La movilidad en la seguridad corporativa
Las herramientas de protección de los equipos externos a la red fija de una empresa se han convertido en un elemento básico a la hora de implementar la política de seguridad corporativa.
Cada vez más, las organizaciones contemplan la necesidad de que parte de sus empleados dispongan de equipos informáticos móviles –desde ordenadores portátiles a teléfonos de última generación–, para un mejor aprovechamientos de las tareas empresariales. Dichos equipos permanecen durante días fuera del entorno ‘seguro’ de la oficina, sin que la política de seguridad establecida en la compañía pueda ampararles ante posibles amenazas.
Acostumbrado al entorno de la oficina, el comercial desplazado fuera del trabajo suele preocuparse más por cómo recibir el correo electrónico conectado a Internet en la habitación de su hotel, que por los niveles de seguridad de su equipo. Las consecuencias pueden ser graves, ya que en este tipo de ordenadores donde la información almacenada suele ser estratégica y de gran valor –proyectos, ofertas comerciales, bases de datos de clientes, etcétera–, la simple ausencia de un firewall en el permite que los hackers hagan del PC un terreno conquistado, y un antivirus sin actualizar pueden ser las causas de que el portátil se convierta en una máquina zombi.
A ello hay que añadir un elemento más que debería preocupar a los administradores de las redes empresariales: tarde o temprano el ordenador volverá a conectarse a la red corporativa y volcará en ella todo aquello que ha ‘recogido’ de Internet –herramientas de hacking, troyanos o spyware– durante el tiempo que ha estado ausente. Por otro lado, cada vez se subcontratan más servicios dentro de las grandes corporaciones, favoreciendo que personal externo se conecte a la red con equipos portátiles ajenos para desempeñar las tareas como cualquier otro empleado de la entidad.
Estos ordenadores suelen llevar instalados ya algunos sistemas de seguridad, desde antivirus a firewalls, pero ¿son lo suficientemente seguros como para que cumplan con las políticas de seguridad de la empresa que les ha contratado? Por regla general, los administradores de red tienen bastantes contratiempos, ya en su trabajo diario como para ir verificando uno a uno los equipos de cada uno de ellos, situación que además puede resultar embarazosa, ya que las normas sobre la intimidad de los equipos informáticos difieren en función de cada empresa.
Todo ello desemboca en la necesidad de un control específico sobre las conexiones de sistemas móviles a la red corporativa. Cuando un sistema se conecta a ésta, hay que asegurarse de que el equipo es seguro, entendiendo como tal que cumple el nivel de seguridad indicado por el administrador de dicha red. De esta forma se impide la entrada de código malicioso a través de las conexiones. En función del resultado del chequeo deberá permitirse o denegarse el acceso o, incluso, establecer un nivel de seguridad en el equipo que se adapte a los requerimientos corporativos de protección informática.
Sin embargo, en muchas ocasiones la conexión de equipos externos está ya prevista, por lo que se redirige hacia determinados segmentos de red, o se establecen automáticamente permisos y restricciones, sin que llegue a producirse un conflicto de intereses entre políticas de seguridad de distintas corporaciones.
José Manuel Crespo es director de producto de Panda Software
Cada vez más, las organizaciones contemplan la necesidad de que parte de sus empleados dispongan de equipos informáticos móviles –desde ordenadores portátiles a teléfonos de última generación–, para un mejor aprovechamientos de las tareas empresariales. Dichos equipos permanecen durante días fuera del entorno ‘seguro’ de la oficina, sin que la política de seguridad establecida en la compañía pueda ampararles ante posibles amenazas.
Acostumbrado al entorno de la oficina, el comercial desplazado fuera del trabajo suele preocuparse más por cómo recibir el correo electrónico conectado a Internet en la habitación de su hotel, que por los niveles de seguridad de su equipo. Las consecuencias pueden ser graves, ya que en este tipo de ordenadores donde la información almacenada suele ser estratégica y de gran valor –proyectos, ofertas comerciales, bases de datos de clientes, etcétera–, la simple ausencia de un firewall en el permite que los hackers hagan del PC un terreno conquistado, y un antivirus sin actualizar pueden ser las causas de que el portátil se convierta en una máquina zombi.
A ello hay que añadir un elemento más que debería preocupar a los administradores de las redes empresariales: tarde o temprano el ordenador volverá a conectarse a la red corporativa y volcará en ella todo aquello que ha ‘recogido’ de Internet –herramientas de hacking, troyanos o spyware– durante el tiempo que ha estado ausente. Por otro lado, cada vez se subcontratan más servicios dentro de las grandes corporaciones, favoreciendo que personal externo se conecte a la red con equipos portátiles ajenos para desempeñar las tareas como cualquier otro empleado de la entidad.
Estos ordenadores suelen llevar instalados ya algunos sistemas de seguridad, desde antivirus a firewalls, pero ¿son lo suficientemente seguros como para que cumplan con las políticas de seguridad de la empresa que les ha contratado? Por regla general, los administradores de red tienen bastantes contratiempos, ya en su trabajo diario como para ir verificando uno a uno los equipos de cada uno de ellos, situación que además puede resultar embarazosa, ya que las normas sobre la intimidad de los equipos informáticos difieren en función de cada empresa.
Todo ello desemboca en la necesidad de un control específico sobre las conexiones de sistemas móviles a la red corporativa. Cuando un sistema se conecta a ésta, hay que asegurarse de que el equipo es seguro, entendiendo como tal que cumple el nivel de seguridad indicado por el administrador de dicha red. De esta forma se impide la entrada de código malicioso a través de las conexiones. En función del resultado del chequeo deberá permitirse o denegarse el acceso o, incluso, establecer un nivel de seguridad en el equipo que se adapte a los requerimientos corporativos de protección informática.
Sin embargo, en muchas ocasiones la conexión de equipos externos está ya prevista, por lo que se redirige hacia determinados segmentos de red, o se establecen automáticamente permisos y restricciones, sin que llegue a producirse un conflicto de intereses entre políticas de seguridad de distintas corporaciones.
José Manuel Crespo es director de producto de Panda Software
