:

  • Empiece a revisar las soluciones de seguridad específicas que están surgiendo en el mercado, compárelas, analice a fondo los supuestos casos de éxito y considere que a veces los proveedores tienden a exagerar las bondades de sus productos o no explican bien las implicaciones de utilizarlos. Aquí le presento algunas preguntas que es bueno contestar:
  • ¿Quién provee la solución?  Algunas podrán venir de los proveedores de red, de proveedores de antivirus, de los propios proveedores de dispositivos o de las empresas de telefonía móvil. De acuerdo al tipo de proveedor puede esperar ciertas características tecnológicas y del servicio, así como ciertos enfoques. Por ejemplo, si es un proveedor de redes su interés es que TODO lo que usted compre sean dispositivos de esa marca.
  • ¿Las soluciones son transparentes para los usuarios? En otras palabras, ¿qué tan visible es la solución para el usuario?, ¿este pierde funcionalidades o le resulta incómodo utilizarla? Si la solución es intrusiva su implementación será más difícil, a menos que usted trabaje en una organización tipo militar. Por ejemplo están surgiendo algunas que, utilizando tecnología de virtualización, le permiten manejar los dispositivos en dos modalidades: modo personal y modo corporativo. De esta forma, el usuario no perderá ninguna funcionalidad cuando utiliza su dispositivo para uso personal, pero tendrá ciertas restricciones cuando su función sea dentro de la red corporativa.
  • ¿Qué tan amigable y completa es su capacidad de gestión y de seguridad? Es conveniente entender a fondo qué implicará la gestión de los dispositivos, tanto para el usuario como para el administrador, y a qué nivel se podrá establecer la seguridad. Algunos fabricantes de redes, por ejemplo, han lanzado recientemente productos con niveles de granularidad muy interesantes para ser aplicados a los dispositivos. Uno de ellos usa un enfoque “Aristotélico” al contestar a las preguntas: ¿Quién? ¿Qué? ¿Cuándo? ¿Dónde? ¿Cómo? Por ejemplo, hay que permitir que Chanchis (¿Quién?) pueda acceder al módulo de consultas del sistema ERP de la empresa (¿Qué?) todos los días y horas hábiles (¿Cuándo?) si está dentro de la red corporativa (¿Dónde?) con cualquier tipo de dispositivo (¿Cómo?).
  • ¿Ante qué escenarios de riesgo me protege? Cada propuesta tecnológica contempla diversos escenarios de riesgo. Si los entiende bien tendrá una herramienta adicional de comparación. Por ejemplo, hace unas semanas le hice una pregunta a un proveedor, refiriéndome a la posibilidad de que un usuario avanzado (¿hacker?) pudiera saltarse el mecanismo de autenticación de su solución BYOD, y la respuesta honesta que recibí fue: “sí, eso es posible. Si quieres una autenticación a prueba de balas, tendrás que utilizar certificados digitales junto con nuestra solución”.
  • Mientras, vaya adelantando con otras labores que serán necesarias antes del BYOD.
  • Controle sus PC e impresoras. Si –hoy por hoy- no tiene un buen control sobre sus computadoras personales (laptops y de escritorio) entonces el caos aumentará al agregar los dispositivos móviles. En lugar de pensar mucho en cómo podrá frenar al BYOD, le sugiero que empiece a inventariar sus equipos actuales (PC, laptops, impresoras, escáner, etc.)  y a definir políticas de uso e implementar controles para reforzarlas. Ejemplos de controles son: instalar un antivirus en las PC y gestionarlo permanentemente, bloquear los puertos USB de todos o algunos equipos (ojo, este control hay que evaluarlo con mucha calma), homogeneizar versiones del sistema operativo, definir configuraciones seguras de los equipos y aplicarlas (lo que se denomina aseguramiento o “hardening” de configuraciones).
  • Administre y monitoree mejor las redes locales (LAN) e inalámbricas de la empresa.

En artículos posteriores de Magazcitum ampliaremos sobre diversos aspectos de esta nueva tendencia del BYOD. Por lo pronto, le deseo la mejor de las suertes en esta nueva aventura, que resultará –creo yo- muy interesante y llena de aprendizajes. Como siempre, me encantaría escuchar sus opiniones sobre este tema.

[email protected]

 

[1]              Uno de los estudios es el de Tony Bradley en PC World: Pros and Cons of Bringing Your Own Device to Work.

[2]              Watchgard  Security Predictions 2012 [http://www.watchguard.com/predictions/index.asp]

Wikipedia. Mobil virus. [http://en.wikipedia.org/wiki/Mobile_virus]

Net Security. Potential first Android bootkit spotted [http://www.net-security.org/malware_news.php?id=2051]