Capítulo 8 Seguridad en los sistemas de información 335

S E S I Ó N I N T E R A C T I V A : T E C N O LO G Í A
BYOD: NO ES TAN SEGURO
Bring Your Own Device (Traiga su propio dispositivo, o las características de seguridad como las contraseñas y los
BYOD) se ha convertido en una enorme tendencia, donde bloqueos con clave. Los intrusos también pueden obtener
casi una tercera parte de los empleados usan sus dispo- acceso físico a los dispositivos móviles si se conectan en
sitivos personales en sus lugares de trabajo en todo el un dispositivo mediante una conexión USB o una ranura
mundo. Se espera que esta cifra aumente todavía más en de tarjetas SD. Incluso dejar un dispositivo sólo por un
los años por venir. Pero aunque el uso del iPhone, el iPad minuto en un escritorio o silla podría provocar un grave
y otros dispositivos de cómputo móviles en el lugar de robo de datos en cosa de minutos.
trabajo está aumentando, también lo están haciendo los Otra de las preocupaciones actuales es la fuga de datos
problemas de seguridad. de gran escala provocada por el uso de los servicios de
Ya sea que estos dispositivos los asigne la empresa cómputo en la nube. Los empleados usan cada vez con
o sean propiedad del empleado, están abriendo nuevas más frecuencia los servicios de nubes públicas como
vías para acceder a los datos corporativos que necesitan Google Drive o Dropbox para compartición de archivos
vigilarse y protegerse muy de cerca. Los datos confiden- y colaboración. Por ejemplo, Mashery, una empresa de
ciales en los dispositivos móviles viajan, tanto en forma 170 empleados que ayuda a otras empresas a crear apps,
física como electrónica, de la oficina al hogar y tal vez permite que los empleados con dispositivos iPhone usen
a otras ubicaciones fuera del sitio. De acuerdo con una Dropbox, Box, Teambox y Google Drive para almacenar
encuesta en 2012, de 400 profesionales de tecnología por memorándums, hojas electrónicas de cálculo e informa-
parte de los investigadores de Decisive Analytics, casi la ción de los clientes. Estos servicios son vulnerables. En
mitad de las empresas que permiten conectar dispositi- julio de 2012, Dropbox reportó una pérdida de nombres
vos personales de sus empleados a la red corporativa han de inicio de sesión y contraseñas de una gran cantidad de
experimentado una fuga de datos, ya sea debido a errores clientes y, en 2011, unos hackers chinos obtuvieron acceso
involuntarios de los empleados o a una fechoría intencio- a cientos de cuentas del gobierno estadounidense en
nal. Muchos expertos creen que los teléfonos inteligentes Google Gmail. Hay muy poco que una empresa pueda
y otros dispositivos móviles representan ahora una de las hacer para evitar que los empleados que tienen permitido
más graves amenazas de seguridad para las organizaciones. usar sus teléfonos inteligentes descarguen datos corpora-
Uno de los mayores peligros de seguridad de los telé- tivos para poder trabajar en ellos en forma remota.
fonos inteligentes es que podrían perderse. Esto pone en Aunque los ataques deliberados de los hackers en dis-
riesgo todos los datos personales y corporativos almacena- positivos móviles han tenido un alcance e impacto limi-
dos en el dispositivo, así como el acceso a los datos corpo- tados, esta situación está empeorando, en especial entre
rativos en servidores remotos. De acuerdo con un estudio los dispositivos Android vulnerables a las app clandestinas.
del Ponemon Institute de 116 organizaciones, el 62% de los De acuerdo con McAfee, una de las principales empresas
dispositivos móviles que alojaban datos que se perdieron de software de seguridad informática, tan sólo el malware
o robaron contenían información confidencial o delicada. en los sistemas operativos móviles Android creció 33% en
El informe State of Mobile Security 2014 de Information 2013. Ahora Android es el sistema operativo más popular
Week indicó que el 72% de las empresas encuestadas dijo del mundo para dispositivos móviles.
que su principal preocupación de seguridad móvil consistía Google tiene mucho menos control sobre la seguridad
en los dispositivos robados o perdidos. en la plataforma Android que los dispositivos Apple que
El acceso físico a los dispositivos móviles puede ser una ejecutan iOS, debido a que Google tiene un modelo de
mayor amenaza que irrumpir en una red, debido a que se apps abierto. No revisa las apps de Android (como Apple lo
requiere menos esfuerzo para entrar. Los atacantes expe- hace con sus apps), sino que depende de obstáculos técni-
rimentados pueden burlar con facilidad las contraseñas o cos para limitar el impacto del código malicioso, así como
bloqueos en los dispositivos móviles, o acceder a los datos de la retroalimentación de usuarios y expertos de seguridad.
cifrados. Esto puede incluir no sólo los datos corporativos Las apps de Google se ejecutan en una “caja de arena”, donde
que se encuentren en el dispositivo, sino también las con- no pueden afectarse entre sí ni manipular funciones del
traseñas que residan en lugares inseguros como Keychain dispositivo sin el permiso del usuario. Google elimina
de iPhone, el cual podría conceder el acceso a servicios de su mercado Android oficial las app que quebrantan sus
corporativos como el correo electrónico o la red privada reglas contra la actividad maliciosa. Además, investiga los
virtual. Además, muchos usuarios de teléfonos inteligen- antecedentes de los desarrolladores y requiere que éstos se
tes dejan sus teléfonos totalmente desprotegidos, para registren con su servicio de pago Checkout, tanto para ani-
empezar. En el estudio global sobre riesgos de movilidad mar a los usuarios a pagar por las apps usando su servicio
de Websense y el Ponemon Institute, el 59% de los encues- como para obligar a los desarrolladores a revelar sus iden-
tados informó que los empleados burlaban o desactivaban tidades e información financiera. Las recientes mejoras

M08_LAUDON_SISTEMAS-DE-INFORMACION-GERENCIAL_SE_14ED_C8_302-344_XXXX-X.indd 335 2/9/16 11:42 AM

 336 Parte Dos Infraestructura de la tecnología de la información

de seguridad de Android incluyen la asignación de varios también pueden provocar enormes pérdidas intangibles
niveles de confianza a cada app, indicar el tipo de datos con respecto a la reputación de una empresa. La Comisión
que una app puede usar dentro de su dominio confinado y de Bolsa y Valores requiere que la divulgación no autori-
proveer una forma más robusta de almacenar las creden- zada de información confidencial, ya sea que provenga de
ciales criptográficas que se usan para acceder a la informa- dispositivos inseguros, apps no confiables, o una seguridad
ción y los recursos confidenciales. De todas formas, desde débil en la nube, se reporte al público si esta informa-
el punto de vista corporativo, es casi imposible prevenir ción pudiera afectar en el precio de las acciones de una
que los empleados descarguen apps que podrán rastrear empresa.
la información confidencial cuando las personas usan sus
propios dispositivos en el lugar de trabajo.
Fuentes: “Information Week, Encuesta de seguridad móvil 2014”, marzo
Más allá de la amenaza de las app clandestinas, los de 2014; Christian Crank, “Mitigating Mobile BYOD Security Risks”,
teléfonos inteligentes de todas clases son susceptibles al Baseline, 13 de marzo de 2014; John Sawyer, “Mobile Security: All
malware basado en navegador que se aprovecha de las vul- About the Data”, Information Week, 1 de abril de 2014; “Internet Security
nerabilidades en todos los navegadores. Census 2013: A Fortinet Global Survey”, www.fortinet.com, visitado
Hay que pagar un precio muy elevado por las infrac- el 14 de marzo de 2014; Don Reisinger, “10 Mobile Security Issues
that Should Worry You”, eWeek, 11 de febrero de 2014; Dimensional
ciones de seguridad móvil debido a la pérdida de datos, Research, “The Impact of Mobile Devices on Information Security”,
daños a la marca, pérdida de productividad y de confianza Check Point Technologies, junio de 2013; Nicole Perlroth, “Bolstering
de los clientes. De acuerdo con un estudio en 2013 puesto a Phone’s Defenses Against Breaches”, New York Times, 13 de octubre
en práctica por Check Point Technologies, el 52% de las de 2013; Dan Goodin, “Google Strengthens Android Security Muscle
empresas grandes reportaron que el costo de los inciden- with SELinux Protection”, Ars Technica, 24 de julio de 2013; Karen A.
Frenkel, “Best Practices of Mobile Technology Leaders”, CIO Insight, 24
tes de seguridad móvil excedía los $500,000. El 45% de de julio de 2013; Quentin Hardy, “Where Apps Meet Work, Secret Data
las empresas con menos de 1,000 empleados reportaron Is at Risk”, New York Times, 3 de marzo de 2013, y Ponemon Institute,
costos que excedían los $100,000. Estas fallas de seguridad “Global Study on Mobility Risks”, febrero de 2012.

P R E G U N TA S D E L CA S O D E E S T U D I O
1. Se dice que un teléfono inteligente es una computadora 3. ¿Qué problemas causan las debilidades en la seguridad
de mano. Analice las implicaciones de seguridad de esta de los teléfonos inteligentes para las empresas?
afirmación. 4. ¿Qué pasos pueden tomar los individuos y empresas
2. ¿Qué cuestiones de administración, organización y para que sus teléfonos inteligentes sean más seguros?
tecnología debe tratar la seguridad de los teléfonos
inteligentes?

Un proceso de prueba oportuno, regular y exhaustivo, contribuirá considerablemente

a la calidad del sistema. Muchos ven el proceso de prueba como una forma de demos-
trar que el trabajo que hicieron es correcto. De hecho, sabemos que todo el software de
un tamaño considerable está plagado de errores, por lo que debemos realizar pruebas
para descubrirlos.
Un buen proceso de prueba empieza antes de siquiera escribir un programa de
software, utilizando un recorrido: la revisión de una especificación o un documen-
to de diseño realizada por un pequeño grupo de personas seleccionadas con sumo cui-
dado, con base en las habilidades necesarias para los objetivos específicos que se van
a evaluar. Una vez que los desarrolladores empiezan a escribir programas de software,
también es posible usar recorridos de código para revisar el código del programa. Sin
embargo, para probar el código es necesario ejecutarlo en la computadora. Cuando se
descubren errores, se encuentra el origen de los mismos y se elimina por medio de un
proceso conocido como depuración. En el capítulo 13 encontrará más información sobre
las diversas etapas de prueba requeridas para poner en funcionamiento un sistema de
información. Además, nuestras Trayectorias de aprendizaje contienen descripciones
de las metodologías para desarrollar programas de software que también contribuyan a
la calidad del software.

M08_LAUDON_SISTEMAS-DE-INFORMACION-GERENCIAL_SE_14ED_C8_302-344_XXXX-X.indd 336 2/9/16 11:42 AM