Belkasoft RamCapturer

Belkasoft RAMCapturer es, como su nombre indica, una herramienta de la empresa Belkasoft que realiza una captura de la información contenida en memoria. Funciona en plataformas MS Windows. Yo lo he probado en XP (sic), Win7 y Win8 pro con excelentes resultados. En todos los casos ha funcionado bien. Es un software gratuito de Belkasoft (no así la herramienta para analizar la información capturada) y, por supuesto, no requiere instalación.

Notas previas antes de usar RAMCapturer: para qué y para qué no 
¿para qué querría una persona capturar el contenido de la memoria de un ordenador? Muy buena pregunta. La respuesta críptica inmediata sería "hombre, para espiar lo que está haciendo el PC" y la réplica "ya, pero el PC hará lo que ordene la persona que lo está utilizando. Si lo estás usando tú, ya sabes lo que está haciendo (puede que no) y si no lo estás usando tú, estás espiando a su legítimo usuario (puede que no tan legítimo)". Vamos a comentar algunos ejemplos.

Cuándo usar RAMCapturer (por ejemplo):
Algunos casos de uso "legítimo":
  • Perteneces a una fuerza de seguridad legítima (policía, guardia civil, ertzaina, mossos, etc.) entras en un domicilio con una orden de registro y encuentras un ordenador en funcionamiento. La buena práctica forense recomienda "tirar del cable" (desconectar corriente, quitar batería, quitar LAN, etc.) y ya veremos cómo recuperamos la información más tarde. Pero si en ese momento los "malos" están usando el PC, se quiere obtener toda la información que estén manejando y hay riesgo de que si se apaga se pierda información valiosa (por ejemplo, están chateando). En este caso se podría intentar un volcado de la memoria. 
  • Eres usuario del ordenador y quieres analizar lo que está haciendo. Esto es típico cuando detectas que el ordenador se conecta a donde no debería, usa mucha CPU, etc. Lo normal aquí sería quitar el virus, recuperar una copia de seguridad de tu ordenador y actualizar el antivirus. Pero bueno, si te dedicas a la seguridad igual tienes curiosidad por ver lo que hace el troyano antes de eliminarlo.
  • Eres el propietario legítimo del ordenador y quieres ver lo que está haciendo su usuario (o usuarios). Esto pasa cuando una empresa sospecha de lo que hace su empleado y le quieren pillar con las manos en la masa. Otro caso (que viví en primera persona): un servidor Windows se usaba como consola para administrar un sistema complejo (unos 50 servidores a los que se llegaba desde el servidor Windows). Todos los operadores, ingenieros, técnicos de sistemas, etc. se conectaban al PC con una VPN desde un lugar muy remoto y desde allí lanzaban sesiones X/WIN, Telnet, SSH, FTP, etc. Pues bien, al cliente no le gustó esto y nos pidió una auditoria de todo lo que estaba ejecutando el PC, qué conexiones tenía abiertas, quién estaba loggeado, etc. etc.
El volcado de memoria se debe completar con el pagefile.sys y el hiberfil.sys. Normalmente los peritos informáticos preferimos tirar del cable antes que usar la hibernación, aunque aquí también entran en consideración otros factores (legales, jurídicos, procedimentales, etc.). En USA, algunas buenas prácticas recomiendan hibernar el sistema antes de apagarlo bruscamente. Es lo que tienen las buenas prácticas, que no son universales.

Cuándo NO usar RAM capturer:
Algunas contraindicaciones aunque, como siempre, el sentido común ya dice lo que no se debe hacer:
  • Para espiar a un compañero que se ha dejado el PC encendido y sin contraseña.
  • Para espiar lo que ha hecho el usuario anterior cuando coges un ordenador compartido (por ejemplo, en una biblioteca pública).
  • Para obtener una prueba que se va a presentar a juicio. Esto depende de la legislación de cada sitio pero, en general, una captura de memoria como prueba funciona bastante mal:
    • Para capturar la memoria hay que ejecutar un software en el ordenador lo que supone que el perito tiene que manipular el sistema antes de obtener la prueba. 
    • La captura no es reproducible. Dos capturas consecutivas (incluso separadas por un par de segundos) generan imágenes de memoria diferentes lo que impide contrastar el resultado.
    • La captura incluye todos los datos en memoria por lo que la parte afectada podría alegar que el perito no ha restringido su búsqueda a la información relevante, que ha obtenido datos de carácter personal sin autorización previa y, al final, podría intentar anular la prueba.

Ejemplo de uso de RAMCapturer 
El funcionamiento es realmente sencillo. El programa tiene versión de 32 y de 64 bits. Cada versión tiene un ejecutable y un driver. No necesita instalación, sólo lanzar el exe y seguir las instrucciones.


Se elige el directorio de salida (mejor si es una unidad rápida). Aquí veis que lo he probado en un ordenador con sólo 4GB de RAM. Lógicamente el tamaño del fichero de salida depende del tamaño de la RAM. En este ordenador en concreto, usando el disco duro como salida la captura duró dos (2) minutos. 30 segundos cada Giga.


Cuando termina, nos deja un fichero con la extensión MEM y como nombre la fecha del día (y un contador a partir del segundo fichero del mismo día). El fichero no está comprimido, ni cifrado, ni nada de nada, es el contenido de la memoria tal cual.



Cómo usar la captura realizada
Hay varias herramientas que se pueden usar para analizar el fichero generado, mis preferidas son las siguientes (en realidad, las únicas que he probado con RAMCapturer):
  • Belkasoft Evidence Center. De pago pero relativamente barata. Es el mismo desarrollador. Es una herramienta muy potente (tipo ENCASE) de la que hablaré en otro momento.
  • HxD. O tu editor hexadecimal preferido. En este caso está bien conocer algo de ensamblador y del API de Windows.
  • Strings. Hay versión en Windows de Mark Russinovich.
En el ejemplo mostrado, usando el comando "strings" he sido capaz de obtener:
  • Sesiones "estándar": tanto del navegador IE como de Chrome como de Skype, incluso de Exchange/Outlook. Algunos programas protegen la memoria que usan pero en mis pruebas RAMCapturer obtuvo esta información sin problemas.
  • Información de sesiones de incógnito de Chrome. Tenía abierta una ventana en modo incógnito con una sesión de Hotmail y en la captura estaba la sesión, usuario y password. La navegación de incógnito tampoco se resiste al volcado de memoria (lógicamente).
  • Información de una sesión de Facebook que tenía en un navegador Firefox que tenía en ejecución en una máquina virtual (Virtual Box) que estaba ejecutando una distribución Linux: BugTraq. Como en euskera, esta frase se entiende mejor si se lee del final al principio.
Por supuesto, para este ejemplo no me recorrí toda la información obtenida (la salida de "strings" ocupa 1,5GB). Para simplificar, preparé el escenario, saqué las cadenas a un archivo y busqué directamente las credenciales que ya conocía. Hacer un análisis "a lo bruto" sin saber lo que se busca es prácticamente inviable sin un software de apoyo.
Lo dicho, herramienta muy interesante aunque, probablemente, de poca utilidad en la vida real.

</Belkasoft RamCapturer> 



No hay comentarios:
Etiquetas: , , , , , , , ,

CRM y redes sociales. Casos de uso

No sé cómo llegó a mi timeline un artículo de Joseba del Castillo (CEO de Foocuzz) sobre la participación en foros de profesionales que representan una marca: http://foocuzz.com/como-intervenir-en-foros-en-nombre-de-una-marca/. Los foros son, creo que estamos todos de acuerdo, las primeras redes sociales de Internet. De hecho, en España los foros serían la tercera red social más usada (es un dato de 2011 que menciono de memoria).

El artículo de Joseba es, desde mi punto de vista, básico pero bastante interesante. Además me recordó mi experiencia en este campo tanto personal como profesional:
  • llevo participando en foros "digitales" desde el siglo pasado (desde 1986, via BSS y módem de 2400 bps, entonces se llamaban "baudios"). Ya con Internet (14,4Kb, RDSI, ADSL, ahora fibra óptica) he participado, más o menos activamente, en foros de temáticas diversas: Hacking, Java, Linux, Innovación, Telecomunicaciones, Móviles, Náutica, Meteorología, Literatura, Poker, Finanzas, Autónomos, Emprendedores, Gastronomía, Peritajes, Enfermedades raras, ... y, además, los grupos de Linkedin que actúan como meta-foros de casi cualquier temática; 
  • en un trabajo anterior elaboré una propuesta de integración de redes sociales en una plataforma de gestión de clientes (CRM). Esta propuesta era, principalmente, una evolución funcional y técnica de las funcionalidades del CRM integrando funciones de Social Media. Además se tenía que adaptar a las necesidades e idiosincrasia de un cliente concreto, una multinacional de las telecomunicaciones.
Evidentemente no puedo contar los detalles de aquel proyecto cuya propiedad intelectual pertenece a la multinacional china que pagaba, entonces, mi nómina. Ojo, he escrito en la misma frase "china" y "propiedad intelectual".  Lo que voy a contar son algunos casos de uso genéricos que planteamos para aquel proyecto. Al fin y al cabo, estos casos de uso son funciones básicas que ya implementan los CRM más innovadores.

Cómo usar profesionalmente las redes sociales. Algunas ideas
Estas ideas están dirigidas, principalmente, a organizaciones grandes o, al menos, que dispongan de capacidad (organizativa, financiera y tecnológica) para desarrollarlas. Estas empresas deberían automatizar (informatizar) estos procesos total o parcialmente. Las PYMES y autónomos debemos seguir con nuestra estrategia de guerrillas (procesos manuales, herramientas web gratuitas, etc.). 

 Las ideas que aporto se agrupan en dos listas: por una parte, unas consideraciones sobre las redes sociales y su relación con las organizaciones y, por otro lado, una lista a modo de ejemplo de procesos concretos a implantar. 

 Algunos puntos a considerar cuando se quiere desarrollar una estrategia en redes sociales:
  1. Identificar los motivos para meter a la empresa en las redes sociales. Como todo proceso, antes de automatizar nada hay que definir el proceso (actores, actividades, entradas, entregables, KPI, SLA, etc.).  Pero, antes aún, hay que estar seguros de que hay motivos para hacer todo este trabajo. Algunos motivos que se mencionan habitualmente cuando se plantea la entrada en redes sociales:
    1. Dar una imagen de empresa innovadora: pues eso, los directivos suelen pensar que poner la cuenta de facebook o un tag de twitter al pie de un anuncio en la prensa escrita da un lustre de modernidad indiscutible.
    2. Mejorar la comunicación con los clientes: más rápido, más flexible, más barato (para la empresa y para los clientes), más eficiente (menos recursos pueden atender a más clientes), más eficaz (mayor garantía de conseguir el objetivo).
    3. Construir comunidad: la idea es que los clientes se conviertan, de alguna manera, en agentes de la compañía. Pueden, por ejemplo, dar soporte técnico a otros usuarios, captar nuevos clientes, promover nuevos servicios (upselling) o, simplemente, promocionar la marca. Evidentemente, también serán más fieles si se sienten implicados con la marca.
    4. Digitalizar la interacción con los usuarios: esto es bueno en sí mismo. Una comunicación digital (vía redes sociales, foros, etc.) tiene muchas ventajas frente a interacciones personales (plataformas de call center, tiendas, agentes en las calles, etc.): se puede automatizar, es más fácil de seguir (vía indicadores), genera información que se puede explotar (big data), está disponible 24 horas al día, es más barato, etc.
  2. Preparar mecanismos de self-service para los clientes. Es importante que los clientes puedan hacer ellos mismos las gestiones. No es muy productivo que una interacción con el usuario (un mensaje en Facebook, por ejemplo) tenga que terminar obligatoriamente con una llamada al call center o una visita a una tienda física. Esto es algo que tiene que funcionar bien antes de que la empresa se meta en las redes sociales.
  3. Integrar las redes sociales con el CRM actual. Es básico que los sistemas actuales donde residen los procesos de negocio y los datos de los clientes sean los mismos "que atiendan las redes sociales", tanto en un sentido como en otro:
    1. Como entrada: para que "las redes sociales" sean capaces de generar incidencias, lanzar procesos, iniciar procesos de compra, etc.
    2. Como salida: para que los sistemas tradicionales puedan publicar en las redes sociales o comunicarse con los clientes directamente.
  4. El punto anterior implica que hay que desarrollar interfaces (API) que comuniquen en tiempo real los sistemas de la empresa con las diferentes redes sociales. Es importante que los sistemas de la empresa que atienden los procesos básicos con los clientes funcionen en tiempo real, a las redes sociales no le sientan bien los procesos masivos (batch) que se ejecutan de noche o se lanzan manualmente al día siguiente. 
  5. Sistemas automáticos de análisis de contenido textual. Los sistemas deben ser capaces de entender lo que dicen los usuarios en las redes sociales. Esto implica desarrollar filtros de contenidos, análisis semántico y sistemas de identificación de mensajes. No es viable tener un ejército de consultores leyendo foros y comentarios en Twitter. 
  6. Los sistemas deben entender los idiomas y lenguajes manejados en las redes sociales. Esto afecta tanto a los idiomas como a los diferentes modismos utilizados por diferentes grupos sociales. Por supuesto, habrá tantos sistemas de análisis como idiomas se quieran procesar (además de un sistema adicional previo para detectar el idioma en el que está escrito el texto).
  7. Las empresas deben buscar mecanismos para identificar a sus usuarios en las redes sociales. Es decir, hay que construir bases de datos que relacionen a los clientes (número de contrato), con su identidad real (NIF, nombre, domicilio, cuenta bancaria) y con sus identidades virtuales (cuentas de Twitter, Facebook, foros, etc.). También es útil identificar a usuarios que no son clientes de la empresa pero pueden tener alguna relación (clientes potenciales, creadores de opinión, personas que tienen relación con nuestros clientes, etc.). También hay que reconstruir las relaciones entre las diferentes entidades (quién es amigo de quién en Facebook, quién sigue a un periodista concreto en Twitter, etc.). Por supuesto, hay que analizar las implicaciones legales de todo esto.
  8. Las empresas deben identificar claramente sus cuentas en las redes sociales. Hay varios tipos de cuentas:
    1. Cuenta oficial ("Mi-empresa_ES"). Utilizada para hacer comunicaciones oficiales, lanzar campañas, hacer publicidad, anunciar incidencias, etc. Todo lo publicado aquí deberá ser revisado por un responsable de la empresa. Por supuesto, la empresa puede usar diferentes idiomas y debería comunicarse a cada usuario en el idioma de su preferencia (el idioma preferido por el cliente).
    2. Cuentas robots ("Mi-empresa-ATENCION_AUTOMATICA"). Aquellas cuentas que tienen detrás un sistema y no una persona física. Se puede usar para comunicaciones personalizadas ("Su incidencia ha sido resuelta", "Consulte el siguiente enlace si necesita ayuda", etc.) o para comunicaciones generales que no sean de carácter crítico ("El servicio de atención al cliente estará cortado esta noche", "Hay una incidencia de servicio en la provincia de XXXX", etc.)
    3. Cuentas de trabajadores públicos de la empresa. ("Javier_de_MI-EMPRESA") Estas son las cuentas de trabajadores de la empresa que, como parte de su trabajo, publican en las redes sociales aportando información desde dentro, dando ayuda a otros usuarios, anunciando novedades, etc. Es importante que estas cuentas estén alineadas con la estrategia de la empresa, que dejen claro que no son imparciales y, por supuesto, que no se metan en líos ajenos a la empresa (criticar a la competencia, hablar de política -si la organización no es un partido político- o publicar fotos de gatitos -si la empresa no tiene relación con las mascotas-).
  9. Mezclar con prudencia los canales utilizados para comunicarse con los usuarios. Hay que saber cuándo mandar un e-mail, un SMS o llamar directamente por teléfono. Y, por supuesto, la regla básica es utilizar, preferentemente, el mismo canal para responder que el usado por el usuario. No tiene sentido responder en Twitter a un usuario que puso una pregunta en un foro especializado.
  10. Ser coherente y útil. Todos los mensajes en todos los medios y todas las redes sociales deben ser coherentes, tanto en el tono como en el contenido. Y, por supuesto, toda información que no es útil para el destinatario es inútil, tanto para el destinatario como para la imagen pública de la empresa.
Y ahora vienen algunos casos de uso que se pueden implementar (automatizar) en las redes sociales:
  1. Respuesta automática. El sistema responde automáticamente una cuestión planteada en las redes sociales. Ejemplo: alguien pone un post en un foro del tipo "Cómo contrato el servicio XXX?" y un robot responde automáticamente con un enlace a un artículo de una base de conocimiento ("Hola, mira este enlace. Respuesta automática").
  2. Creación automática de incidencias. El sistema genera un caso (un ticket, una incidencia) a partir de un comentario en una red social. Ejemplo: "Joder, los de XXXX me han metido una factura de 666€. Cabrones". Idealmente, habría una respuesta automática ("Hemos creado un caso con su queja. En breve nos pondremos en contacto contigo") y una incidencia que se trataría de forma individualizada (manual o automáticamente). 
  3. Gestión de campañas. Extender a las redes sociales las campañas que se lanzan por otros canales. Ejemplo: La campaña en prensa "Del 20 al 30 de mayo un 50% de descuento" podría tener una extensión en las redes sociales del tipo "20/5: Desde hoy, un 50% de descuento", "25/5: Quedan 5 días al 50% de descuento", "30/5: Ultimo día con un 50% de descuento". La inmediatez de las redes sociales requiere adaptaciones como en este ejemplo.
  4. Publicación de incidencias. Un sistema elige cada día una incidencia (porque es relevante, porque se ha repetido varias veces a lo largo del día, etc.) y cuelga en las redes sociales información sobre la misma. Ejemplo: "Si vais a viajar a Londres a ver la final four os recordamos que allí puedes encontrar nuestros productos en las tiendas XXX".
  5. Campañas específicas para seguidores de las redes sociales. Según la segmentación de nuestros seguidores podemos dirigir campañas específicas a grupos concretos. Por ejemplo, una multinacional de motores puede hacer una campaña de motores fuera borda a los usuarios de un portal náutico que estén suscritos a los foros de motoras.
  6. Usar a los seguidores propios como referencias para otros clientes. Consiste en proporcionar a un cliente potencial que pide información de un producto o servicio referencias de contactos suyos que ya usan el producto en cuestión. Ejemplo: "Nos has pedido información del coche modelo XXX, ¿sabías que tus amigos AAA y BBB han conducido un coche igual?". Hay que cuidar tanto el tono como la información de terceros que se comparte.
  7. Promociones especiales para seguidores de las redes sociales. Esto hay que hacerlo de vez en cuando para que los usuarios se hagan "amigos" de la empresa en la red social y compartan sus datos personales. También es útil premiar a los usuarios que hablan bien de la empresa. 
  8. Gestión de recomendaciones y comisiones. Hay que convertir a los usuarios más activos en las redes sociales en vendedores de la marca. Para ello hay que elegir muy bien al grupo objetivo (clientes antiguos muy activos en las redes) y hacerles una propuesta clara de lo que se les pide y lo que pueden conseguir a cambio. Por supuesto, las recompensas no deben ser económicas y no deben sustituir a las comisiones del canal tradicional. 
  9. Campañas virales de nuevos productos. Esto es difícil de automatizar pero la idea es sencilla: al lanzar un nuevo producto o servicio hay que conseguir que la gente influyente en las redes sociales lo conozcan y, mejor, hablen de ello. 
  10. Gestión de crisis en las redes sociales. Consiste en detectar un problema en las redes sociales antes de que se convierta en trending topic. Ejemplo: un famoso publica su disgusto por un producto de la empresa ("Resulta que el coche XXXX híbrido corre menos y consume mucho más que mi Porsche XXX, qué decepción"). El sistema lo detecta lanza una alerta para que alguien dé una respuesta adecuada ("Hola Pepe, te has fijado que el Porsche marca el consumo el galones? Gracias por tu mensaje").


</CRM y redes sociales. Casos de uso>







No hay comentarios:
Etiquetas: , ,

Decálogo seguridad BYOD: "Buy your own device and secure it (yourself?)"

Decálogo básico, no técnico, de seguridad móvil (BYOD)

Esta mañana en la puerta de la guardería he coincidido con una mamá que se ha comprado un IPAD MINI 3G porque todos sus compañeros de trabajo tienen uno y acarrear el portátil de reunión en reunión le parece obsoleto.
Nota bene: sigo pensando que un portátil es bastante más productivo que cualquier tablet. Igual lo que ocurre es que las personas que "tienen suficiente" con un IPAD para su trabajo diario son poco productivas digitalmente hablando (no generan documentos, hojas de cálculo o presentaciones, escriben menos de 100 e-mails al día) o, tal vez, simplemente no son multitarea.
Mientras esperábamos a nuestros respectivos hijos, hemos hablado sobre BYOD ("Bring Your Own Device") y me he dado cuenta de que hay gente que se desinstala el "sentido común" porque no le encuentra utilidad o sitio. Incluso usuarios experimentados en el uso de diferentes tecnologías cometen errores básicos cuando se trata de "su propio dispositivo".

Así que he preparado una lista de conceptos básicos de seguridad sobre BYOD que derivan directamente del sentido común:
  1. BYOD significa que el dispositivo propiedad de la persona es una herramienta de trabajo corporativa y, como tal, su uso debe estar controlado por la empresa (total o parcialmente). 
  2. La información corporativa dentro del dispositivo vale mucho más que el dispositivo en sí. El IPAD más caro sólo cuesta 900€. ¿cuánto vale un listado de clientes? ¿y el catálogo de productos de una compañía con su precio y ofertas asociados? En algunas organizaciones, la lista de miembros del consejo, su e-mail y sus números de móvil se cotizan bastante más. Perder el dispositivo es malo, comprometer la información contenida en él es un drama, dar acceso a terceros a los sistemas de la empresa (ERP, e-mail, red corporativa, intranet, etc.) es una tragedia. 
  3. Todos los dispositivos se pierden, no importa el cuidado que se tenga. A veces son olvidados por descuido en un taxi, una cafetería o una sala de reuniones, otras veces son robados para revenderlos "como nuevos", a veces son robados porque el ladrón conoce el valor de su contenido. 
  4. Los hackers existen. Hay gente que entra en tu WIFI sólo para navegar gratis por Internet; otros entran en tu WIFI y escanean tus dispositivos personales para cotillear las fotos de tu último viaje; otros trafican con información personal "a granel" (direcciones de e-mail, números de tarjetas de crédito, direcciones IP de sistemas corporativos o industriales, etc.) y algunos, los más especializados, son contratados para atacar de forma discrecional una organización concreta.
  5. Ningún sistema es totalmente seguro. No importa la clave o los mecanismos de protección que se pongan, una organización con los suficientes recursos y falta de escrúpulos puede comprometer cualquier sistema. Dependerá, simplemente, de que la inversión realizada en conseguir acceso sea rentable frente a los beneficios de acceder al sistema. 
  6. Acceder a información confidencial sin autorización es un delito. Compartir información confidencial de la compañía con personas ajenas a la organización es una falta disciplinaria (y podría ser también un delito). Destruir o manipular información de negocio de una compañía también puede ser una falta disciplinaria o delito.
  7. Todos los dispositivos de una organización no son igual de sensibles (excepto si la organización sólo tiene un dispositivo). Aquellos cacharros que tengan acceso o contengan información muy valiosa son más sensibles que los que sólo contienen una cuenta de correo de un "mindundi". 
  8. Todos los entornos de trabajo no son igual de seguros. WIFI es menos seguro que 3G. Una red WIFI pública y sin clave es menos segura que la red de casa (si tiene una clave WPA2 que no sea la que venía por defecto en el router de Telefónica). Una aplicación WEB accesible desde el portal público de la empresa es menos segura que una aplicación conectada con VPN a la red corporativa. Etc.
  9. El usuario del dispositivo es responsable de su utilización. No sólo de seguir las directrices de uso de los dispositivos de la empresa, sino de aplicar las normas básicas del sentido común. 
  10. Tan importante es evitar que un dispositivo se vea comprometido como saber actuar después del robo o la pérdida del mismo. Los dispositivos "BYOD" se pierden en cualquier momento, incluso fuera del horario laboral.
Y, claro, de cada concepto básico se deriva una recomendación (también básica):
  1. Las empresas que usan BYOD deben definir, implantar y comunicar directrices y herramientas específicas para la gestión de los dispositivos de sus colaboradores (sean empleados, personal externo o cualquier otro tipo de relación que "sustituya" una relación laboral). 
  2. En caso de pérdida, robo por descuido o robo intencionado del dispositivo es importante borrar o bloquear el acceso a la información contenida en el cacharro, mucho más importante que recuperar el "cacharro". Si hay que elegir entre una solución de localización (tracking) y una solución de borrado remoto (wipe) está claro que hay que optar por el borrado. 
  3. No hay excusa para poner mecanismos de protección de acceso: contraseña, patrones, PIN, reconocimiento digital, etc. La robustez y complejidad de la protección dependerá del valor del dispositivo (de lo que contiene).
  4. Siempre hay que valorar la posibilidad de recibir un ataque dirigido. Además de las pérdidas de información por descuido, hay que plantearse si la organización está preparada para un "ataque profesional" (de hackers contratados por la competencia o por motivaciones políticas).  
  5. Hay que estar preparados (directrices, herramientas, procesos, etc) para cuando algún dispositivo sea comprometido por un ataque intencionado. Prepararse para un situación de crisis, tener claro cómo hay que denunciarlo, qué información hay que guardar para el previsible juicio, etc.
  6. La seguridad de los dispositivos tiene implicaciones legales y organizativas. Cualquier actividad al respecto debe ser respaldada y revisada por los departamentos legales y de recursos humanos de la organización.
  7. Hay que definir políticas de seguridad diferentes en función de la sensibilidad de cada caso. No es descabellado, por ejemplo, que el CFO no pueda usar un IPAD y sólo se le permita usar un portátil con lector de huella y disco cifrado, por ejemplo.
  8. En LTE, previsiblemente, se podrá seleccionar las aplicaciones que van por la red móvil siempre -críticas, calidad garantizada- y las que pueden ir por WIFI -offload de tráfico menos crítico-. Mientras llega LTE, si se maneja información sensible y la organización se lo puede permitir, se puede plantear bloquear el acceso a redes WIFI desconocidas (o a todas las redes WIFI) para que los dispositivos más sensibles sólo se conecten por 3G.
  9. Todos los empleados deben tener formación básica como usuarios de movilidad. Igual que ahora reciben formación sobre el uso del correo corporativo o las herramientas ofimáticas (ja). No es admisible que un usuario desactive la seguridad del dispositivo o instale software de procedencia dudosa. 
  10. Los procedimientos, herramientas y recursos requeridos cuando se compromete un dispositivo deben estar disponibles 24x7 todos los días del año.

Comentario sobre la robustez de las contraseñas: la clave "1111" (o un patrón) es mucho más fácil de adivinar que "L@dlg98NFN!NmJmá". También es más fácil de teclear. Entre una y otra hay diferentes niveles de complejidad / seguridad entre los que habrá que elegir razonadamente. Si el dispositivo contiene información crítica no es descabellado obligar a su usuario a tener una contraseña robusta y un tiempo de bloqueo  corto (¿tres minutos?)



No hay comentarios:
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)