Cuando tu equipo personal entre por la puerta, la información saldrá por la ventana

Qué fácil era cuando todos teníamos Blackberry, pero ahora vemos una larga variedad de equipos móviles en la oficina: smartphones, tablets, netbooks y las laptops de toda la vida. Bien por el consumidor, que ahora tenemos muchas opciones y mejores precios. Pero, cuando lo analizamos desde el punto de vista corporativo, la cosa ya toma otro matiz.

Desde hace un tiempo las empresas están aceptando que sus trabajadores usen sus equipos personales en la oficina. Es decir, que configuren el correo corporativo en el smartphone personal, que guarden documentos de clientes en sus laptops o accedan a aplicativos de la empresa desde sus iPads. Si no es política de la organización entregar estos equipos a sus empleados, la alternativa viene siendo que traigan los suyos propios para trabajar. Así nace una tendencia a nivel mundial llamada BYOD (Bring Your Own Device).

Muchos la vienen adoptando con entusiasmo. Sin embargo, hay un potencial riesgo de seguridad y privacidad que puede resultar siendo más costoso. ¿Se han preguntado qué sucede con la información que contiene un smartphone cuando se pierde o es robado?

The Lost Smartphone Problem fue estudio realizado en organizaciones pertenecientes a diferentes sectores de la economía estadounidense. El mismo señala que al año se pierden o roban más de 140 mil smartphones, de los cuales el 47% de casos se ha dado cuando el trabajador está fuera de la empresa, 29% mientras estuvieron de viaje, 13% en la oficina y el 11% restante no sabe ni dónde ni cómo.

Por su parte, The Symantec Smartphone Honey Stick Project fue un interesante experimento que consistió en abandonar 50 smartphones en diferentes ciudades de los EE.UU, con mecanismos para monitorear qué pasaba con ellos luego de ser encontrados por extraños (ver infografía). Los resultados mostraron que el 83% de quienes los encontraron accedieron a información personal y corporativa, y sólo el 50% se pusieron el contacto con el dueño para devolverlo. ¿Qué pasaría en el Perú en un ejercicio como este?

El punto es que los dispositivos pueden ser reemplazados, pero la información almacenada en ellos se encuentra en riesgo a menos que se tomen las precauciones necesarias para protegerla. Lo más grave es que las empresas no son conscientes de ello dejando muchas veces la seguridad en manos de los dueños de esos equipos.

Políticas de seguridad

Particularmente, considero un riesgo utilizar equipos personales para el trabajo, debido que la empresa tiene restricciones sobre ellos, con respecto a la ejecución de mecanismos de seguridad. Si los equipos son de la empresa se podrían implementar medidas como:

  • Contraseñas de bloqueo cada cierto tiempo de inactividad.
  • Mecanismo para formatear el equipo remotamente.
  • Encriptación de la información (correos, documentos, etc)
  • Instalar y mantener actualizado el antivirus y antispam.
  • Mantener actualizado el sistema operativo y otras aplicaciones (parches de seguridad)
  • Limitar o controlar la instalación de aplicaciones (evitar programas maliciosos)
  • Rastrear el equipo a través de un GPS.

BYOD

Si la tendencia va por el lado de permitir un esquema BYOD, mi recomendación es configurar una conexión remota a través de una VPN (Virtual Private Network). Esto aseguraría que en el equipo se conserve la menor cantidad de información de trabajo.

Paralelamente, antes de lanzar el proyecto sería saludable responder a las siguientes interrogantes:

  • ¿Se permitirían todo tipo de modelos de smartphones o tablets?.
  • ¿La conexión a los recursos de la empresa sería directa (correo, agendas, aplicativos) o a través de VPN?
  • ¿La empresa estará en la capacidad de implantar una configuración básica, exigiendo tener instalado (y actualizado) un mínimo de aplicaciones a fin de resguardar la seguridad de la información?
  • ¿Se aceptará la posibilidad de formatear el equipo como consecuencia de alguna falla o aplicación maliciosa, sin que la empresa se haga responsable de la información o aplicaciones personales que no se puedan recuperar (fotos, videos, aplicaciones, etc)?
  • ¿Será posible comprometer al dueño del equipo que, por razones de seguridad, se limitará o bloqueará la descarga e instalación de archivos y aplicativos riesgosos o que infrinjan el derecho de propiedad intelectual?
  • En caso el trabajador deje la organización ¿cómo asegurar que la información corporativa no se vaya con él?
  • ¿Cuál sería el nivel de soporte informático que la empresa ofrecería para estos equipos? Estaría limitado sólo a aplicaciones de índole laboral (correo electrónico, agendas, etc)?
  • Para los casos de accidente, pérdida o robo ¿habrá reposición? Para los casos de desperfectos ¿se ofrecerán equipos temporales?

Pienso que aclarando estas dudas se puede llegar a tener un dimensionamiento claro sobre lo que puede significar, realmente, adoptar un esquema BYOD en la organización.

Nubes negras sobre el Internet generativo

Cloud computing o computación en nube es el último grito de la moda y nadie debiera pasarla por alto.

Como definición, reproduzco una que leí en el blog de la CMT que me pareció buena (Subirse a la nube): «Cloud computing es un estilo de computación que proporciona recursos, dinámicamente escalables y a menudo virtualizados, como servicios”. Hablamos de la cloud como servicio, en la medida que los usuarios disponen de aplicaciones y almacenan su información en un servidor de Internet, en vez hacerlo en una PC.

Durante la era de las PC el dúo formado por Microsoft e Intel (Wintel) fue capaz de presentar un sistema indisoluble basado en una PC montada sobre un sistema operativo Windows y un microprocesador Intel. Muchos empiezan a afirmar que este paradigma tiene los días contados. Hace unos días Google anunció el lanzamiento de su Chrome OS (The Chromium Projects), que según algunos entendidos (error500: El sistemas operativo de Google y el regreso del terminal tonto) consiste en «(…) capar un sistema operativo, impedir que ejecute cualquier cosa que no sea un navegador, funcionar sobre un hardware seleccionado (nada de instalarlo en cualquier equipo que uno elija) y, eso sí, arrancar muy rápido«.

httpv://www.youtube.com/watch?v=0QRO3gKj3qw

Microsoft también mueve ficha en la misma dirección lanzando casi paralelamente dos nuevos y radicalmente diferentes productos (anunciados en la Professional Developers Conference del año pasado). El primero, la plataforma Azure, como un sistema operativo dentro de la nube. Luego, el sucesor del desafortunado Vista, Windows 7, que sirve como sistema operativo de Microsoft (OS).

The Economist (Clash of the clouds), ve al cloud computig inserto en un profundo cambio sistémico de la industria de la informática y de las comunicaciones electrónicas. No solo traslada el centro de gravedad de Microsoft. Hasta ahora, los avances tecnológicos movieron a la industria de dos ejes centrales, primero de los mainframes a los minicomputadores; y, luego a la PC. Ahora, una combinación de procesadores cada vez más potentes, baratos y rápidos y de redes más ubicuas, está impulsando el poder al centro, en algunos aspectos, y en otros alejándolo. Los centros de datos de la nube son enormes mainframes públicos. Al mismo tiempo, la PC está siendo reemplazada por una multitud de pequeños dispositivos, a menudo inalámbricos, como smartphones, netbooks y, pronto, tablets PC.

Pero no todo es luminoso en este panorama. Algunos ven con el cloud computing un regreso a los terminales tontos y a una pérdida de la generatividad de Internet.

Jonathan Zittrain (Cómo detener el futuro de Internet) en el Times (Lost in the Cloud) advierte alguno de los riesgos implícitos de este proceso. Por ejemplo, si un consumidor contrata un servicio de suscripción de música en línea en lugar de custodiarla en su propia PC, puede perderla si se atrasa en los pagos, si el proveedor quiebra o pierde interés en seguir participando en el negocio. No olvidemos que hace pocos meses Amazon decidió por su cuenta y riesgo borrar de todos los Kindles las copias electrónicas de las novelas 1984 y Rebelión en la granja de George Orwell (1984, veinticinco años después). Se pueden dar multitud de ejemplos de este tipo. Sin embargo, no son estos los peligros más importantes para Zittrain.

El mayor reto de la nube sería su efecto sobre la libertad para innovar. El legado fundamental de la PC es que permite a cualquier persona escribir código desde el extremo y utilizarlo de la forma que considere más conveniente. Los fabricantes de la PC o los creadores de su sistema operativo no tiene ninguna participación en este proceso. Sin embargo, esta libertad estaría en riesgo con la cloud, donde los proveedores de las plataformas de servicios y contenidos tienen un mayor control respecto del software escrito por terceros. Facebook, permite añadir funcionalidades al sitio, pero podría cambiar esta política en cualquier momento. Lo mismo se puede decir de Apple, que decide quién escribe código para el iPhone y qué programas se ejecutarán. Estas empresas pueden utilizar este poder de una forma nunca soñada por Bill Gates cuando era el rey de Windows.

No creo sinceramente que estos temores estén justificados. Cloud compunting es el camino natural para convertir a la nube en el servicio y es también una prueba de la generatividad de la red y no lo contrario. Apple, Microsoft, TiVo, Facebook y Google ofrecen servicios que cubren las necesidades de los consumidores. Si bien nadie puede estar de acuerdo con la patética actuación de Amazon al retirar la versión de 1984 de su Kindle, no debemos pasar por alto que a los propietarios de estas plataformas se les exige que hagan efectivo este control, recordemos el caso de «Mis observadores» de Facebook (Facebook y los observadores). Si funciona no lo arregles se suele señalar, seguiremos escribiendo sobre el tema en siguientes entradas.

[vsw id=»ae_DKNwK_ms» source=»youtube» width=»425″ height=»344″ autoplay=»no»]

[vsw id=»6PNuQHUiV3Q» source=»youtube» width=»425″ height=»344″ autoplay=»no»]