Daniel Madero, Director Regional Iberia de MobileIron, repasa en esta entrevista el impacto del coronavirus en la política de ciberseguridad de las empresas ante la extensión del trabajo flexible. Madero reivindica que se confiera a los dispositivos remotos el mismo nivel profesional de seguridad que a la red corporativa, un cambio de paradigma que MobileIron ayuda a afrontar con soluciones de referencia.
—¿Qué ha supuesto la crisis del coronavirus para las empresas y el mundo TIC?
—En realidad, el coronavirus no ha supuesto nada nuevo; lo que sí ha hecho es poner en evidencia aspectos en los que desde MobileIron – y desde la industria en general – veníamos insistiendo desde hace tiempo y que algunas empresas todavía se estaban planteando desarrollar. El más significativo es la desaparición del tradicional perímetro de seguridad, como consecuencia de la necesidad de los empleados de trabajar con dispositivos remotos de forma remota desde diferentes lugares, y del desplazamiento de las aplicaciones a la nube.
Hasta ahora, las soluciones tradicionales de seguridad estaban basadas en proteger el perímetro de la red corporativa, pero desde el momento en que abres una brecha en ese perímetro éste deja de existir, y surge la necesidad de ir a un nuevo modelo de seguridad, el modelo que ha impuesto la movilidad. Porque los móviles, una vez que los conectas a la red de las empresa y les proporcionas acceso a los datos corporativos, se convierten en dispositivos remotos que van a estar permanentemente conectados y que requieren el mismo nivel profesional de seguridad.
Por tanto, lo que el coronavirus ha supuesto para las empresas y el mundo TIC es un fuerte impulso a los procesos de trabajo en movilidad, un cambio que desde hace tiempo se veía venir.
—¿Han asumido las empresas muchos riesgos a la hora de poner a teletrabajar a sus empleados? ¿Podría enumerar algunos de ellos?
—En mi opinión, muchas empresas han tenido que improvisar y recurrir a procedimientos de emergencia, y ahora se ven obligadas a segmentar bien la solución que hayan implementado y hacerlo de forma correcta, pues tengo la sensación que han dejado cabos sueltos en muchos sitios.
Como he mencionado, el cambio fundamental que han experimentado las empresas es el paso de un entorno de seguridad con perímetro a un entorno en el que éste no existe, el denominado entorno Zero Trust.
Se trata de un entorno del que MobileIron y toda la industria llevamos tiempo hablando, y que empezó con el auge de los smartphones. Con la aparición del Covid-19, los empleados se ven obligados a trabajar en remoto y fuera de la red corporativa, en unas condiciones de seguridad que encajan perfectamente con la definición de Zero Trust.
Así, trabajando en remoto, los empleados utilizan la red wifi de sus casas – en la mayoría de los casos muy insegura -, además de conectarse con dispositivos que posiblemente no estén debidamente gestionados por la empresa. Todo ello supone la creación de un importante agujero de seguridad, con el riesgo añadido de mezclar las aplicaciones personales con las corporativas y la posibilidad de que la información de la empresa pueda perderse o verse seriamente comprometida.
Esta combinación de una red insegura y de dispositivos remotos no gestionados es muy peligrosa, pues aunque exista una VPN, si el dispositivo que está “al otro lado” no está debidamente gestionado, es como si no hubiera nada.
— Las conexiones inseguras de los hogares suponen un reto importante para la seguridad, pues los routers personales son claros focos de ataque para los ciberdelincuentes. ¿Cómo cree que va a evolucionar esta deficiencia?
—Lo más fácil es segurizar el dispositivo de trabajo y disponer de un dispositivo gestionado; es el paso básico. Como he mencionado, ese perímetro que antes se establecía en la red corporativa ahora se establece en el propio dispositivo, sobre el que se incorpora una capa de protección contra posibles ciberataques, como phishing, malware o cualquier ataque de red; protección que en el mundo del PC se denomina antivirus y en el mundo móvil se denomina MTD o Mobile Threat Defense. Esta es la solución más segura y viable, y sin duda más rentable que la instalación masiva de equipos en los hogares de los trabajadores.
Y esto es en definitiva Zero Trust, un modelo en el que desde MobileIron llevamos mucho tiempo incidiendo y es nuestra razón de ser, pues somos una empresa que viene de proteger el end-point, el dispositivo, no venimos de proteger la red. Por este motivo, creemos que en el mundo móvil (el portátil, el smartphone o la tableta), lo más completo, lo más seguro y lo que menos impacta en la experiencia de usuario es la protección del propio dispositivo, base de nuestro modelo de seguridad.
—¿Qué cree que es lo que más va a cambiar a medio plazo en lo que a ciberseguridad se refiere?
Yo creo que lo que va a cambiar más a medio plazo va a ser que se va a empezar a trabajar en implementar una arquitectura de gestión y de segurización Zero Trust, un proceso que se va a empezar a implantar y a generalizar en las empresas.
—¿Está viendo que se están produciendo cambios en este sentido?
—Lo que hemos notado ha sido la urgencia de las empresas por adaptarse tecnológicamente a un estado de emergencia que les sobrevino de golpe. Desde MobileIron, y puesto que fuimos conscientes del notable incremento de sus necesidades de seguridad, nuestra respuesta fue lanzar una promoción que permitía a nuestros clientes aumentar el uso de nuestra plataforma de forma ilimitada, ampliándoles el plazo para regularizar sus licencias. Este ha sido nuestro granito de arena para ayudar en esta situación.
Lo que vimos en un principio fue la urgencia de las empresas por resolver la situación impuesta por la pandemia. Lo que vemos ahora es más interés por conocer los módulos de seguridad, como el Mobile Threat Defense y que se empiezan a planificar cambios en la arquitectura y en el modelo de seguridad.
Además, observamos cómo nuestros interlocutores, los CISOs y los responsables de seguridad, empiezan a tener de más apoyo y comprensión por parte del comité de dirección de sus empresas, por lo que les costará menos justificar sus inversiones.
— Los entornos cloud son más utilizados cada vez, ¿qué amenazas nos podemos encontrar dentro de éstos?
—Al igual que sucede con el dispositivo móvil, en los entornos cloud el perimetro desaparece; digamos que se rompe en ambos extremos, tanto en la cloud como en el dispositivo. Esto es así independientemente de que se trata de una nube pública o privada, porque al final, si tienes una conexión o un acceso a la cloud desde cualquier dispositivo, es necesario vigilar estrechamente el control de acceso a los servicios que alberga la cloud.
Y es ahí donde el recurrir a la tradicional autenticación de ‘usuario y contraseña’ resulta muy poco recomendable; no solo por el bajo nivel de seguridad que ofrece, sino también por su escasa usabilidad.
Es necesario, por tanto, crear mecanismos de autenticación potentes que estén asociados a los servicios alojados en la nube, que impidan el acceso a credenciales robadas y, como decía, que ofrezcan alternativas muchos más seguras de autenticación. Y este alto nivel de seguridad solo se consigue gracias a los dispositivos gestionados.
Un dispositivo gestionado permite hacer una federación de acceso a la cloud hacia un mecanismo que vigila que ese acceso se lleve a cabo solo desde dispositivos remotos gestionados controlados por el usuario, bloqueando así el acceso de alguien ajeno que no disponga de un dispositivo gestionado, independientemente de que haya logrado o no suplantar la identidad de ese usuario.
— A la pregunta: ¿Es el factor humano el más vulnerable? ¿Cuál sería su opinión?
—El factor humano es un elemento de riesgo importante; no es el único, pero es importante. El fuerte auge del phishing es un buen ejemplo de ello, un tipo de ataque que se ha visto agravado por el estallido de la pandemia y que los ciberdelincuentes han utilizado a su favor para incrementar sus ataques. Ante el riesgo de factor humano, la solución está en utilizar el sentido común y concienciar al usuario.
En MobileIron, como en otras empresas, se forma a los empleados en aspectos básicos sobre cómo gestionar su seguridad, enseñándoles mecanismos de ‘ciber-defensa’ destinados a conseguir el despliegue automatico de sistemas de defensa en caso de que el empleado cayera en la trampa de un ciberdelicuente. Quisiera mencionar otros factores que son invisibles al usuario y no dependen de su interacción, como el ‘man-in-the-middle, y que resultan más complejos de evitar.
— ¿En qué diría que hay que prestar más importancia en estos meses de “nueva normalidad”?
—La verdad es que no me identifico mucho con el concepto de ‘nueva normalidad’ y con la idea de que ahora debemos prestar más atención a la seguridad por la situación provocada por la pandemia. Pienso que hay que ser realistas y reconocer que en la actualidad el mundo es móvil, los servicios corporativos están en la nube y todo lo que ello alberga es algo totalmente inseguro, con malos actores que no tenemos otro remedio que admitir que están ahí.
Por tanto, es necesario reconocer que vivimos en un entorno sin perímetro (entorno Zero Trust, o confianza cero), que nos obliga a crear un perímetro dentro del propio dispositivo o end-point, asegurando un mecanismo de acceso a los servicios que vaya mucho más allá de la simple identidad del usuario y que comprenda muchas más fuentes de control de la información, como la postura de los dispositivos remotos, el lugar desde donde se accede y el contexto (por ejemplo, es un síntoma de alarma que un usuario envíe un mensaje desde España y desde China en el mismo día).
Es decir, si las empresas quieren tener una seguridad de primer nivel en la actual ‘nueva normalidad’, deben tener en cuenta una serie de factores que van más allá de a propia identidad del usuario y que les ayudarán a evitar muchos malos tragos.
—¿Finalmente, lleváis tiempo anunciando el fin de las contraseñas. ¿Cuál cree que es la situación actual de este método de protección?
—Creemos que es un camino, no es un todo o nada. No es que todas las contraseñas, o mejor dicho, que la contraseña como método de autentificación desaparezca de todas las aplicaciones de un día para otro. Lo que sí vamos a ver es que las empresas empezarán poco a poco a tener una menor dependencia de las contraseñas como método de autenticación.
En este sentido, lo que MobileIron ofrece es que si una empresa tiene un dispositivo gestionado y dispone de un método seguro de autentificación del usuario con el dispositivo – como es el caso de la biométrica, que ya viene incorporada en la mayoría de los móviles corporativos en la actualidad – puede hacer que todas sus aplicaciones se conecten a nuestro método de federación, como ocurre para cualquier servicio.
Es un proceso bastante simple, pues si el dispositivo está gestionado se le puede implementar determinadas políticas. Una de ellas es la necesidad de desbloquear la pantalla para usarlo, empleando para ello la biometría del dispositivo.
De esta forma, ya no se dispone de una contraseña en un servidor que cualquiera puede robar en cuestión de segundos, o robarlas todas. Ya no existe el hackeo de contraseña, pues se trata de un método mucho más seguro; tan seguro como el que utiliza un banco para que la autenticación, o el que emplea Facebook, Dropbox, etc.
La realidad es que si se dispone de un smartphone y ese smartphone está gestionado, ya existe un token de seguridad muy potente, que la empresa tiene controlado. Por este motivo creo que la biometría es una buena candidata para sustituir a las contraseñas, y en MobileIron estamos detectando muchísimo interés por utilizar este tipo de tecnología.
—¿Cuáles son los objetivos que se han planteado en MobileIron de aquí a los próximos meses?
—Tenemos tres objetivos principales. El primero está relacionado con la gestión de los ordenadores Mac que existen en las empresas, que en la actualidad suelen ser pocos y en la mayoría de los casos no están gestionados. Nuestro objetivo es hacer entender a todos nuestros clientes que esos equipos tienen que estar gestionados, y que sean conscientes del riesgo que corren si no lo están. Nosotros tratamos los Mac como si fueran un móvil más; nuestra solución los soporta plenamente y nuestra VPN de móvil funciona perfectamente también en Mac.
El segundo objetivo es conseguir que los clientes que tienen solo una parte de su parque de dispositivos remotos gestionados y el resto sin gestionar, entiendan que es necesario cierren ese agujero de seguridad.
Por último, nuestro tercer objetivo es conseguir que los clientes que utilizan MobileIron para la gestión de sus dispositivos remotos pero aún no han descubierto nuestra solución de MTD, la conozcan, pues tenemos el único MTD del mundo que está integrado en el agente de MDM.
Esto es una gran ventaja exclusiva de MobileIron y con la que nuestros clientes están verdaderamente encantados, pues no requiere desplegar una aplicación de antivirus ni contar con una conexión de red activa para funcionar, como ocurre con el resto de soluciones MTD del mercado. Nuestros competidores están intentando solventar esa carencia, pero por el momento es algo en lo que somos líderes, y queremos aprovechar esta ventaja para que todos nuestros clientes gocen de esta capa de protección de antivirus que antes no tenían.
Para reforzar este mensaje, quisiera añadir que la plataforma UEM de gestión y seguridad para dispositivos móviles de MobileIron, MobileIron Core, consiguió el 16 de septiembre de 2019 la exigente cualificación del CCN (Centro Criptológico Nacional) para cumplir con el Esquema Nacional de Seguridad (ENS).
MobileIron es la primera empresa en nuestro país en conseguir esta relevante cualificación, requisito clave para la seguridad que exigen nuestras grandes empresas, organizaciones y Administraciones Publicas, y supone el reconocimiento a nivel oficial de los dispositivos remotos como equipos que gestionan información sensible.
