
Seguridad: navegadores empresariales
Navegadores empresariales: proteger los dispositivos no gestionados en la era del trabajo por proyectos
Miguel Ángel Martos, Country Manager Iberia, Netskope
En los últimos cinco años se han producido cambios profundos en los modos de trabajo que han planteado nuevos retos de gestión de riesgos a los equipos de seguridad. Entre ellos, se encuentran el deseado —y luego forzado— cambio al teletrabajo y la consiguiente aparición de modelos híbridos, la fuerte reanudación de los viajes corporativos y el dominio total de la nube, que ha sustituido a los modelos de datos locales.
El uso de dispositivos personales en el lugar de trabajo es otro quebradero de cabeza para muchos. Los empleados acceden habitualmente a los sistemas y datos corporativos mediante dispositivos sobre los que los equipos de seguridad no tienen visibilidad, carecen de control y tienen poca o ninguna capacidad para gestionar las actualizaciones de seguridad. Hoy en día, el usuario medio utiliza 2,5 dispositivos en el trabajo y, según un reciente informe de Netskope Threat Labs, uno de cada cuatro empleados envía cada mes datos de trabajo, en muchos casos datos confidenciales, a aplicaciones personales, presumiblemente para acceder a ellos más tarde desde dispositivos personales.
Los equipos de seguridad deben crear mecanismos que cubran estos casos, pero encontrar el equilibrio entre la implementación de medidas de seguridad y la productividad de los empleados siempre es complicado, ya que a menudo hay demasiados escenarios en los que el uso de dispositivos no gestionados en el lugar de trabajo moderno es una ventaja que compensa el intento de frenar su uso por completo.
Los dispositivos no gestionados tampoco suponen un problema solo para los empleados. El crecimiento continuo del trabajo a tiempo parcial, por contrato, autónomo o subcontratado también contribuye a que los dispositivos no gestionados sean un problema. Conscientes de que muchas de sus necesidades de habilidades y recursos son transitorias y están vinculadas a proyectos específicos, las empresas han contratado a un gran número de trabajadores temporales en todos los niveles de su organización, desde contratistas especializados hasta ejecutivos y directivos a tiempo parcial. Una gran proporción de estos trabajadores utiliza sus propios dispositivos, por lo que equipar a todos y cada uno de ellos con equipos portátiles de la empresa supondría un gran esfuerzo y requeriría importantes recursos informáticos.
La combinación de estas tendencias y dinámicas explica por qué ocho de cada diez organizaciones permiten el uso de dispositivos no gestionados y la mitad de ellas espera que la adopción de la política «traiga su propio dispositivo» (BYOD) aumente aún más en el futuro. En este contexto, los equipos de seguridad deben encontrar el equilibrio entre permitir su uso y minimizar el riesgo de incidentes y violaciones de datos en estos entornos.
Los navegadores web son la clave para garantizar la seguridad de la navegación
En la era de la nube, el acceso a los sistemas, recursos y aplicaciones esenciales de la empresa se puede realizar a través de navegadores web, lo que brinda la oportunidad de proteger de forma segura los dispositivos no gestionados. En lugar de afrontar el coste y la carga logística que supone intentar equipar a la plantilla alternativa con hardware específico, es mucho más fácil hacer que un navegador empresarial seguro sea la vía de acceso a los datos y sistemas corporativos. La descarga de una aplicación de navegador no crea casi ninguna complicación, pero este tipo de aplicaciones especializadas permiten a una organización aplicar y ofrecer políticas estandarizadas de acceso, seguridad y protección de datos, así como capacidades de detección de amenazas, al igual que lo harían en dispositivos gestionados.
Al implementarlas en dispositivos no gestionados, se convierten en el único portal autorizado a través del cual deben circular todas las comunicaciones, actividades y tráfico de datos corporativos entre el usuario y la organización. Así, los equipos de seguridad pueden obtener una visibilidad y un control totales sobre su plantilla temporal, lo cual es genial, pero deben asegurarse de no empezar por el tejado.
Para alcanzar los mismos altos niveles de control que los sistemas de seguridad corporativos, los navegadores empresariales deben poder ver e inspeccionar todos los tipos de tráfico, y no todos son iguales. Muchos navegadores empresariales por sí solos a menudo carecen de la capacidad de inspeccionar el tráfico «TLS», es decir, el tipo de datos que se transportan a través de una conexión de red segura, como los datos dentro de las aplicaciones empresariales en la nube. Esta incapacidad para realizar una inspección exhaustiva implica que tienen dificultades para proporcionar controles de seguridad de datos y prevención de pérdida de datos (DLP) coherentes. Los riesgos para los datos empresariales en dispositivos no gestionados no son menores que para los dispositivos corporativos, por lo que las empresas no deberían conformarse con controles de seguridad y protección de datos menos estrictos.
Otro aspecto importante que los equipos de TI y seguridad deben tener en cuenta a la hora de elegir un navegador corporativo es el nivel de detalle que ofrece para definir y ajustar las políticas a los distintos usuarios. El tipo de control puede variar desde restringir el acceso de usuarios temporales a determinados recursos hasta habilitar o deshabilitar funciones como copiar, pegar, descargar o imprimir para proteger datos confidenciales.
Es importante destacar que, aunque el uso más relevante de los navegadores empresariales probablemente sea el de los trabajadores eventuales y a tiempo parcial, no es el único. Por ejemplo, los navegadores empresariales pueden implementarse rápidamente en equipos externos en el contexto de fusiones y adquisiciones, o en los dispositivos de estudiantes por parte de escuelas y universidades, que así los obligan a utilizarlos para acceder al sistema y a los recursos de su centro educativo.
Si se implementan correctamente, los navegadores empresariales pueden adaptarse a una serie de situaciones que implican dispositivos no gestionados, con el objetivo de mantener la seguridad de los usuarios y los datos durante el proceso, dos retos a los que se enfrentan la mayoría de las organizaciones y equipos de seguridad modernos en la era del trabajo por proyectos.