10 % de las empresas tienen al menos un dispositivo comprometido
Las fugas de datos y el cibercrimen están evolucionando hacia la movilidad. Recientemente se detectaron ataques hacia aplicaciones móviles y sistemas operativos con el fin de extraer datos sensibles, desafortunadamente muchas empresas no estaban preparadas.
Por ejemplo, las aplicaciones iOS que están infectadas con el malware XcodeGhost pueden reunir información acerca de los dispositivos y después cifrar y cargar esos datos a servidores administrados por atacantes.
FireEye identificó más de 4 000 aplicaciones infectadas en la App Store. La compañía de gestión de riesgos en aplicaciones móviles Appthority encontró que casi todas las organizaciones con un mínimo de 100 dispositivos móviles con iOS tenían al menos un dispositivo infectado.
"En medida que se movilizan más procesos de negocio, los cibercriminales buscan aplicaciones móviles para sacar provecho de la incapacidad de las empresas para prevenir y detectar las amenazas móviles", dijo Mike Raggo, Director de Investigación de Seguridad en Mobilelron. "Para proteger los datos sensibles contra las amenazas del mañana, las empresas tienen que repensar su enfoque de seguridad para una arquitectura fundamentalmente diferente."
El poder transformador de la movilidad sólo puede aprovecharse mediante la movilización de los procesos de negocio. Los ecosistemas de aplicaciones de terceros proporcionan a las empresas poderosas herramientas móviles que funcionan fuera de lo común.
El reto con los dispositivos móviles y las aplicaciones es que el usuario, y no el administrador de TI, lleva el control.
Los dispositivos podrían quedar fuera de control gracias a diversas razones. Por ejemplo, un dispositivo caerá en incumplimiento si el usuario libera con jailbreak su dispositivo iOS o rootea su dispositivo Andriod, si el dispositivo ejecuta una versión vieja del sistema operativo o si el usuario instala una aplicación que el área de TI tiene en la lista negra.
Mobilelron detectó que:
- Una de cada 10 empresas tiene al menos un dispositivo comprometido que tiene acceso a datos de la empresa.
- Más de 53 % de las empresas tiene al menos un dispositivo que no está en conformidad con las políticas de seguridad corporativas.
"Las organizaciones de hoy tienen demasiadas tecnologías de seguridad dispares que dificilmente están integradas entre sí de forma total. Incluso cuando están integradas, rara vez incluyen información acerca de los dispositivos y las aplicaciones," continuó Raggo. "La buena noticia para las empresas que utilizan una solución de gestión de movilidad empresarial es que tienen la información necesaria sobre el estado de los dispositivos móviles y las aplicaciones para proteger la información corporativa."
Los empleados suelen almacenar documentos corporativos en aplicaciones de tipo Sincronización y Recursos Compartidos de Archivos (EFSS, Enterprise File Sync and Sharing), poniendo datos corporativos sensibles fuera de la protección de TI. Cinco aplicaciones de las principales diez de los consumidores, y que están en la lista negra de Mobilelron, son aplicaciones EFSS.
- Dropbox(EFSS)
- Angry Birds
- OneDrive (EFSS)
- Google Drive (EFSS)
- Box (EFSS)
- Skype
- SugarSync (EFSS)
"Las versiones de consumo de aplicaciones EFSS asustan a los departamentos de TI, ya que los datos corporativos pueden perderse. Afortunadamente las versiones empresariales de muchas de esas aplicaciones están disponibles," dijo Raggo. "Las empresas pueden dar a sus empleados la experiencia que ellos quieren y al mismo tiempo proteger los datos corporativos, pero eso requiere un cambio de mentalidad de una restricción a una de habilitación."
Fuente: Help Net Security