Tecnologías móviles: amenazas, vulnerabilidades y riesgos
17
Riesgos físicos
•
Se pierden fácilmente (o son robados), particularmente en áreas públicas.
•
•
•
Esto aumenta el riesgo físico general, dado que los teléfonos inteligentes
avanzados a menudo son vistos como objetivos interesantes para los
delincuentescomunes.
A medida que los usuarios confían cada vez más en sus dispositivos móviles, la
pérdida o robo es más probable que cree condicionesde perturbación y puede
dejar a los empleados incapaces de trabajar por períodos prolongados de
tiempo.
Las consecuenciasde seguridad de la pérdida de dispositivos son más graves.
•
Por ejemplo, los datos no protegidos y transitorios, como listas de llamadas, textos o
elementos del calendario, pueden verse comprometidos, lo que permite a los atacantes
recolectar grandes cantidades de datos.
• Con intención criminal, los autores pueden ser capaces de recuperar los datos borrados
y un historial del uso del dispositivo móvil.
• Posibilidad de robo de identidad
18
Riesgos físicos
•
Desde una perspectiva de gestión de la seguridad, se han realizado varios
intentos para prevenir, o al menos mitigar, la amenaza de pérdida o robo
de dispositivos:
•
•
Seguimiento y localización de dispositivos basados en celdas (Cell-based
tracking and locating the device)
Funciones de apagado / borrado remoto
•
• Funciones de bloqueo remoto de la tarjeta SIM
Si bien estas instalaciones proporcionan un grado de seguridad, todavía
dejan una ventana de exposición a los atacantes que exploran el
dispositivo, posiblemente utilizando herramientas analíticas que burlarán
las características estándar del sistema operativo.
•
Restricciones de protección por las limitaciones que plantean los sistemas
operativos.
19
Riesgos organizacionales
•
Como con muchas otras tecnologías, los dispositivos móviles han
penetrado rápidamente las empresas en todos los niveles.
•
(BYOD)
•
•
En términos de datos, información y conocimiento que existen en la
empresa, muchos usuarios tienen acceso a dicha información (privilegiada)
a través de sus dispositivos móviles.
Mientras que los entornos corporativos de PC han sido objeto de medidas
de endurecimiento y protección durante muchos años, los dispositivos
móviles y sus comparativamente débiles mecanismos de seguridad son
más difíciles de manejar y controlar.
•
Diversidad de dispositivos
20
Riesgos técnicos
21
Riesgos técnicos
22
Parte 4
Consumerización de las TIC
23
Introducción
•
•
•
La consumerización es la tendencia creciente según la cual los usuarios
corporativos terminan por decidir qué dispositivos, aplicaciones y servicios
se usan en el empleo.
Las nuevas tecnologías de la información surgen primero en el mercado
del consumidor y luego se propagan hacia las organizaciones comerciales y
gubernamentales.
El establecimiento de los mercados de los consumidores como los
impulsores primarios de la innovación en la tecnología de la información se
vislumbra como un cambio grande en el ámbito de la tecnología
informática, ya que las primeras décadas del desarrollo y el uso de las
computadoras estuvieron dominadas por las grandes empresas y
organizaciones de gobierno
24
Consumerización
•
•
•
•
Los dispositivos móviles han tenido un profundo impacto en la forma en
que se conduce el negocio y en los patrones de comportamiento en la
sociedad.
Han aumentado considerablemente la productividad y flexibilidad en el
lugar de trabajo, en la medida en que las personas están ahora en
condiciones de trabajar desde cualquier lugar en cualquier momento dado.
Del mismo modo, la potencia de cálculo de los dispositivos inteligentes les
ha permitido reemplazar PCs de escritorio y portátiles para muchas
aplicaciones empresariales.
Tanto los fabricantes como los proveedores de servicios han creado tanto
nuevos dispositivos como nuevos modelos de negocio, como pagos móviles
o descargas de suscripciones, utilizando un modelo de pago por uso.
•
Cloud Computing
25
Consumerización
•
El impacto del uso de dispositivos móviles se divide en dos grandes
categorías:
•
•
El propio hardware se ha desarrolladohasta un nivel en el que la potencia de
cálculo y el almacenamientoson casi equivalentes al hardware de PC.
Los nuevos servicios móviles han creado nuevos modelos de negocio que están
cambiando las estructurasorganizacionalesy la sociedad en su conjunto.
•
La consumerización no se limita a los dispositivos. Las nuevas aplicaciones
y servicios de libre acceso brindan mejores experiencias de usuario para
actividades como la toma de notas, la videoconferencia, el correo
electrónico y el almacenamiento en la nube que sus respectivas
contrapartes corporativas. En lugar de contar con dispositivos y software de
la empresa, los empleados están utilizando sus propias soluciones que
mejor encajan con su estilo de vida, las necesidades de los usuarios y las
preferencias.
26
BYOD
•
•
•
•
La movilidad general y la accesibilidad independiente de la ubicación han
mejorado las prácticas empresariales y han permitido a las empresas
concentrarse en las actividades básicas, reduciendo al mismo tiempo la
cantidad de espacio de oficinas utilizada.
Para los empleados, los dispositivos móviles han aportado una mayor
flexibilidad, por ejemplo, en llevar a su propio dispositivo (BYOD)
La idea de utilizar dispositivos móviles de propiedad privada se ha
convertido rápidamente en un concepto, y muchas empresas se enfrentan
ahora a un nuevo obstáculo: cuando la adquisición centralizada y el
aprovisionamiento de dispositivos móviles son lentos o engorrosos, muchos
usuarios han optado por instalar sus propios dispositivos.
Todo el escenario anterior conlleva a la aparición de riesgos de ciberataque
que las empresas no están preparadas a sobrellevar, sobre todo cuando los
equipos no les pertencen.
27
BYOD
28
Parte 5
Cloud Computing
29
Cloud computing
•
Según NIST y Cloud Security Alliance (CSA), el cloud computing se define como un
"modelo para permitir un acceso conveniente a la demanda a un conjunto compartido
de recursos computacionales configurables (por ejemplo, redes, servidores,
almacenamiento, aplicaciones y servicios) que pueden ser rápidamente provisionados y
liberados con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios“
[CSA, 2013].
•
Los tipos de servicio que se ofrecen en la nube incluyen:
•
Software como Servicio (SaaS)
•
•
• Plataforma como Servicio (PaaS)
• Infraestructura como Servicio (IaaS)
La virtualización y las arquitecturas orientadas a servicios (SOA) actúan como elementos
clave detrás de las escenas. A pesar de ser atractiva, la computación en la nube no está
exenta de su propio conjunto de riesgos, en primer lugar y sobre todo de la seguridad de
los datos que se confían en el cuidado de los proveedores de la nube.
Este modelo de prestación de servicios de TI también está sujeto de ataques por parte
de ciberdelincuentes
30
Amenazas de Cloud Computing
•
•
•
•
•
•
•
•
Brecha de datos
Pérdida de datos
Suplantación de identidades de usuario o secuestros de cuentas de usuario
APIs inseguras
DoS
Personal malicioso dentro del staff del proveedor Cloud
Abuso o mal uso de los servicios Cloud
Insuficiente “due diligence”: pobreza en las auditorías
31
Riesgos de Cloud Computing
32
Referencias
•
•
•
•
•
[CSA, 2013] Cloud Security Alliance (CSA), The Notorious Nine: Cloud
Computing Top Threats in 2013, USA (2013)
[ISACA, 2014] ISACA. Cybersecurity Fundamentals Study Guide. ISACA
Publishing, USA (2014)
[ISO, 2013] International Organization for Standardization. ISO/IEC
27002:2013, Information technology – Security techniques – Code of
practice for information security management. ISO, 2013.
[McKemmish , 2003] McKemmish D. R. Computer and Intrusion Forensics,
Artech House, USA, 2003
[Schultz, Brown, and Longstaff, 1990]Schultz, E.E., Brown, D.S., and
Longstaff, T.A.; Responding to Computer Security Incidents: Guidelines for
Incident Handling, Lawrence Livermore National Lab., USA, 1990
33
 Página anterior | Volver al principio del trabajo | Página siguiente  |