Red Seguridad 091

48 red seguridad cuarto trimestre 2020 protagonista segurTIC entrevista para salvaguardar correctamente los datos en la nube? Sobre todo hay que controlar el acceso a los servicios. Y para ello no vale fijarse únicamente en usuario y contraseña. No solo porque el uso de la contraseña sea un mecanismo antiguo, incómodo y caro de operar, ya que la gente las olvida y llama a soporte, sino porque son muy inse- guras y fáciles de comprometer por métodos modernos de hackeo y de robar de forma masiva e instantánea. Por tanto, en un entorno donde tu usuario no está en tu perímetro, sino fuera, aunque presente la contrase- ña y el usuario correcto, no puedes fiarte de que es quien dice ser. Puede ser alguien que, simplemente, ha robado las credenciales. Lo que es importante, por consiguiente, es parar al intruso antes de entrar. Es decir, evitar que alguien que no debe ser se conecte a tu servicio cloud . ¿Pero cómo haces esto? Federando la identificación al servicio cloud a un mecanismo que tiene integración con el gestor del dispositivo. De esa forma vas a tener certeza, mediante métodos potentes como los certifica- dos digitales que se instalan con los gestores de dispositivos de gestión moderna, de la identidad, postura en tiempo real y de la localización del dispositivo; así como de una serie de fuentes de información más que van a permitir tomar una decisión mucho más elaborada del contexto de esa petición de conexión. Acaba de mencionar que las con- traseñas son un método antiguo, inseguro e incómodo. ¿Cuál es el futuro que augura a este método de protección? El futuro ya está aquí. Los disposi- tivos móviles incorporan mecanis- mos biométricos de reconocimiento facial o de huella digital. Eso permite autentificar el usuario con el disposi- tivo de una forma mucho más segura que una contraseña. De hecho, ya se está utilizando en las aplicaciones de consumo, ya que para darte de alta en Dropbox, Facebook o Apple debes autentificarte como segun- do factor desde el móvil, y te está pidiendo la biométrica. de la empresa, además de otra capa de protección de todo el dispositivo contra posibles ciberataques. Un móvil es como cualquier orde- nador: tiene un sistema operativo con millones de líneas de código e, inevitablemente, vulnerabilidades. Y profesionales con recursos pueden explotar esta situación. De hecho, ya hemos visto casos de personas conocidas que han tenido sus móvi- les hackeados. Por tanto, es impor- tante, además de la gestión y de separar el entorno y la protección, proteger el móvil contra posibles ciberataques de profesionales. Es más, el móvil es el sueño dorado del ciberdelincuente, sobre todo si es propiedad de una persona rele- vante. Imaginemos la cantidad de información sensible que llevamos en él y combinémoslo con el hecho de que el móvil esté siempre conec- tado a la red y con acceso a nuestra empresa y que, además, tiene un micrófono, una cámara y una geo- localización… Por lo tanto, hay que tomar las pre- cauciones correspondientes instalan- do el software de protección como el que ofrece MobileIron. Ha mencionado antes el cloud . ¿Desde tu punto de vista, cómo se deben proteger las compañías físicamente, la organización, a tra- vés de nuestro software , no tiene acceso a ningún tipo de información particular. No obstante, estoy hablando del caso más habitual, que es cuan- do la compañía, en la configuración del dispositivo, permite tener ambos entornos, el laboral y el personal. Pero es cierto que hay empresas que, por sus características, son propiedad de los dispositivos y los configuran para que solamente dis- pongan de un entorno de trabajo. En este caso es lo mismo, pero no existe ese espacio particular. El usua- rio no puede descargar aplicaciones públicas o cosas particulares, sino que solamente tiene acceso a las aplicaciones corporativas. Precisamente uno de los objetivos del Centro Criptológico Nacional sigue esta línea, ya que desea que los ayuntamientos cuenten con una correcta ciberseguridad en los móviles. El móvil no es un teléfono, sino un ordenador de bolsillo. Es un endpoit más que tiene una conexión perma- nente a los recursos de la empresa y que almacena información corpo- rativa. Por lo tanto, es importante crear esta separación y esta capa de protección a la información, que es