Recientemente, en un evento de un fabricante de soluciones de TI, hablaban del portafolio de soluciones para la adopción de BYOD (bring your own device), tocando temas como el desarrollo de aplicaciones y control de cómputo móvil. En una de las presentaciones sobre herramientas MDM (mobile device management) y MAM (mobile application management) me llamó la atención una leyenda que decía: “Gestionar = Seguridad”.
Es preocupante que los fabricantes de herramientas continúen vendiendo tecnología como sinónimo de seguridad, ¿es acaso que el mercado no ha madurado? Tenemos que entender que la gestión de nuestras tecnologías, procesos y activos solo es un control más y que forma parte de la seguridad de la información, pero no son todo.
Desde la perspectiva de negocio, hablar de BYOD no es solo hablar de teléfonos o tablets, también es hablar de cualquier dispositivo de cómputo que tenga acceso a los datos y recursos de la empresa. Por ejemplo, los empleados que prefieren utilizar su propio equipo portátil con herramientas de software, no definidas por la organización, que le permiten hacer más cosas en menos tiempo.
Con BYOD, como en cualquier asunto de seguridad, primero tenemos que comprender cuál es nuestro verdadero problema o cuáles son las verdaderas oportunidades que debemos potencializar, antes de pensar en adquirir alguna herramienta que nos lleve a la tierra prometida.
Primero, hay que entender que no necesitamos ninguna herramienta para “habilitar” BYOD, esta realidad tiene mucho tiempo entre nosotros y fue “habilitada” por los usuarios, a veces sin nuestro permiso o incluso sin nuestro conocimiento. Antes de pensar en cuál es la nueva tecnología que resolverá los problemas que se identifican, se requiere conocer cuáles son las necesidades del negocio de acuerdo a los objetivos y estrategias empresariales, y así definir la conveniencia del uso de recursos de cómputo móvil.
Un error común que las empresas pueden cometer es suponer que su manual de políticas, en particular la política de uso de dispositivos móviles, será suficiente para administrar la introducción del BYOD, sobre todo si la política fue elaborada pensando en los dispositivos propiedad de la organización. Son prioritarias políticas con mayor granularidad, no será suficiente cifrar la información o forzar un borrado completo de los equipos después de 10 intentos de acceso fallidos, ahora es recomendable hacernos preguntas como las siguientes: ¿qué debemos permitir en los dispositivos que no son de nuestra propiedad?, ¿para qué es necesario?, ¿qué tenemos que denegar?, ¿hasta dónde existe autoridad para hacer modificaciones en esos dispositivos?, y lo más importante, sobre los dispositivos que no son de la empresa, ¿el dueño qué nos permitirá hacer?
La recomendación para la implementación de cualquier herramienta de gestión o control, primero es definir el proceso de operación de acuerdo al modelo de negocio de la empresa, y solo hasta que ya se haya definido cuál es el proceso, los activos y el modelo que se debe proteger, es cuando se puede comenzar a buscar las herramientas tecnológicas que ayudarán a sustentar la estrategia de seguridad y el negocio de la empresa.
El mercado tecnológico seguirá evolucionando junto con el cómputo móvil, y conceptos como el BYOD se ajustarán a esta evolución: por ejemplo, la nueva corriente COPE (corporate owned, personally enable). Con COPE se trata de recomponer el camino tortuoso que supone el BYOD y le regresa cierto sentido de control a las áreas de TI de las empresas sobre los dispositivos que se pueden conectar a la red. La idea es cerrar la puerta a las brechas de seguridad que traía BYOD, aunque por ahora parece que no es posible y lo único que permite es que la empresa tenga cierto sentido de control al decidir qué políticas aplica a los dispositivos, sin tener la limitante de que estos no son propiedad de la empresa. Como es costumbre, los riesgos por el uso de dispositivos móviles en la organización persisten, COPE solo disminuye la probabilidad de algunos de ellos.
No importa como lo llamemos, BYOD o COPE, ni de qué tipo sean las herramientas, MDM o MAM, cuando de cómputo móvil se trata, las herramientas de gestión no serán suficientes y los controles básicos siempre serán los más eficientes para mantener la seguridad de la información: procesos de negocio definidos, disciplina en la administración de riesgos, y políticas y procedimientos establecidos de acuerdo a las necesidades de la empresa.
Deja tu comentario