“Pocas empresas trabajan para proteger sus datos desde móviles” Camilo Gutiérrez de ESET

En el marco del 8º Congreso de la prevención de fraude y seguridad, organizado por Asobancaria, hablamos con Camilo Gutiérrez, Security Researcher de ESET, quien nos habló del panorama de la protección de la información de las empresas desde dispositivos móviles no solo en Colombia sino en Latam.

Aunque existen empresas que han incorporado modelos sólidos de protección de datos al interior de las organizaciones, aún existe una gran cantidad de compañías que no han realizado controles serios para evitar la fuga de información.

Según el más reciente estudio de ESET para Latinoamérica, el 42% de las empresas no tienen una política BYOD definida, y solo el 38% de las empresas analizadas realizan esporádicamente actividades de concientización a los miembros de su organización.

Gutiérrez hace énfasis de la importancia en que las empresas desarrollen programas de capacitación y aprendizaje para sus empleados y que ellos tomen conciencia de la importancia de salvaguardar información y así implementar medidas para pérdida de información fundamental en las organizaciones.

¿Cuáles son los principales errores que cometen las empresas para proteger la información desde dispositivos móviles?

Uno de los principales errores que estamos viendo en las empresas es que tienen desconocimiento de las amenazas o no le prestan el suficiente cuidado a este tipo de riesgos. Las amenazas las estamos viendo desde hace 10 años en los dispositivos móviles, además, los empleados de las empresas no tienen un uso responsable y adecuado de las amenazas porque no las conocen, no saben los riesgos a los que están expuestos y descargan aplicaciones de repositorio, las instalan sin mayores recaudos, sin verificar cuáles son los permisos, no tienen una solución de seguridad instalada en su dispositivo móvil, no están acostumbrados a actualizar las aplicaciones.

Todavía hay una conciencia por generar alrededor de los usuarios de este tipo de tecnología. Es por eso que hay una falsa sensación de seguridad con los dispositivos móviles, porque como los llevamos en nuestro bolsillo y los llevamos siempre con nosotros, entonces muchas veces se piensa que no les va a pasar nada, pero el tipo de información que estamos manejando en los dispositivos móviles es muy importante, hay información, personal, laboral, financiera y por lo tanto los ciberdelincuentes se están enfocando en esa área.

¿Cómo protegerse?, ¿Es una tarea de los empleados, de las empresas o quién debe tomar las riendas de esta problemática?

Definitivamente, cuando la empresa decide darle permisos a sus empleados para que manejen información laboral en dispositivos móviles, que no son propios de la compañía sino de los empleados, deben tener en cuenta que antes de hacer eso deben hacer campañas fuertes explicando cuáles son los riesgos a los que pueden estar expuestos, las formas que hay de protegerse, que si bien el dispositivo móvil es del usuario, le exijan algún tipo de medida de protección, mínimo una solución de seguridad, porque está bien que sea el dispositivo móvil del empleado pero está manejando información de la compañía, esto debe partir de una política de seguridad de la empresa respecto al manejo de la información, lo importante es ser conscientes de los riesgos, si lo vamos a permitir hay que gestionarlo, si no lo vamos a permitir hay que controlar el manejo de los dispositivos.

Camilo Gutiérrez - Security Researcher ESET Latinoamérica

Camilo Gutiérrez – Security Researcher ESET Latinoamérica

Entonces ¿hay que restringir la movilidad de la información de la empresa en los dispositivos de los usuarios?

Esa puede ser una solución, si el negocio de la empresa pide tomar dicha medida, por ejemplo, el departamento contable, ¿qué tipo de información van a tener que manejar si todo el tiempo están en la oficina? No es necesario que manejen ese tipo de datos en dispositivos móviles, entonces la política debe ser que no accedan a información de forma externa de la compañía, así vamos a obtener controles que nos garanticen que las personas del área contable no van a poder acceder a esa información, pero la fuerza de ventas por ejemplo, que están todo el tiempo fuera de la oficina, necesitan acceder remotamente a la información de la compañía, costos, precios, etc, es más como para ellos poder acceder a la información desde su smartphone en vez de tener que sacar todo el tiempo la laptop, pero ¿cómo a ellos se les va a dar acceso? entonces vamos a gestionar ese manejo, ¿a qué tipo de información van a acceder?, si van a acceder a toda la información, si la van a modificar, si solamente la van a poder leer, entonces las empresas deben gestionar ese acceso. En esa medida podremos garantizar la seguridad, si somos indiferentes es donde se van a empezar a crear los problemas.

¿Cuál es el panorama de Colombia respecto a la región en cuanto a la prevención de fugaz de información que puede existir en dispositivos móviles?

En materia general, en Colombia y en Latinoamérica es un tema en el que hay mucho por trabajar, muchas de las empresas dicen sí me interesa la capacitación para combatir este tipo de problemáticas, pero no tienen un programa regular, lo hacen esporádicamente, son pocas las empresas que tienen un programa continuo enfocado a esa concientización a sus usuarios, todavía está bastante por trabajar, lo que hemos notado es que se enfocan más en controles de tipo tecnológico en tener antivirus, antispam, firewall y una gran cantidad de tecnologías, pero en esa parte de concientizar a los empleados todavía falta un camino por recorrer.

Luego de la entrevista con Camilo, queda como conclusión que sin lugar a dudas el panorama por recorrer es bastante amplio y el reto debe nacer desde las áreas IT de las organizaciones, prevenir es el primer paso para proteger la información de las organizaciones, si se pone en una balanza ¿es preferible invertir en prevención o en solución a un problema ya generado? Déjanos tu opinión en el área de comentarios de este post.

Imagen destacada @Johan Larsson, distribuida con licencia Creative Commons BY-SA 2.0

2 comentarios a esta entrada.
  1. Buen dia, me parece interesante este tema, y es que la atencion a la seguridad de una compañia por medio de los dispositivos moviles es muy debil en estas empresas, ellos solo creen que deben de cuidar los portatiles o pc de escritorio, y esa es una gran falencia, actualmente los nerds ciberneticos desocupados deben de estar tejiendo una gran red de inseguridad para este tipo de dispositivos, y es solo hay cuando la prevencion que no se tuvo se convertira en otro gasto para la empresa.

    • Hola Tonny:

      Efectivamente aún falta mucho por concientizar a las empresas para que adopten modelos efectivos de protección de información desde dispositivos móviles, muchas lo ven como un gasto adicional pero no caen en cuenta los costos que puede acarrear para la organización la perdida de información.

      La regulación y el control es la mejor manera para evitar la fuga de información en las organizaciones. Muchas gracias por tu comentario. ¡Saludos!

Déjanos un comentario

SUSCRÍBASE A NUESTRO NEWSLETTER