El 35% de las empresas reconoce haber sufrido infracción de datos tras la pérdida un dispositivo móvil

junio 15, 2011 Sophos Press Release

Madrid, junio de 2011.-. Sophos , compañía de seguridad TI y protección de datos, junto al Instituto Ponemon, han hecho público un informe sobre la seguridad móvil, ofreciendo una serie de consejos para los trabajadores móviles sobre el uso que sobre SmartPhones y otros dispositivos de similares características se debe hacer.  

Así, y con el título “ Seven Tips for Securing Mobile Workers” (“Siete Consejos para Proteger a los Trabajadores Móviles) el informe, realizado en mayo de 2011, s e erige como una guía práctica sobre el tratamiento de una de las más rápidas y crecientes amenazas a la seguridad de la información sensible y confidencial: la fuga de datos en dispositivos móviles.  

Hoy día, dicha violación de la información se produce en ordenadores portátiles, Androids, iPads o memorias USB, entre otros, dispositivos de gran popularidad en el lugar de trabajo, pero que, por sus características, pueden poner en alto riesgo activos de la organización como redes, datos o incluso su propia reputación.  

En este sentido, y de acuerdo a un informe anterior realizado en 2010 por el Instituto Ponemos sobre el Coste Anual que supone la Pérdida de Datos, un 35% de las organizaciones participantes reconoce que tras haber extraviado o habérsele sustraído un dispositivo móvil de su propiedad se han enfrentado a un caso de violación de información.  

Errores que pueden pagarse muy caro  

Asi, según el Informe “ Seven Tips for Securing Mobile Workers” , mientras que el coste medio que supone un caso de violación de datos fue de 214 dólares por registro de pérdida o robo en 2010, idéntica infracción realizada sobre un dispositivo móvil alcanzó los 258 dólares por registro.  

La investigación, asimismo, sugiere que las transgresiones relacionadas sobre este tipo de equipos móviles son más costosas para las empresas que las realizadas sobre otros, ya que las investigaciones y análisis forenses necesarios son más difíciles y gravosos. 

A tenor de estos datos, algunos expertos de seguridad, ya han señalado a los SmartPhones y a otros dispositivos móviles como el vector de amenazas más serio para una organización, no sólo por el hecho de que los datos sensibles contenidos en ellos se desplacen a diario a consecuencia de la movilidad laboral, sino también porque este tipo de equipos son utilizados tanto con fines profesionales como personales.  

Para ayudar a abordar estos riesgos, se han identificado siete áreas clave donde las organizaciones pueden hacer mejoras relacionadas con la seguridad de sus trabajadores móviles: 

1.    Desarrollar una estrategia empresarial para la seguridad móvil. Se recomiend a la realización de una auditoría para determinar dónde y cómo tanto los ordenadores portátiles como otros dispositivos móviles se utilizan dentro de la organización. También se sugiere realizar una clasificación de los empleados que manejan datos sensibles en estos dispositivos. Los datos se pueden clasificar de la siguiente manera: datos regulados (como tarjetas de crédito, datos de salud, número de seguro social y licencia de conducir), datos de clientes no regulados (por ejemplo, historial de compras, lista de direcciones de correo electrónico, información de envío), datos confidenciales del negocio no regulados (tales como planes de negocios IP, y los registros financieros) y los datos de los empleados.
En base a esta clasificación, las empresas deben asegurarse de que los empleados comprenden que son también responsables de la seguridad de los datos; realizar una evaluación de riesgos para determinar los posibles escenarios donde puede producirse el robo de los datos almacenados, procesados ​​ o transmitidos por estos dispositivos; y adoptar las medidas apropiadas de seguridad para proteger tanto los datos como los portátiles.  

2.    Concienciar al empleado y crear una política integral (que incluya directrices detalladas) para todos los empleados que utilizan dispositivos móviles en el lugar de trabajo. La política debe abordar los riesgos asociados a cada dispositivo y los procedimientos de seguridad que se deben acatar.  

pautas a seguir abarcan desde qué tipos de datos no deben ser almacenados en estos dispositivos, hasta la forma de determinar si una aplicación se puede descargar de forma segura o no, y cómo informar de un equipo perdido o robado. Además, es importante establecer prácticas rigurosas de vigilancia y aplicación de tecnologías de apoyo para asegurar que las políticas y directrices se aplican estrictamente.

Por último, se advierte de la necesidad de no apagar o desactivar la configuración de seguridad o "jailbreak", una práctica que según, el Instituto Ponemon, se ha demostrado que es un problema generalizado en las empresas y que puede suponer múltiples inconvenientes.  

3.    Establecimiento de las responsabilidades de la organización. Este tercer punto se refiere a cómo las compañías tienen el compromiso de proporcionar a sus empleados políticas, procedimientos y tecnologías necesarios para la seguridad de los dispositivos móviles utilizados en el lugar de trabajo; pero también a cómo éstos deben ser conscientes de la necesidad de ser responsables en su uso.  

Ante el hecho de que es casi imposible evitar que los empleados que utilizan dispositivos móviles lo hagan también para fines personales, el estudio recomienda crear pautas para el uso responsable de estos dispositivos cuando son utilizados para fines no comerciales. Así, y como parte del establecimiento de responsabilidad de los empleados, se aconseja realizar una evaluación de riesgos para determinar los posibles escenarios donde podrían producirse el robo de los datos almacenados, procesados ​​ o transmitidos por los dispositivos móviles y compartirlos con los empleados. 

4.    Reconocimiento de las posibles amenazas y sensibilización y formación como usuarios finales (para reducir los errores de los empleados). Más allá de las políticas y el seguimiento de los comportamientos de los empleados, las organizaciones deben implementar un programa de entrenamiento para ayudar a su fuerza laboral a entender y reconocer las nuevas amenazas de seguridad que pueden estar presentes cuando utilizan sus dispositivos móviles. Estos cursos de capacitación deben hacer hincapié en la necesidad de cuidar la transmisión de información confidencial; en reconocer posibles casos de phishing que podrían atentar contra la información confidencial de las empresas;  y en observar que tanto Web 2.0 como las redes y medios sociales pueden ser también objetivo de estos ataques.


Otros riesgos tienen que ver con la vulnerabilidad de los datos de voz. Los empleados deben asumir que las llamadas de voz son confidenciales y no deben revelar información corporativa durante sus conversaciones telefónicas. Igualmente, deben estar atentos para evitar ataques de software malicioso contra los teléfonos. Para ello, se aconseja desactivar el Bluetooth cuando no se utilice y usar software de cifrado para las llamadas sensibles.  

5.     Uso del control de aplicaciones, parches y otros para prevenir el hacking y las infecciones de malware. Según el Instituto Ponemon, los métodos de inclusión en listas negras no son suficientes para decidir qué aplicaciones son admisibles y pueden ser descargadas por los empleados en sus dispositivos móviles. Ya que los ataques se dirigen a explotar vulnerabilidades, es vital que los sistemas operativos y aplicaciones en dispositivos móviles, como navegadores, lectores de PDF y Flash sean parcheados y actualizados.  

En los Smartphones propiedad de la empresa, las políticas para bloquear aplicaciones improductivas o de riesgo deben estar habilitadas. Además, también se debe restringir el uso de Exchange Active Sync y otras herramientas de sincronización de correo electrónico en los equipos de los usuarios y que cumplen con  políticas de seguridad tales como la duración mínima de la contraseña. Por último, es importante controlar y hacer seguimiento de los datos que viajan a través de la red.  

Técnicas seguras para evitar el uso fraudulento de información  

6.     Como sexta medida el estudio recomienda utilizar el borrado remoto, el cifrado de dispositivos móviles y las tecnologías anti-robo de datos para reducir el riesgo de infracción. Un dispositivo móvil perdido o robado con tecnología de cifrado es mucho menos costoso para la organización que otro que contenga datos confidenciales o sensibles sin cifrar. Además de la encriptación, las organizaciones deberían considerar seriamente la utilización de tecnologías anti robo idóneas para localizar un dispositivo perdido o impedir que terceros no autorizados reutilicen el mismo. Así, hoy en día, la mayoría de los teléfonos inteligentes incluyen la capacidad de borrado remoto, una característica que debería habilitarse para poder limpiar los datos de un Smartphone perdido o sustraído.  

7.     Aunque el foco de este artículo se refiere a la seguridad, existen riesgos inherentes asociados con la privacidad de los dispositivos móviles, y que tiene que ver con la comprensión de los nuevos problemas de privacidad inherente a los dispositivos móviles.


Partiendo de la base de que seguridad y privacidad son importantes para la creación de relaciones de confianza con las personas, la exposición de información personal de los empleados o clientes puede causar daños a la reputación y las costosas multas como consecuencia de su incumplimiento. También se recomienda la realización de evaluaciones de impacto de la intimidad para examinar de cerca los riesgos de privacidad y protección de datos asociados a los dispositivos móviles.