We're sorry but your browser is not supported by Marsh.com

For the best experience, please upgrade to a supported browser:

X

Blog: El riesgo en contexto

Cómo administrar riesgos para dispositivos móviles

Por Julien Ducloy Martes, 02 Febrero 2021

El uso de dispositivos móviles, incluyendo computadores portátiles, teléfonos inteligentes, tabletas y memorias USB, crea preocupaciones de seguridad en relación con el posible robo del equipo y los datos sensibles. Además, los dispositivos móviles están sujetos a todas las demás exposiciones a pérdida, como programas malignos, borrado de archivos, daño físico, etc. A continuación, ofrecemos algunas sugerencias para proteger los dispositivos móviles contra múltiples tipos de riesgos. 

Protección Física

Los siguientes procedimientos básicos de seguridad física y ambiental pueden ayudar a proteger su dispositivo móvil de robo y/o daño: 

  • Nunca deje su computador portátil u otros dispositivos móviles desatendidos en lugares públicos o en un automóvil.
  • Siempre cierre bajo llave o asegure su dispositivo. Use bloqueo de cable compatible o guarde su dispositivo bajo llave en su escritorio por la noche. Los bloqueos de cable también pueden ser usados en lugares públicos como bibliotecas, colegios, convenciones, ferias comerciales y salas de negociación donde la seguridad del sitio puede ser limitada. 
  • Use una bolsa para computador portátil que sea discreta, resistente, impermeable, acolchada y de tamaño adecuado. Cuando lleve un computador portátil en un estuche o maleta con correa, camine con su mano sobre la correa.
  • Conserve una lista de inventario de activos que incluya las personas asignadas actuales, los números de serie del equipo asignado, y el software. Las personas asignadas deben mantener un registro separado de los números de serie de los dispositivos.
  • Etiquete el dispositivo con información de identificación, como una etiqueta de inventario o un número de teléfono por si el dispositivo se pierde y es encontrado. Escoja una etiqueta que no permita la identificación del propietario o de la organización, si es posible. 
  • No deje dispositivos en clima helado; probablemente no toleren el frío extremo. 
  • Cuando guarde un computador portátil en su vehículo, es aconsejable que lo mantenga fuera de la vista en la parte trasera o en el baúl; asegurarse de que esté fijo de manera que no se mueva mientras usted esté manejando. Si opta por guardar el computador portátil en la parte de adelante, bajo ninguna circunstancia debe intentar usarlo mientras esté manejando su vehículo.
  • Use un protector contra sobretensión cuando no esté operando con energía de pilas.
  • Conserve la cubierta de seguridad en los paquetes de las pilas. Las pilas tienden a ser de ion de litio o de hidruro metálico de níquel; ambos susceptibles a rápida desintegración.  

Seguridad de los datos 

Los siguientes controles pueden ayudar a proteger sus datos almacenados en dispositivos móviles

  • Establezca contraseñas fuertes como “frases de paso” y haga auditorías habituales. Use biometría para teléfonos móviles, siempre que sea posible. No use solamente patrones (deslizar) para desbloquear dispositivos tales como teléfonos inteligentes o tabletas.
  • Dé protección de seguridad a los extremos y a los dispositivos multimedia portátiles conectados. 
  • Dé acceso a Red Privada Virtual (VPN, por sus siglas en inglés) y Autenticación de Múltiples Factores (MFA, por sus siglas en inglés). 
  • Use VPN para encriptar la sesión al conectar dispositivos móviles a redes públicas de Wi-Fi o cuando acceda a sitios que sean menos seguros.
  • Actualice el software para remediar vulnerabilidades conocidas en su dispositivo.
  • Revise e implemente periódicamente perfiles de configuración seguros para todos los dispositivos móviles.
  • Saque copias de respaldo para evitar la pérdida de datos y para identificar efectivamente y hacer seguimiento a datos sensibles que pueden haber sido almacenados en el dispositivo móvil.
  • Use la solución Mobile Device Management [Gestión de Dispositivo Móvil] (MDM)/Enterprise Mobility Management [Gestión de Movilidad Empresarial] (EMM) y cumpla la política de seguridad, las configuraciones de base, el control de instalación de aplicaciones, y las copias de respaldo remotas obligatorias en usuarios o depósitos seleccionados.
  • Encripte sistemáticamente los dispositivos cuando contengan datos confidenciales y sensibles. En caso de hurto, esto protege sus datos contra acceso no autorizado.
  • Equipe los dispositivos móviles con herramientas remotas de rastreo o limpieza. 

Educación y concientización

La educación de los usuarios es esencial para minimizar las perdidas. El hurto de datos y el espionaje dirigidos específicamente a computadores personales, computadores portátiles, redes y puertos de acceso remoto, están en aumento. La capacitación y concientización de los empleados incluyen: 

  • Mantener trabajo separado. No usar dispositivos móviles para asuntos personales, a menos que esto esté autorizado por la política de seguridad. Por ejemplo, algunos teléfonos inteligentes.
  • No guardar datos localmente, para reducir la exposición al hurto de datos. 
  • Usar servicios preaprobados de la nube o almacenamiento en centro de datos, especialmente para información sensible como Información Identificable Personalmente (PII, por sus siglas en inglés), Información de Salud Protegida (PHI, por sus siglas en inglés), secretos comerciales, etc.
  • No usar dispositivos USB encontrados en cualquier parte. 
  • Por principio, evitar el uso de memorias USB y otro almacenamiento removible, cuando sea posible, a menos que sea un almacenamiento removible seguro proporcionado por la compañía.
  • Desactivar las conexiones automáticas a redes abiertas.
  • Evitar la conexión a redes de Wi-Fi desconocidas.
  • Limitar el uso de Bluetooth y Near Field Communication (Comunicación de Campo Cercano. NFC, por sus siglas en inglés) para el intercambio de información sensible.
  • Apagar la conectividad inalámbrica (Wi-Fi y Bluetooth) cuando no se estén usando.
  • Usar conectividad corporativa de Wi-Fi o red celular de datos en vez de Wi-Fi público.
  • Descargar aplicaciones únicamente de fuentes confiables (Apple App Store y Google Play, por ejemplo) y sitios de red confiables (sitios de red reconocidos para los cuales verifique la presencia del ícono de “candado” o “https://” en la dirección del sitio de red, lo cual indica la validez del certificado).
  • Eliminar adecuadamente los medios del portal según la política corporativa:
  1. No basarse en los comandos de borrado.
  2. Hacer que Informática maneje la eliminación del dispositivo. 
  3. Usar firmas de eliminación aprobadas y obtener los certificados apropiados.

Políticas y procedimientos

Las políticas y los procedimientos escritos deben cubrir temas como los siguientes: 

  • Responsabilidad y rendición de cuentas por la seguridad de los equipos asignados, de modo que las personas a quienes sean asignados sean responsables en caso de pérdida de equipo no atendido o no tenido en forma segura.  
  • Se debe exigir una copia firmada de la declaración de la política a todas las personas a quienes les sean asignados dispositivos móviles.  
  • Auditorías anuales de políticas, procedimientos, equipos asignados y listas de software.  
  • Procedimientos de escalamiento, notificación y reporte en caso de pérdida/robo de dispositivos móviles, sospecha de intrusiones, y datos alterados. 
  • Investigación de dispositivos móviles perdidos o robados o sospecha de filtraciones. 
  • Evaluación del riesgo de filtración de datos considerando los controles existentes. 
  • Registros de incidentes y documentación de acciones tomadas. 
  • Participación de terceros proveedores de soporte de respuesta tales como entrenadores contra filtraciones, abogados externos, contratistas de respuesta a incidentes, y proveedores técnicos. 
  • Denuncia de incidentes a las autoridades, cuando ello esté justificado. Según sea apropiado, también reportar el hurto a la administración del lugar del incidente, como hotel, aerolínea, bus, agencia de renta de automóviles, etc. 

Buenas prácticas de viaje 

El hurto de computadores portátiles es común en aeropuertos y otras instalaciones de viaje. Al viajar con un computador, esté pendiente de su equipaje y la bolsa del computador portátil, especialmente cuando esté esperando en la cinta transportadora para recoger equipaje adicional. Otras directrices para proteger su computador portátil cuando viaje: 

  • Nunca deje el equipo desatendido o fuera de su vista.  
  • Nunca registre un computador portátil como equipaje.  
  • Deje que su computador portátil vaya a través de los rayos x, nunca solicite una inspección manual y mantenga sus ojos sobre el mismo en todo momento.  
  • Si seguridad desea verlo en operación, manéjelo usted. Trate de que ellos nunca toquen el computador.  
  • Denuncie cualquier pérdida inmediatamente a las autoridades. 
  • Conserve la información de números de serie, marca y modelo de sus computadores portátiles, o de cualquier artículo de valor, separada del artículo de manera que pueda dar información precisa a las autoridades en caso de que los artículos sean robados.

 

El Riesgo en Contexto  Marsh Risk Consulting

Relacionado con:  Riesgo cibernético

Julien Ducloy

A Risk Management specialist for 12+ years, Julien started his career in the risk department of a large Parisian airport. Following this experience he held risk consulting positions at various auditing and consulting firms. Julien joined Marsh Risk Consulting in 2008 and formed the Enterprise Risk Management Practice, with an additional focus on technological and cyber risk exposures.