www.zonamovilidad.es
Por Pilar Bernat
x
pbernattelycom4com /7/7/16
jueves 19 de noviembre de 2020, 22:50h

google+

linkedin

Comentar

WhatsApp

  • Compartir en Meneame

Daniel Madero director Regional Iberia de la multinacional Mobileiron considera que la pandemia ha traído consigo un nivel de riesgo de ciberseguridad empresarial muy alto. De hecho, el teletrabajo ha obligado a desplazar los ordenadores de los equipos a sus casas, lo que hace imposible la perimetrización de la seguridad y obliga a adoptar soluciones seguras, similares a las que ya existían con los móviles y que se resumen en un término: Zero Trust

Zonamovilidad - Dentro del ámbito de la seguridad ¿Qué ha supuesto la crisis del coronavirus para las empresas y el mundo TIC?

Daniel Madero – Lo que los seis últimos meses nos ha permitido observar es que ha surgido una sensación de emergencia; una necesidad repentina de trabajar en remoto, de compra de portátiles, de virtualizar las empresas y se ha tenido que correr mucho.

Desde Mobileiron hemos constatado que muchos clientes tenían soluciones para móviles; pero la clave ha sido la movilización del PC; cómo se movilizaba el ordenador que, hasta ahora siempre estuvo en la oficina en un entorno cerrado y seguro.

Muchos han aprovechado las ventajas de Windows 10, y lo han hecho de prisa y corriendo, pero otros han buscado soluciones más complejas que les aportaran seguridad a corto, medio y largo plazo.

Hay un hecho cierto y es que los móviles funcionaban y eso le dio visibilidad a las soluciones de gestión moderna en la cúpula directiva quienes han aceptado la inversión necesaria para la transformación del puesto de trabajo.

Diríamos que ha sido un periodo de concienciación y aceleración.

La premura de movilizar muchos puestos en poco tiempo ha llevado a hacer apaños y a prescindir de premisas de seguridad necesarias.

ZM - ¿Han asumido las empresas muchos riesgos a la hora de poner a teletrabajar a sus empleados? ¿Tenemos ejemplos?

DM - La premura de movilizar muchos puestos en poco tiempo ha llevado a hacer apaños y a prescindir de premisas de seguridad necesarias. Había que hacer lo que fuera para que la gente pudiera trabajar desde sus casas; de forma que se dio acceso a dispositivos no gestionados. Es decir, a dispositivos que no estaban controlados por un departamento TIC y que no ofrecían la seguridad que requiere cualquier entidad.

El puesto de trabajo móvil segurizado era algo habitual para nosotros y para nuestros clientes; pero ahora cualquier puesto de trabajo es móvil porque se está teletrabajando de forma obligatoria; por tanto, se extiende la necesidad, el modelo de segurizar un puesto móvil a todo tipo de dispositivo.

Y eso, precisamente, significa Zero Trust, que no hay perímetro de ciberseguridad, los firewalls no valen, los terminales, hoy, pueden estar en cualquier parte y tienes que asumir que puede haber peligro en la red.

De esta forma, el Covid ha obligado a extender el modelo creado para los móviles con la correspondiente separación de uso personal y profesional, evitar realizar copias en un entorno inseguro, etc.

ZM - Las conexiones inseguras de los hogares suponen un reto importante para la seguridad, porque los routers personales son claros focos de ataque para los ciberdelincuentes. ¿Cómo cree que va a evolucionar esta deficiencia?

DM - El hecho de que la red doméstica no esté instalada y gestionada por la empresa la convierte en insegura. Es como la WiFi de la cafetería y dentro del concepto Zero Trust es un elemento inseguro. No puedes tener confianza y darle acceso desde ahí a una intranet.

Realmente es un ejemplo de lo que siempre ha sido una red externa, insegura, pública y por eso hay que centrar la seguridad en el dispositivo; no puedes depender de la seguridad de red. Hay que procurar que el extremo a extremo sea seguro, aunque en medio haya componentes débiles.

Lo que va a ocurrir es que se van a centrar más los esfuerzos en poner seguridad en los móviles. Y se va a crear la separación de uso privado y empresarial que antes mencionábamos en todo tipo de terminales laborales para tener garantías

ZM - ¿Qué cree que es lo que más va a cambiar a medio plazo en lo que a ciberseguridad se refiere?

DM - Lo que va a ocurrir es que se van a centrar más los esfuerzos en poner seguridad en los móviles. Y se va a crear la separación de uso privado y empresarial que antes mencionábamos en todo tipo de terminales laborales para tener garantías.

Por otro lado, ahora hay más interés en analizar todos los vectores de riesgo. Phishing, malware… hay que trabajar en términos de prevención, porque ya no hay perimetrización.

ZM – Y ¿qué ocurre con las pequeñas empresas?

DM - En un entorno pequeño no tienes departamento de informática o IT. Lo más cercano a una solución es lo que te dan los propios fabricantes de los dispositivos. Se pueden utilizar los MDM de los operadores, quienes pueden atender a empresas básicas con configuraciones más estandarizadas.

ZM - ¿Considera que se están produciendo cambios en este sentido?

DM - Desde el Covid sí y mucho. Es algo que venía ganando terreno paulatinamente, pero se ha dado un paso de gigante. El móvil ya se considera una herramienta de trabajo; para muchos es su puesto de trabajo y conlleva que los directivos se preocupen, que estén poniendo más atención y buscando soluciones fiables.

ZM – Otro elemento a tener en cuenta es la nube; los entornos cloud son más utilizados cada vez, ¿qué amenazas nos podemos encontrar dentro de estos?

DM - El perímetro para los servicios desaparece y esto incluye la nube. El uso de usuario y contraseña es obsoleto y poco recomendable. Hay que crear mecanismos de autentificación potentes que garanticen la seguridad y si se tiene la gestión del dispositivo puedes federar el acceso a un sistema gestionado. Garantizas que el dispositivo que se conecta es seguro.

ZM - A la pregunta: ¿Es el factor humano el más vulnerable? ¿Cuál sería su opinión?

El factor humano es un factor de riesgo importante, aunque no es el único. Y los ciberdelincuentes lo saben.

DM - El factor humano es un factor de riesgo importante, aunque no es el único. Y los ciberdelincuentes lo saben. Hay que concienciar al usuario; se deberían hacer cursos de ciberseguridad. El Phishing suele venir asociado a un mensaje de urgencia; pero hay que tener mecanismos de ciberdefensa para afrontarlo y el ataque de ‘man in the middle’ no depende de la actuación del usuario; es una combinación.

ZM - ¿A qué diría que hay que prestar más importancia en estos meses de “nueva normalidad”?

DM – Definitivamente, hay que implementar el ‘Zero Trust Security’. El mundo es móvil y los servicios son cloud; por tanto, hay que crear el perímetro en el ‘end point’. Hay que poner muchas más fuentes de control: dispositivo, contexto, lugar de conexión (si se detecta una conexión desde un punto y al rato desde el otro lado del mundo, algo ocurre).

ZM - Llevan tiempo anunciando el fin de las contraseñas. ¿Cuál cree que es la situación actual de este método de protección?

DM – El sistema de usuario y contraseña se inventó en los años 60. Fue en el MIT, para dos grupos de trabajo que tenían que compartir el framework y, desde entonces lo arrastramos. Las contraseñas se roban y se comprometen. Los sistemas de hackeo de fuerza bruta pueden romper cualquier sistema. No es una buena estrategia.

Un móvil gestionado tiene un certificado digital y mecanismos de actualización biométrica que ya utilizan muchas grandes empresas, entidades financieras, etc. Ese mecanismo es un buen autentificador; por lo que el móvil es un buen candidato para remplazar las contraseñas y ya hay estándares que se están desarrollando del tipo Fido2.

ZM - ¿Cuáles son los objetivos que se han planteado en Mobileiron de aquí a los próximos meses?

DM - Seguir cubriendo los huecos que hay en el mercado, aumentar el grado de cobertura de la gestión del dispositivo conectado a la empresa y añadir más modelos de seguridad, con una capa de protección contra ciberdelincuentes.

También están surgiendo oportunidades en empresas que, hasta ahora, no han sido clientes; trabajaban con Windows 365, con Google Enterprise; pero algunas soluciones que existían eran básicas y deben adaptarse.

Otro de los factores es que son entornos que evolucionan mucho y hace falta una plataforma seria para estar a la altura de estos cambios.

Antes, la ciberseguridad empresarial, a todos los niveles podía ser voluntario; ahora no. Ahora hay huir de los sistemas legacy e ir a sistemas modernos.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)
  • Compartir en Meneame

+

0 comentarios