Hace unos días escribimos sobre las nuevas formas de gestionar dispositivos móviles en empresas, y dentro de los temas que tocamos, estaba el ciclo de vida de estos dispositivos en la empresa. Como es algo muy interesante, vale la pena que lo retomemos.
Como ya mencionamos, la SP 800-124 Rev. 1 contiene los principales aspectos que dentro de la organización se deberían tener en cuenta al momento de garantizar la confidencialidad, integridad y disponibilidad de la información en los dispositivos móviles, como teléfonos inteligentes y tabletas.
El modelo de ciclo de vida que plantea esta guía para administrar los dispositivos móviles en las empresas se basa en cinco etapas, que permiten identificar la situación en la que se encuentra su seguridad para poder establecer los controles y recomendaciones más relevantes para su gestión. A continuación veremos cada una de estas etapas.
Fase 1
Tiene que ver con las actividades que se deben llevar a cabo en la empresa antes de pensar en implementar soluciones que involucren dispositivos móviles. Estas actividades incluyen la identificación de las necesidades del negocio para utilizar dispositivos móviles, teniendo en cuenta que independiente de la tecnología utilizada, siempre debe ir acorde con el cumplimiento de la misión en la empresa cumpliendo los requisitos funcionales pero sin descuidar la seguridad de la información.
Fase 2
En esta fase de desarrollo se deben especificar cuáles son las características técnicas de la solución, según las necesidades del negocio, y si existe algún tipo de requerimiento adicional que los apoyen. Se deben tener en cuenta características como por ejemplo el factor de autenticación que se va a utilizar o la conveniencia de implementar mecanismos de cifrado de datos para proteger los datos almacenados.
Además, debe quedar claro qué tipos de dispositivos móviles (marcas, sistemas operativos y demás) van a tener permitido acceder a la información corporativa, ya que puede darse el caso de que algunos modelos particulares no cumplan con las políticas deseadas. No está de más aclarar que las políticas deben aplicar para todos los dispositivos en la empresa, ya que empezar a hacer excepciones abre la puerta a generar incidentes de seguridad.
Fase 3
En la implementación se debe garantizar que todos los equipos estén configurados de tal forma que cumplan con los requisitos operativos y de seguridad. Antes de implementar las políticas de seguridad en todos los dispositivos móviles de la empresa, es recomendable hacer pruebas piloto con un número reducido de dispositivos para garantizar que todo funciona de acuerdo a lo esperado.
Es muy importante que en esta fase se garantice el funcionamiento del registro de eventos de seguridad y autenticación, ya que estos serán la base para detectar las oportunidades de mejora.
Fase 4
En la fase de operaciones y mantenimiento deben tenerse en cuenta las actividades de seguridad que en la empresa se deben llevar de forma continua una vez que han sido implementadas las políticas de seguridad en todos los dispositivos. La seguridad es una tarea continua, por lo tanto la aplicación de parches, actualización de aplicaciones, revisión de registros y detección de ataques deben ser actividades incluidas en la operación del negocio.
Fase 5
Finalmente, cuando se detecta que es necesario el cambio de tecnologías, se debe garantizar una eliminación segura de la información en los dispositivos que se van a desechar. Debe tenerse en cuenta desde la eliminación segura de los datos hasta la preservación de la información para cumplir con los requisitos legales.
Como bien lo indicamos, todas estas fases de tratan de un ciclo, por lo tanto sus actividades deben realizarse de forma continua para garantizar que realmente se establecen los niveles de seguridad esperados para cumplir con los objetivos del negocio.
