Los dispositivos pequeños pueden causar grandes problemas: mejora de la seguridad de los dispositivos móviles empresariales
Los teléfonos móviles, esas minicomputadoras en nuestros bolsillos, son un accesorio permanente en el lugar de trabajo de hoy. Gestionarlos y protegerlos no es una tarea sencilla. Gema Howell, científica informática y líder del proyecto de dispositivos móviles en el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) del Instituto Nacional de Estándares y Tecnología (NIST), se unió a nosotros en un seminario web reciente de Learning Series* para analizar los desafíos de la seguridad y privacidad de los dispositivos móviles empresariales. . También compartió consejos para proteger los dispositivos móviles. A continuación se muestra un adelanto de la discusión. Puede ver el seminario web completo aquí .
Evaluar los riesgos
Antes de diseñar e implementar soluciones para dispositivos móviles, las organizaciones deben realizar una evaluación de riesgos para determinar qué recursos necesitan protección, las amenazas para ellos y sus vulnerabilidades. Para facilitar el proceso de evaluación de riesgos, nuestras soluciones para dispositivos móviles exploran amenazas comunes a los dispositivos móviles, como ataques basados en redes y aplicaciones; configuraciones de dispositivos riesgosas, como la falta de un código de acceso del dispositivo; ataques de phishing a través de correo electrónico y mensajes de texto; y dispositivos sin parchear.
Las herramientas de identificación de amenazas, como el Catálogo de amenazas móviles de NIST , utilizadas junto con un proceso de gestión de riesgos, como el Marco de gestión de riesgos de NIST , pueden ayudar a las organizaciones a identificar los requisitos de seguridad y privacidad y diseñar soluciones de dispositivos móviles para cumplir con esos requisitos.
Aplicar la solución
La forma en que se protegen y contienen las amenazas a los dispositivos móviles diferirá según el propietario del dispositivo.
Los dispositivos de propiedad corporativa habilitados personalmente (COPE) son propiedad de la empresa y se entregan al empleado. Los dispositivos COPE brindan la flexibilidad de permitir que tanto las empresas como los empleados instalen aplicaciones en el dispositivo móvil propiedad de la empresa. Una solución de ejemplo para mejorar la seguridad de los dispositivos COPE se muestra en NIST SP 1800-21, Mobile Device Security: Corporate-Owned Personally-Enabled .
Los programas Trae tu propio dispositivo (BYOD) permiten a los empleados usar sus dispositivos personales para realizar actividades relacionadas con el trabajo. Habilitar el acceso a los recursos corporativos, con el requisito de separar la información personal y relacionada con el trabajo entre sí en un dispositivo BYOD, plantea desafíos únicos para las organizaciones. Una solución de ejemplo para mejorar la seguridad de los dispositivos BYOD se demuestra en NIST SP 1800-22, Seguridad de dispositivos móviles: traiga su propio dispositivo .
NIST SP 800-124, Pautas para administrar la seguridad de los dispositivos móviles en la empresa , es otro gran recurso para ayudarlo a comenzar.
No te olvides de la privacidad
Los datos sobre empleados y dispositivos pueden fluir entre varias aplicaciones y herramientas analíticas. Los datos pueden revelar información privada a empleadores y terceros. Cualquier estrategia de seguridad de dispositivos móviles debe considerar las implicaciones de privacidad tanto para el empleado como para la organización. El marco de privacidad del NIST es una herramienta voluntaria desarrollada en colaboración con las partes interesadas y está destinado a ayudar a las organizaciones a identificar y gestionar el riesgo de privacidad.
Alcanzar
Si tiene alguna pregunta sobre la seguridad cibernética de los dispositivos móviles, desea conversar con el equipo del proyecto o si está interesado en unirse a su Comunidad de interés de seguridad de dispositivos móviles, envíe un correo electrónico a mobile-device@nist.gov .
* La serie de aprendizaje de NCCoE es un seminario web mensual que ofrece una combinación de contenido fundamental para aquellos que son nuevos en la seguridad cibernética y profundizaciones más técnicas en el trabajo y los resultados en el NCCoE.
29 de junio de 2021
Por: Bárbara Ware