Un grupo de investigadores financiado por la Unión Europea ha desarrollado y probado un nuevo sistema corporativo de ciberseguridad diseñado para amoldarse a las tendencias actuales de trabajar con varios dispositivos y ha definido una forma sencilla de lograr que el ciberespacio empresarial sea más seguro y esté más protegido.

Economía digital

La movilidad y la vida moderna han hecho que, a menudo, el trabajo que se empieza en el ordenador de la oficina se termine en un portátil, quizás en el tren regresando a casa, o que se envíe mediante un smartphone a un cliente a la mañana siguiente. Aunque esta práctica sea cómoda y eficiente, de hecho puede exponer a las empresas a amenazas contra la seguridad. «En muchos casos, los protocolos y las prácticas de seguridad de las empresas no han sido capaces de mantener el ritmo de evolución de las nuevas tecnologías y su utilización, tanto en la oficina como en casa», explica el coordinador del proyecto Sergio Zamarripa, de S2 Grupo (España). «Un problema crucial es que la generalización de los dispositivos móviles y portátiles ha difuminado la línea que separa el trabajo de la vida privada». Algunas tendencias, como la popularización de las redes sociales, y políticas como Bring Your Own Device (BYOD) plantean nuevos riesgos. «Imaginemos que un empleado con un perfil de BYOD utiliza el mismo dispositivo en su casa, después de descargar, solo unas horas antes, un documento confidencial en el trabajo», explica Zamarripa. «Si el usuario no es consciente de que ciertas acciones podrían poner en riesgo la confidencialidad, un atacante malintencionado podría obtener información confidencial». Además, las grandes organizaciones adoptan cada vez más mecanismos de TIC complejos, que exigen que los usuarios completen una serie de tareas complicadas, lo cual aumenta la probabilidad de que se produzca un error humano. Adaptado al modo de trabajo moderno El proyecto MUSES ha abordado este eslabón débil de la cadena de seguridad desarrollando un sistema de seguridad corporativo centrado en los usuarios e independiente del dispositivo, capaz de adaptarse al concepto del trabajo totalmente integrado en distintos dispostivos. El sistema interactúa con los usuarios enviándoles notificaciones en tiempo real con información y recomendaciones relacionadas con las acciones actuales del usuario. Algunas notificaciones pueden contener, simplemente, sugerencias para completar determinada acción con seguridad, mientras que otras pueden bloquear activamente una acción no segura y proporcionar directrices para asegurarse de que la acción se complete con seguridad (por ejemplo, conectándose a una red Wi-Fi segura). «Las políticas de seguridad corporativas deberían regular la forma en la que interactúan los empleados, los dispositivos y los sistemas de TI», señala Zamarripa. «Nuestro objetivo era aumentar la conciencia de los empleados con respecto a las situaciones de riesgo y ayudarles a tratar esos riesgos. Esto permitirá a los empleados realizar su trabajo del modo acostumbrado y ayudará a las empresas a aplicar activamente políticas de seguridad sin introducir obstáculos nuevos». El consorcio de MUSES realizó varias pruebas prácticas y observó que la introducción de la seguridad corporativa utilizable de MUSES reducía los incidentes gracias a que mejoraba el comportamiento de los usuarios. «Las pruebas revelaron una disminución gradual del número de incidencias con el tiempo, ya que los usuarios aprendían cómo debían realizar sus tareas de forma segura, mediante las recomendaciones automáticas que proporcionaba el software de MUSES», informa Zamarripa. Ventajas para patrón y empleado El proyecto ha puesto de manifiesto que la interacción directa con los usuarios en relación con la ciberseguridad puede aumentar la competitividad y reducir los costes directos e indirectos asociados a los incidentes de seguridad, como los tiempos de inactividad y los costes de recuperación, o el coste de los daños para la reputación. «Hemos observado que las pymes son el objetivo más probable, ya que no suelen disponer de un departamento dedicado a la seguridad», afirma Zamarripa. «La propuesta de MUSES proporciona una forma rentable de asegurar sus activos y el paso siguiente para el consorcio es buscar formas de comercializarla». Las pruebas, muy satisfactorias, aumentaron entre los empleados la conciencia de la importancia de disponer de TIC de confianza, así como el conocimiento de las consecuencias legales y para la sociedad del hecho de utilizar tanto dispositivos de las empresas como personales. Zamarripa también cree que el éxito del proyecto podría generar próximamente recomendaciones relativas a estándares, especialmente los relacionados con BYOD.

Palabras clave

MUSES, ciberseguridad, protocolos de seguridad, dispositivos móviles, smartphone, empleados, corporaciones, competitividad