El enorme aumento de dispositivos móviles requiere soluciones basadas en la nube, lo que requiere que las empresas seleccionen y recojan los datos a proteger.
Los empleados cada vez utilizan más dispositivos móviles con conexión a Internet: seestima que de compren cerca de mil quinientos millones de teléfonos inteligentes este año, y más de 50 millones de tabletas, casi el triple de la cantidad de tabletas vendidas en 2010.
Quienes usan estos dispositivos para conectarse remotamente a los servidores de la empresa y sus cuentas de correo electrónico pueden aumentar la eficiencia; aunque la práctica también crea problemas de seguridad. Para tener éxito, las compañías tendrán que aprender a superar los retos de la oficina distribuída del futuro.
Desde hace tiempo las empresas reconocen que únicamente el "perímetro de seguridad" alrededor de la red de la oficina ya no es suficiente. La validez de ese modelo de seguridad fue desbancada por el portátil. Sin embargo, las soluciones tradicionales para la gestión de los ordenadores portátiles -incluyendo la ejecución de software de seguridad y el establecimiento de canales de comunicación cifrados conocidos como redes privadas virtuales (VPNs)- no han tenido éxito. Los atacantes han aprendido a adaptar los programas maliciosos para que puedan pasar inadvertidos durante varios días o semanas. Y las VPNs sólo protegen contra el espionaje. Son inútiles contra los ordenadores ya infectados.
Los resultados pueden ser horribles: pongamos de ejemplo al Muro de la Vergüenza del Departamento de Salud y Servicios Humanos (EE.UU.), una lista de filtraciones relacionadas con registros médicos que incluye 32 incidentes este año, de los cuales 18 fueron causados por dispositivos u ordenadores portátiles perdidos. Se espera que estos problemas de seguridad empeoren ampliamente.
Los problemas han obligado a los equipos de tecnología de la información a cambiar de táctica: en lugar de intentar asegurar el dispositivo, están desarrollando formas de proteger los datos confidenciales, incluso si los dispositivos están en peligro.
Por ejemplo, Heartland Payment Systems, la firma de procesamiento de tarjetas de crédito -castigada con la pérdida de 130 millones de registros durante una filtración convencional en un servidor en 2009- actualmente trata a todos los dispositivos, ya sean teléfonos móviles o terminales remotos de punto de venta, como si estuvieran en peligro. Por tanto, según afirma Kris Herrin, director de tecnología de la compañía, estos dispositivos sólo se refieren a los datos de las tarjetas de crédito mediante el uso de 'tokens', es decir, códigos especiales que corresponden a los datos reales, que se encuentran en una bóveda de protección digital.
La firma de seguridad Symantec se centra en la protección del código fuente, los datos financieros y la propiedad intelectual, asegurándose de que esa información no salga de la empresa sin un grado de protección importante, señala David Thompson, director de información de Symantec.
Las soluciones de seguridad en la nube, de empresas como Websense y Zenprise, son otra opción. El servicio en la nube de Websense proporciona correo electrónico y seguridad web a cualquier dispositivo que se conecte a Internet. En lugar de forzar a los usuarios a conectarse de nuevo a la oficina central para establecer protecciones de seguridad, un proxy de Websense filtra el código malicioso y el spam. Zenprise, por su parte, ayuda a las empresas a gestionar sus dispositivos a través de Internet. Por ejemplo, puede borrar de forma remota la memoria en los aparatos perdidos o robados.
Dada esta apremiante necesidad, el Radicati Group, una firma analista, predice que en los próximos cuatro años el mercado de servicios de seguridad en la nube duplicará, a más de 2 billones de dólares (1.415 millones de euros), las ventas en todo el mundo.
Una forma diferente de hacer frente a la proliferación de dispositivos es colocar en él un pequeño programa seguro -conocido como máquina virtual- para que el empleado interactúe con los datos corporativos. El modelo, que es utilizado por un número creciente de bancos para reforzar la seguridad en los ordenadores de los clientes, permite a las empresas reclamar una parte del dispositivo del usuario como si fuera un componente protegido.
Cuando los bancos utilizan esta tecnología, los consumidores pueden optar por usar el servicio e instalar el plug-in. A partir de ahí, cuando un consumidor se conecta al servidor de su banco, la máquina virtual realiza todas las comunicaciones, independientemente del sistema operativo del dispositivo original. La tecnología no es infalible, pero frustra aquellos ataques que podrían no ser detectados por los antivirus y la vigilancia antifraude.
"De hecho creo que las empresas pueden aprender de los bancos e instituciones financieras sobre cómo proteger a sus trabajadores hoy día", señala Mickey Boodaei, director general de Trusteer, que ofrece a los clientes bancarios este tipo de solución y está comenzando a ofrecer la tecnología a empresas que quieran asegurar dispositivos que sean propiedad de los empleados, pero que se utilicen para el trabajo.