Los Reyes Magos

Cada vez aparecen más dispositivos electrónicos en la carta a los reyes magos, no solamente los más pequeños quieren nuevos portátiles, webcam y cámaras de fotos, sino también las personas adultas cada vez optan por comprar y regalar smartphone, tablet, impresoras o lápiz de memoria. Vivir en un mundo rodeado de tanta tecnología que nos facilita la vida diaria y nos mantiene conectados hace que muchos de nosotros no podamos estar más de 24 horas sin utilizar uno de estos dispositivos, y según varios estudios cada vez hay más personas adictas a estos aparatos demostrándose que las personas presentaban síntomas de depresión y ansiedad si no utilizaban durante 24 horas estos dispositivos.

Trasladando los reyes magos a las organizaciones, muchas veces se hacen regalos a los directivos o empleados sin analizar ni consultar si estos regalos son permitidos o cumplen con la política de la empresa, y más daño hacen aún si se regalan y no se avisa al departamento de TI para realizar el inventario de los nuevos equipos. Aquí es donde llega el problema y la duda de si el regalo pertenece a la empresa o es un regalo para el uso personal y no profesional. Todo esto hace que se acreciente el problema que venimos tratando durante el 2012 y crecerá exponencialmente en el 2013, el denominado Bring Your Own Device (BYOD) donde los empleados y directivos quieren utilizar sus equipos personales dentro de la propia empresa, lógicamente muchas veces saltándose las medidas de seguridad de la empresa y esto hace que sea tan complicado de controlar, pero que no debemos olvidar que también debemos tenerlos en cuenta y por tanto controlarlos.

Veamos un ejemplo sencillo de cómo violar la política de seguridad involuntariamente con el simple hecho de regalar un lápiz de memoria USB. Supongamos que la política de seguridad de la organización obliga a que toda la información en formato electrónico que salga de las oficinas deba ir adecuadamente cifrada para evitar su lectura en caso de pérdida o robo. Si para realizar la compra no se ha consultado con el departamento de TI, probablemente los lápices de memoria no incorporen ninguna medida de seguridad y por tanto se realice la compra obviando normas como FIPS 140-2 o incluso no se realice una partición con TrueCrypt para cifrar la información privada y confidencial. Además como es un regalo no se sabe cuántos dispositivos hay en la organización y por tanto no se realiza el inventariado. Así que queda al descubierto la organización a una posible fuga de información por parte de los empleados o como he comentado anteriormente, ante el robo o pérdida del lápiz de memoria con información sensible puede acarrear otros problemas de seguridad.

Para evitar la fuga de información mediante lápiz de memoria es muy común deshabilitar los puertos USB de los equipos mediante directivas de Active Directory, mientras que para controlar otros tipos de dispositivos como smartphone, tablets o portátiles es conveniente utilizar herramientas que controlen el BYOD, como por ejemplo aplicando políticas por tipo de dispositivos. Además, también sería interesante que los nuevos dispositivos móviles estén dados de alta en herramientas MDM (Mobile Device Management) para aplicarles la políticas de seguridad, y así los usuarios de estos dispositivos estén tranquilos sabiendo que la información contenida está a salvo ante cualquier robo o pérdida.

Así que nada más me queda recomendar que todo aquello que vaya a ser regalado con fines profesionales sea consultado previamente con el responsable de seguridad, para que éste proporcione las indicaciones de qué dispositivos cumplen la política de la empresa, y así posteriormente poder hacer el inventario y la gestión de estos nuevos dispositivos adecuadamente.