Las políticas de IT y aparatos moviles en desacuerdo

La popularidad de los teléfonos inteligentes y las tabletas está causando departamentos de repensar los detalles de sus políticas de seguridad. Cada vez más, los empleados esperan para ejecutar aplicaciones de negocios y los consumidores en sus propios dispositivos. De hecho, muchos empleados admiten que el acceso a redes corporativas sin el conocimiento de sus empleadores o permiso.
Un reciente estudio de Juniper Redes realizada por KRC Research y Synovate, reveló que de los teléfonos inteligentes y los más de 6.000 usuarios de la tableta a través de 16 países encuestados, el 81% admitió utilizar sus dispositivos personales de acceso a la red de su empleador, sin que el empleador o el permiso. Cincuenta y ocho por ciento admitió hacerlo todos los días.
"A menos que usted puede controlar el uso de dispositivos [adquiridos por el usuario] en un nivel muy granular, le aconsejo en contra de permitir que dentro de su compañía", dijo Calin Ghibu, gerente de producto de GFI Software. "Los dispositivos [adquiridos por el usuario] plantean una grave amenaza para su entorno. Pueden ser utilizados para extraer información sensible [y] el robo de datos puede dar lugar a responsabilidades legales. "
Malware es otra preocupación que a diferencia de los ordenadores portátiles y PC, la mayoría de los teléfonos inteligentes no se está ejecutando el software anti-malware.descargas no autorizadas de software son también una amenaza dada la popularidad de las aplicaciones y el carácter personal de los dispositivos. Además, aunque la seguridad de puerta de enlace a nivel pueden ser considerados robustos, los dispositivos móviles pueden ser utilizados para eludir el seguimiento web y servidores de seguridad, dijo Ghibu.
Los usuarios no son los únicos Sólo Creación de agujeros de seguridad
Los profesionales de TI saben que los usuarios finales no se puede confiar para proteger su propio equipo como lo demuestra el fracaso general incluso proteger con contraseña sus propios medios.
La encuesta de Juniper Networks revela que, si bien más del 81% de los usuarios de teléfonos inteligentes y la tableta la demanda de seguridad es una prioridad máxima o alta, sólo el 24% con frecuencia cambiar su configuración de seguridad. Treinta y cinco por ciento, cambia la configuración de seguridad "cuando surja la necesidad", el 31% nunca o casi nunca cambia la configuración de seguridad, y el 9% no está familiarizado con la configuración de seguridad.
Si bien los profesionales de TI se dan cuenta "esperanza" no es una forma eficaz de seguridad, sin embargo, puede ser exceso de confianza sobre su propia capacidad para asegurar los datos corporativos.
"Con el correo electrónico hay suficientes controles para gestionar el riesgo, pero el reto más grande es el acceso móvil a aplicaciones de recursos humanos y de cosecha propia", dijo Custie Crampton, vicepresidente de Mobile Device Management (MDM) en Tangoe, que se especializa en la gestión de gastos y de las telecomunicaciones móviles administración de dispositivos.
utilizar Enterprise de Exchange ActiveSync está muy extendida, sin embargo, sólo se asegura de correo electrónico. El control de dispositivos de nivel es preferible, pero no todos los sistemas operativos móviles proporcionan controles verdadera política, Crampton, dijo. A pesar de MDM se puede utilizar para "controlar" los dispositivos basados ​​en Android, por ejemplo, los usuarios no obstante, puede cambiar la configuración.
"Con un Blackberry puede proteger las comunicaciones de salida y la sincronización, pero tan pronto como agregar Windows Mobile o IOS que los agujeros de seguridad abierta", dijo Crampton.
Incluso con ActiveSync, el usuario armado con un nombre de usuario, contraseña y dirección URL correcta puede acceder a la red desde cualquier dispositivo, dijo.Aunque Microsoft Exchange ahora proporciona la funcionalidad que puede bloquear el acceso a nivel de dispositivo no está disponible de forma nativa y no hay herramientas disponibles, señaló. No es una API, sin embargo.
"El mayor desafío es [no entender] las capacidades de las diferentes plataformas", dijo Crampton. "Tienes que saber lo que los dispositivos pueden y no pueden hacer."
El factor humano
De acuerdo con The Nielsen Company, más estadounidenses van a utilizar los teléfonos inteligentes que los teléfonos no cuentan con el final de 2011. Aunque la adopción smartphone fue impulsado inicialmente por las empresas, las dos terceras partes de los compradores de teléfonos inteligentes son "personales" de los usuarios.
Incluso si un empleado se emite un smartphone de la empresa, es común que el empleado a la pregunta ¿por qué con el tiempo los dos dispositivos personales y profesionales necesarios. Dada la elección, más probable es que elija su iPhone o Android cargo de la empresa emitida por el Blackberry o el teléfono de Windows.
"La mayoría de los profesionales ya tienen un teléfono inteligente que utilizan a diario.Llevar a alrededor de otro smartphone de la compañía emitidas no es algo que quieren hacer o aprender, "dijo Peter Anderson, director de tecnología de integración de sistemas CSCI. "Sin embargo, proporcionar a los empleados la flexibilidad de usar su teléfono inteligente personal llega en un gran riesgo para la empresa."
Los usuarios están emocionalmente ligados a sus dispositivos personales. Después de todo, se seleccionó el modelo y pagar por el servicio. Así que una solución aparente para el empleador es para financiar el gasto por el dispositivo que el usuario ya posee.Algunas compañías proporcionan a los empleados una remuneración a tanto alzado para compensar algunos costos de los servicios o puede cubrir las compras de dispositivos si los usuarios de acuerdo en pagar por el servicio. Sólo que tiene problemas, también. Los usuarios, sin embargo se consideran los propietarios de los dispositivos y, como tal, creen que deben ser capaces de controlar lo que ocurre en ya través del dispositivo.
"Puede haber incidentes en un teléfono inteligente personal tendría que ser decomisados ​​como resultado de la fuga de datos", dijo Anderson. "En ese caso, no sólo tiene que hacer frente a las fugas y la responsabilidad asociada, pero ahora la intimidad personal y [asociados] pasivos."
Una solución consiste en ampliar las políticas de seguridad que incluyen dispositivos personales. Las políticas de seguridad normalmente requieren que el aparato esté sujeto a control de TI, incluyendo pero no limitado a, control de aplicaciones y la gestión, la confiscación del dispositivo, y se limpia de datos.
Sin embargo, los empleados a menudo se resienten ámbito de aplicación de las políticas y su aparente amenaza a la intimidad personal. Cuando un empleado recibe un dispositivo de la compañía que haya expedido, se entiende en general (intelectualmente y en virtud de la firma de un acuerdo) que el dispositivo como propiedad de la compañía se rige por políticas explícitas, exigibles. Pero es más difícil para los empleados a aceptar las mismas políticas aplicadas a sus dispositivos personales, incluso si parte de su empresa compensa el costo.
"Si las empresas quieren [permiten a sus empleados utilizar sus propios dispositivos] debería haber una cláusula o anexo a su contrato de trabajo que aborde estas cuestiones [incluye] reembolso", dijo Anderson CSCI es.
El efecto de TI
Otra consideración no trivial de los dispositivos móviles elegidos por el usuario es la carga adicional de TI. Según Anderson CSCI, una empresa de TI de personal podría terminar apoyando a cientos de teléfonos a través de múltiples operadores. Para evitar la sobrecarga y agregó los problemas de seguridad, algunas empresas están "simplemente decir no" al parecer con diferentes niveles de éxito.
"Las empresas tienen que empezar a buscar la manera de proteger y realizar el seguimiento y los datos de sus clientes en los teléfonos inteligentes personal, [que] es un problema no trivial", dijo Anderson.
El problema no es trivial porque hay muchos factores a considerar, tales como la autenticación, autorización, encriptación, control de aplicaciones y gestión, gestión de contenidos, anti-virus/spyware/malware, diversas formas de control, y otras cosas que ya se han aplicado para equipos de sobremesa y portátiles.
"Es muy difícil evitar que los empleados con dispositivos móviles personales con fines empresariales, especialmente las tabletas como el IPAD y Samsung Galaxy Tab", de Dan Levin, director de operaciones de servicio de Box.net para compartir archivos."Estos dispositivos se compran con frecuencia de" personal "el uso, pero no pasa mucho tiempo antes de la carga de los empleados hasta DropBox o Box.net o algún servicio de gestión de contenido y empieza a subir el contenido de negocio."
Para ayudar a poner orden al caos, Levin sugiere la calificación y sanción de un único servicio, así como establecer políticas que definen el contenido que se le permite acceder a los dispositivos. Del mismo modo, algunos sugieren que limitan el acceso de aplicaciones a la lista blanca y / o aplicaciones de firma digital.
Los departamentos de TI quieren asegurar la gobernabilidad y la seguridad. Pero, dijo John Crupi, director de tecnología de JackBe que pueden tener dificultades para alcanzar ese objetivo si no tienen una estrategia de plataforma en su lugar.
"La gente ha estado utilizando la seguridad como excusa", dijo. "Hasta hace unos años, no todos los empleados pueden acceder al correo electrónico de forma remota.Ahora están enviando un correo electrónico confidencial, hojas de cálculo a través de redes celulares. TI tiene que ampliar los modelos de seguridad en los nuevos modelos. "
Política de Comunicación, Aplicación de la también importante
Políticas de seguridad y las tecnologías utilizadas para hacerlas cumplir deben complementarse con una comunicación clara para que los empleados son conscientes de las políticas, por qué existen, y las consecuencias de su incumplimiento. Si los empleados no son conscientes de las políticas que sin saberlo, puede violarlos, si se sienten inclinados a violarlos todos modos, es conveniente poner de relieve las consecuencias y una copia de seguridad con las políticas de acción rápida. Si no se hace cumplir las políticas de los dientes y pueden exponer a la empresa a una mayor responsabilidad.
En resumen, la afluencia de los dispositivos adquiridos por el usuario no es sólo un problema informático, sino más bien un reto de organización que requiere una cuidadosa consideración, la ejecución reflexivo, y el gobierno vigilante. Si se han ocupado de la cuestión, se trata de ella, o simplemente como el sonido apagado, agradecemos sus comentarios.

Comentarios