Tecnologías móviles: amenazas, vulnerabilidades y riesgos 17
Riesgos físicos • Se pierden fácilmente (o son robados), particularmente en áreas públicas. •
•
• Esto aumenta el riesgo físico general, dado que los teléfonos inteligentes avanzados a menudo son vistos como objetivos interesantes para los delincuentescomunes. A medida que los usuarios confían cada vez más en sus dispositivos móviles, la pérdida o robo es más probable que cree condicionesde perturbación y puede dejar a los empleados incapaces de trabajar por períodos prolongados de tiempo. Las consecuenciasde seguridad de la pérdida de dispositivos son más graves. • Por ejemplo, los datos no protegidos y transitorios, como listas de llamadas, textos o elementos del calendario, pueden verse comprometidos, lo que permite a los atacantes recolectar grandes cantidades de datos. • Con intención criminal, los autores pueden ser capaces de recuperar los datos borrados y un historial del uso del dispositivo móvil. • Posibilidad de robo de identidad
18
Riesgos físicos • Desde una perspectiva de gestión de la seguridad, se han realizado varios intentos para prevenir, o al menos mitigar, la amenaza de pérdida o robo de dispositivos: •
• Seguimiento y localización de dispositivos basados en celdas (Cell-based tracking and locating the device) Funciones de apagado / borrado remoto • • Funciones de bloqueo remoto de la tarjeta SIM
Si bien estas instalaciones proporcionan un grado de seguridad, todavía dejan una ventana de exposición a los atacantes que exploran el dispositivo, posiblemente utilizando herramientas analíticas que burlarán las características estándar del sistema operativo. • Restricciones de protección por las limitaciones que plantean los sistemas operativos. 19
Riesgos organizacionales • Como con muchas otras tecnologías, los dispositivos móviles han penetrado rápidamente las empresas en todos los niveles. • (BYOD) •
• En términos de datos, información y conocimiento que existen en la empresa, muchos usuarios tienen acceso a dicha información (privilegiada) a través de sus dispositivos móviles.
Mientras que los entornos corporativos de PC han sido objeto de medidas de endurecimiento y protección durante muchos años, los dispositivos móviles y sus comparativamente débiles mecanismos de seguridad son más difíciles de manejar y controlar. • Diversidad de dispositivos 20
Riesgos técnicos 21
Riesgos técnicos 22
Parte 4
Consumerización de las TIC 23
Introducción •
•
• La consumerización es la tendencia creciente según la cual los usuarios corporativos terminan por decidir qué dispositivos, aplicaciones y servicios se usan en el empleo.
Las nuevas tecnologías de la información surgen primero en el mercado del consumidor y luego se propagan hacia las organizaciones comerciales y gubernamentales.
El establecimiento de los mercados de los consumidores como los impulsores primarios de la innovación en la tecnología de la información se vislumbra como un cambio grande en el ámbito de la tecnología informática, ya que las primeras décadas del desarrollo y el uso de las computadoras estuvieron dominadas por las grandes empresas y organizaciones de gobierno
24
Consumerización •
•
•
• Los dispositivos móviles han tenido un profundo impacto en la forma en que se conduce el negocio y en los patrones de comportamiento en la sociedad.
Han aumentado considerablemente la productividad y flexibilidad en el lugar de trabajo, en la medida en que las personas están ahora en condiciones de trabajar desde cualquier lugar en cualquier momento dado.
Del mismo modo, la potencia de cálculo de los dispositivos inteligentes les ha permitido reemplazar PCs de escritorio y portátiles para muchas aplicaciones empresariales.
Tanto los fabricantes como los proveedores de servicios han creado tanto nuevos dispositivos como nuevos modelos de negocio, como pagos móviles o descargas de suscripciones, utilizando un modelo de pago por uso. • Cloud Computing 25
Consumerización • El impacto del uso de dispositivos móviles se divide en dos grandes categorías: •
• El propio hardware se ha desarrolladohasta un nivel en el que la potencia de cálculo y el almacenamientoson casi equivalentes al hardware de PC. Los nuevos servicios móviles han creado nuevos modelos de negocio que están cambiando las estructurasorganizacionalesy la sociedad en su conjunto. • La consumerización no se limita a los dispositivos. Las nuevas aplicaciones y servicios de libre acceso brindan mejores experiencias de usuario para actividades como la toma de notas, la videoconferencia, el correo electrónico y el almacenamiento en la nube que sus respectivas contrapartes corporativas. En lugar de contar con dispositivos y software de la empresa, los empleados están utilizando sus propias soluciones que mejor encajan con su estilo de vida, las necesidades de los usuarios y las preferencias.
26
BYOD •
•
•
• La movilidad general y la accesibilidad independiente de la ubicación han mejorado las prácticas empresariales y han permitido a las empresas concentrarse en las actividades básicas, reduciendo al mismo tiempo la cantidad de espacio de oficinas utilizada.
Para los empleados, los dispositivos móviles han aportado una mayor flexibilidad, por ejemplo, en llevar a su propio dispositivo (BYOD)
La idea de utilizar dispositivos móviles de propiedad privada se ha convertido rápidamente en un concepto, y muchas empresas se enfrentan ahora a un nuevo obstáculo: cuando la adquisición centralizada y el aprovisionamiento de dispositivos móviles son lentos o engorrosos, muchos usuarios han optado por instalar sus propios dispositivos.
Todo el escenario anterior conlleva a la aparición de riesgos de ciberataque que las empresas no están preparadas a sobrellevar, sobre todo cuando los equipos no les pertencen.
27
BYOD 28
Parte 5
Cloud Computing 29
Cloud computing • Según NIST y Cloud Security Alliance (CSA), el cloud computing se define como un "modelo para permitir un acceso conveniente a la demanda a un conjunto compartido de recursos computacionales configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente provisionados y liberados con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios“ [CSA, 2013]. • Los tipos de servicio que se ofrecen en la nube incluyen: • Software como Servicio (SaaS) •
• • Plataforma como Servicio (PaaS) • Infraestructura como Servicio (IaaS)
La virtualización y las arquitecturas orientadas a servicios (SOA) actúan como elementos clave detrás de las escenas. A pesar de ser atractiva, la computación en la nube no está exenta de su propio conjunto de riesgos, en primer lugar y sobre todo de la seguridad de los datos que se confían en el cuidado de los proveedores de la nube.
Este modelo de prestación de servicios de TI también está sujeto de ataques por parte de ciberdelincuentes
30
Amenazas de Cloud Computing •
•
•
•
•
•
•
• Brecha de datos
Pérdida de datos
Suplantación de identidades de usuario o secuestros de cuentas de usuario
APIs inseguras
DoS
Personal malicioso dentro del staff del proveedor Cloud
Abuso o mal uso de los servicios Cloud
Insuficiente “due diligence”: pobreza en las auditorías
31
Riesgos de Cloud Computing 32
Referencias •
•
•
•
• [CSA, 2013] Cloud Security Alliance (CSA), The Notorious Nine: Cloud Computing Top Threats in 2013, USA (2013)
[ISACA, 2014] ISACA. Cybersecurity Fundamentals Study Guide. ISACA Publishing, USA (2014)
[ISO, 2013] International Organization for Standardization. ISO/IEC 27002:2013, Information technology – Security techniques – Code of practice for information security management. ISO, 2013.
[McKemmish , 2003] McKemmish D. R. Computer and Intrusion Forensics, Artech House, USA, 2003
[Schultz, Brown, and Longstaff, 1990]Schultz, E.E., Brown, D.S., and Longstaff, T.A.; Responding to Computer Security Incidents: Guidelines for Incident Handling, Lawrence Livermore National Lab., USA, 1990
33
| Página siguiente |