Todos sabemos que los dispositivos personales de los empleados son en la actualidad un elemento central de las Tecnologías de la Información corporativas. Les guste o no, los beneficios que supone para el negocio el hecho de permitir que los usuarios saquen su trabajo de la oficina han empujado a las empresas a la adopción de la nube y la movilidad. Eso no significa que la seguridad no sea importante: lo es. Lo que ocurre es que algunas políticas y soluciones de seguridad móviles chocan con la cultura de productividad, libertad y flexibilidad que las empresas están intentando fomentar. Vivimos en una época en la que la privacidad resulta cada vez más importante y las empresas deben encontrar un mejor equilibrio entre la movilidad, la privacidad y la seguridad.
Los equipos de seguridad deben proteger los datos corporativos de los dispositivos móviles para limitar las infracciones de los datos y cumplir con las normativas de protección de datos. Para lograrlo, el enfoque habitual es una auditoría de seguridad extremadamente minuciosa: la instalación en los dispositivos personales de software de gestión de dispositivos móviles (MDM) o de gestión de aplicaciones móviles (MAM). Debido a que esto implica instalar agentes de software en los teléfonos y tabletas de los empleados, en realidad los equipos de TI obtienen el control sobre todo el tráfico entrante y saliente de esos dispositivos.
Al principio, la instalación y el mantenimiento de las soluciones MDM o MAM supone un quebradero de cabeza logístico. Los equipos de TI tienen que instalar el software en potencialmente miles de dispositivos y luego asegurarse de que se mantiene actualizado periódicamente con la información más reciente sobre las amenazas. Este método de implementación implica la instalación de un agente en los dispositivos personales de cada empleado y su utilización para canalizar toda la actividad a través de la red corporativa. Esto permite al departamento de TI tener controlados los datos corporativos, pero también significa que la actividad bancaria privada de los usuarios, las redes sociales y toda una serie de información más personal e irrelevante para la empresa también se transmitirán a través de la red corporativa.
Un experimento reciente demostró hasta qué punto un miembro del equipo de TI con pocos escrúpulos podría llegar a controlar y manipular un dispositivo personal sin el conocimiento de su propietario. Al canalizar el tráfico a través de los mismos proxies utilizados para gestionar los dispositivos y realizar las auditorías de seguridad, es posible capturar la actividad de navegación e incluso transmitir los datos de inicio de sesión a la empresa, en texto plano. También se pueden registrar las comunicaciones entrantes y salientes, forzar al GPS a permanecer activo para rastrear la ubicación y los hábitos fuera del trabajo e incluso restringir remotamente las funciones del dispositivo. Si un empleado decide cambiar de trabajo, la empresa podría realizar un borrado completo del dispositivo, lo que significa que todos los datos personales del usuario (contactos, fotos, vídeos, etc.) se perderían en el proceso.
Al principio, la instalación y el mantenimiento de las soluciones MDM o MAM supone un quebradero de cabeza logístico
Los tiempos están cambiando. Los usuarios cada vez están más preocupados por el grado de afectación que las actividades en línea tienen sobre su privacidad. Con las noticias sobre brechas de datos y las nuevas normativas creadas para devolver el control a los usuarios, no es extraño que la privacidad se haya convertido en una preocupación. De hecho, un estudio anterior señaló que más de la mitad de los empleados prefieren no participar en el programa de dispositivos personales de su empresa debido a los temores sobre la privacidad.
Los responsables de TI están abocados a pecar por exceso o por defecto: pueden ver o controlar toda la actividad diaria de los empleados; o prescindir de los controles de seguridad. Este dilema debe obligarnos a identificar los requisitos reales de la seguridad móvil. Y aquí es donde la mayoría de los equipos de TI se equivocan: en lugar de controlar toda la actividad, las empresas solo necesitan centrarse en la protección de los datos corporativos. En vez de controlar todos los aspectos de un teléfono móvil personal, pueden limitar el acceso de los dispositivos y destinos que supongan un riesgo. Los equipos de TI no necesitan auditar un dispositivo de forma invasiva. De hecho, no deberían tener que instalar un agente de software en ningún dispositivo personal.
La nueva generación de trabajadores es muy sensible a las cuestiones de privacidad y ya estamos viendo una reacción contra las actuales políticas de seguridad móvil. Lo que las empresas necesitan es una forma mejor de mantener los datos a salvo y permitir que los empleados accedan a la información que requieren, desde sus propios dispositivos. Resulta comprensible que las empresas no estén dispuestas a sacrificar la seguridad a cambio de la movilidad. Dicho esto, si es posible mejorar ambos aspectos (para proteger mejor los datos a la vez que se favorece la productividad y flexibilidad de los empleados), los responsables de TI deberían adoptar el cambio.
