martes, 17 de julio de 2012

El BYOD del Ministro del Interior

El escenario de la seguridad corporativa anda muy revuelto en los últimos meses debido a la nueva problemática de seguridad planteada por los usuarios finales respecto al poder usar sus propios dispositivos que se simplifica con el acrónimo BYOD ("Bring your own device").
Esta nueva problemática no es más que el fiel reflejo del difícil equilibrio entre la seguridad y la operatividad productiva en la empresa.  El impacto de esta tendencia, que viene para quedarse porque están siendo las capas directivas las principales precursoras de esa necesidad depende también de las circunstancias particulares de cada organización y de cómo haya ido resolviendo los problemas de gestionar la seguridad corporativa en estos últimos años.

El BYOD creo que no plantea mayores riesgos que los ya existentes respecto al uso de portátiles y los riesgos de interceptación de comunicaciones o dispositivos de almacenamiento USB y los riesgos de extravío o pérdida. Sin embargo, ahora se añaden como restricciones las posibles limitaciones respecto de la aplicación de las políticas corporativas de seguridad sobre dispositivos que no son propiedad de la organización. Obviamente a mayor número de dispositivos que pueden contener información corporativa, mayor probabilidad del extravío de algunos de ellos con las correspondientes fugas de información.

La noticia sale hoy a primera plana con la noticia de la pérdida del Ipad del Ministro del Interior. Según los datos aportados por la noticia, se tuvo que montar un operativo para tratar de recuperar el dichoso dispositivo que fue extraviado en un viaje en Ave. Los dispositivos Apple incorporan una funcionalidad de localización si se tiene activo el servicio iCloud y la funcionalidad de localización. Parece ser que efectivamente todos estos servicios estaban configurados y se pudo conocer la posición del dichoso aparato.

Resulta curioso leer el trozo del artículo donde tratan de quitarle hierro al asunto demostrando que el problema estaba controlado.
"En ningún momento ha habido preocupación por los contenidos que tenía", señala un portavoz de Interior, ya que el iPad del ministro tiene importantes medidas de seguridad. Si no se mete la contraseña correcta, se destruye toda la información que lleva.
Curiosamente estas son las medidas de seguridad estándar que lleva este tipo de dispositivos cuando se activa la clave de acceso. En cualquier caso, también se permite el borrado remoto si se tiene activa la funcionalidad de localización, cuestión que en ningún momento se aclara si finalmente fue empleada. Sin embargo lo que a mi me sorprende es que el Ministro del Interior tenga activa la cuenta iCloud y el servicio de localización GPS dado que potencialmente podría permitir tenerlo localizado y controlado. Si además suponemos que se emplean los servicios habituales de Apple para tal efecto, con algo de ingeniería social podrían tratar de localizar la cuenta iCloud del Ministro para tratar de obtener acceso a ella y a toda su información. Y es aquí cuando se plantea otro problema de seguridad que es la dispersión de información en servicios de Cloud sobre entornos de alta confidencialidad que en cualquier caso y por comprometer la seguridad del Estado, no deberían usar servicios externos y no controlados por la propia Administración (Bajo la premisa de que sea el servicio de iCloud el que haya permitido la localización del dispositivo).

En cualquier caso, el BYOD supone una reflexión seria para el mundo de la seguridad. Quizás esta tendencia supone un punto de inflexión respecto a las estrategias tradicionales que venían siendo utilizadas donde las tomas de decisiones se hacen en base a las necesidades de seguridad y el modelo de negocio pero teniendo al usuario como un "cliente/victima" de las imposiciones establecidas. El BYOD supone ahora tener que pensar y diseñar estrategias de seguridad bajo dos premisas importantes: "transparencia de las medidas" en el sentido de hacerlas lo más sencillas de utilizar para que no supongan una excesiva barrera de uso y "user center" en el sentido de que deben permitir o facilitar en la medida de lo posible la operatividad y acceso a los recursos corporativos para permitir a los empleados el trabajo desde cualquier lugar en cualquier momento. El BYOD es el triunfo de la movilidad materializado por la introducción de dispositivos tan sencillos de manejar como las tabletas que permiten disponer de un entorno de trabajo limitado pero suficientemente potente para poder resolver las cuestiones operativas más básicas como leer el correo, revisar documentación, elaborar escritos, etc.

En la problemática técnica para torear con el BYOD,  los riesgos se estratifican por diferentes capas y plantean cuestiones que tienen que ser resueltas desde perspectivas diferentes.

  • La protección física del propio dispositivo que debe tratarse desde la seguridad física con pautas sobre la custodia y uso de estos elementos en entornos inseguros.
  • La protección lógica del acceso y conexión a los sistemas de información corporativos, donde la autenticación toma ahora mayor relevancia dado que es el punto crítico para autorizar el acceso.
  • La conectividad del dispositivo desde lugares externos a los sistemas de información en donde el uso de protocolos de comunicaciones seguros deben evitar la interceptación de comunicaciones y  el robo de credenciales.
  • La protección lógica de la información que reside en el dispositivo donde la criptografía puede garantizar que frente a la pérdida o robo, no habrá fugas de información.
  • A esto pueden añadirse el uso de tecnologías proactivas en la detección y control del flujo de información como podrían ser los sistemas DLP de los que ya hablé hace unos años pero que no parecen haberse popularizado demasiado. 

La receta anterior además debe reforzarse con una intensa monitorización y una estrategia basada en la detección de anomalías a las que contribuyen las herramientas SIEM que cada vez van a adquirir más importancia y que serán el verdadero corazón de la seguridad en los próximos años. Realmente lo que ocurre es que la seguridad lógica copia la misma estrategia de la seguridad física y la detección de incidentes y la notificación para su resolución son la operativa común que mejor funciona. El modelo policial y la notificación de incidentes vía teléfonos 112 que empleamos en el mundo físico y que tan buenos resultados ofrece.



4 comentarios:

Jose Angel Rodriguez Veiga dijo...

Totalmente de acuerdo contigo.

Creo que la información de las administraciones públicas no debería estar en la nube salvo que se tratara de nube privada.

Se hace imprescindible contar con software MDM para gestionar la seguridad de estos dispositivos sin utilizar servicios como los del fabricante.

Por último comentar que quizá no sea un BYOD exactamente, ya que puede que sea un dispositivo corportavio.

Javier Cao Avellaneda dijo...

Si, supongo que no se trata de un BYOD puro dado que a todo el personal del Congreso se les proporcionaron las herramientas más "cool" del momento para la mejora del uso de las tecnologías por parte de los parlamentarios.

fmliso dijo...

Introducir la clave erronea en un IPAD reiteradamente no borra la información. Tan solo bloquea el dispositivo durante unos minutos...

De todas formas el paradigma de la seguridad no existe dependientemente de los dispositivos, salvo por bugs de software tal y como sucede con los PCs, portátiles (personales o corporativos) o servidores en cualquier organización, sino que depende de las personas (perfiles).

Es tan difícil (o fácil) controlar a una persona con un Ipad que con un lápiz USB.

Lo que hay que desarrollar son políticas de seguridad basada en perfiles de usuario. Y alguna vez aplicarlas!

El sitio donde se encuentre la información no e slo más importante. Por los beneficios del cloud (costes, disponibilidad, ...) mejor en la nube, pero no en la pública por fiabilidad en el control de la gestión sino en la nube híbrida o en el peor de los casos privada (más cara).

Javier Cao Avellaneda dijo...

En el caso del Iphone, en el menú General, Sección bloqueo con Codigo hay un interruptor que se puede habilitar y etiquetado "Borrar datos" que explicitamente indica lo siguiente: "borra todos los datos del Iphone tras 10 intentos fallidos de introducir el código". Yo lo tengo activo y supongo que en el Ipad esta configuración será identica al ser el mismo sistema operativo.

Y efectivamente el problema del BYOD en cuanto a riesgos es similar al de los dispositivos USB o portátiles. En cualquier caso, el objetivo no debe ser el dispositivo sino la información y las tecnologías de cifrado, convenientemente usadas son robustas para este problema.

Coincido contigo en que el problema es el enfoque porque no está basado en "Personas" pero una de las principales causas es que precisamente la Dirección es quien no entiende que deben estar sometidos a restricciones por la alta responsabilidad que ostentan y lo delicado de los activos que custodian. Como son dueños, se sienten con poder para asumir riesgos y lo peor de todo, a veces creen tenerlos controlados cuando algunos de estos riesgos son desconocidos o invisibles.

 
;