Cómo controlar los USB y los dispositivos extraíbles con Endpoint Protector
Los dispositivos extraíbles se han convertido en herramientas habituales en el entorno de trabajo actual. Incluyen desde discos ópticos y tarjetas de memoria hasta teléfonos inteligentes, unidades flash USB y discos duros externos. Una de las ventajas de los soportes extraíbles es que los empleados pueden llevarse fácilmente los archivos cuando trabajan desde casa o viajan por motivos de trabajo fuera de la empresa. Sin embargo, a pesar de su utilidad, los dispositivos extraíbles han sido calificados desde hace mucho tiempo como un riesgo para la seguridad.
Sin cifrar, inseguros y a veces infectados, pueden facilitar la propagación de malware en una red corporativa y la exfiltración de datos sensibles de los ordenadores de la empresa.
Los dispositivos USB, en particular, tienen un largo historial como punto de partida de importantes fugas de datos y como un popular vector de ataque para la infección de las redes de las empresas. Según la encuesta SANS State of ICS Cybersecurity Survey de 2019, el 56% de los ataques a la tecnología operativa y a los sistemas de control industrial se iniciaron mediante el acceso físico directo a través de una memoria USB y otros equipos de la empresa. Los USB también pueden utilizarse para arrancar un ordenador y eludir las credenciales de inicio de sesión para acceder a discos duros no cifrados.
Como consecuencia, las herramientas de control de dispositivos se han convertido en un componente crucial de las estrategias de protección de datos, permitiendo a las organizaciones controlar y prohibir el uso de dispositivos de almacenamiento extraíbles. Nuestra solución, el software Endpoint Protector DLP, tiene un módulo entero dedicado al Control de Dispositivos que incluye algunas de las funciones más avanzadas del mercado para el control de medios extraíbles.
Veamos con más detalle cómo funcionan.
Limitar o bloquear el uso de soportes extraíbles
Viendo la preocupante lista de riesgos que vienen con ellos, muchas empresas podrían estar tentadas a bloquear el uso de USBs y dispositivos extraíbles por completo. Esto puede hacerse fácilmente a través del módulo de Control de Dispositivos de Endpoint Protector, que puede bloquear el uso de puertos USB y periféricos, así como las conexiones Bluetooth, asegurando que ningún dispositivo pueda conectarse a un ordenador de trabajo.
Sin embargo, en muchos casos, al eliminar el uso de dispositivos extraíbles, las empresas pueden obstaculizar a los empleados en sus tareas diarias y obligarlos a buscar soluciones alternativas de transferencia de archivos en línea. Esto puede suponer una categoría completamente nueva de riesgos para la seguridad de los datos. Y aunque estos pueden ser abordados a través de otras características de DLP como el módulo Control de Contenido de Endpoint Protector, las empresas también pueden optar por restringir el uso de dispositivos extraíbles en lugar de bloquear su uso por completo.
A través del módulo de Control de Dispositivos de Endpoint Protector, las empresas pueden asignar diferentes niveles de confianza a los dispositivos en función de su nivel de cifrado. De esta manera, sólo los dispositivos de medios extraíbles con un alto nivel de seguridad pueden conectarse a los puntos finales.
Políticas granulares
Las políticas que las organizaciones pueden aplicar a los dispositivos de almacenamiento portátil a través de Endpoint Protector no se limitan al nivel de seguridad de los dispositivos o a la configuración global para todos los ordenadores de la empresa. Se pueden crear reglas diferentes para grupos, usuarios u ordenadores concretos.
De este modo, las empresas pueden optar por aplicar controles de seguridad más estrictos a los empleados que trabajan con datos sensibles de forma habitual, mientras que permiten al resto de su plantilla un mayor grado de libertad. También pueden optar por aplicar un bloqueo de dispositivos extraíbles en toda la empresa, pero hacer excepciones para determinadas personas o departamentos que los necesitan para realizar sus tareas diarias.
También existe una configuración de sólo lectura que permite a los usuarios leer los archivos de los dispositivos extraíbles pero bloquea las transferencias de datos hacia y desde ellos.
Políticas más estrictas fuera de la oficina
Con el aumento de las políticas de «traiga su propio dispositivo» (BYOD) y el trabajo remoto durante y después de la pandemia del COVID-19, las organizaciones han permitido cada vez más que los portátiles de trabajo queden fuera de la seguridad de las redes de la empresa. Endpoint Protector, tal y como su nombre indica, es una solución DLP que se aplica a nivel de ordenador y no de red, lo que significa que sus políticas de seguridad seguirán activas tanto si un dispositivo de trabajo está en un entorno de oficina como en casa.
Las empresas pueden ir un paso más allá para garantizar la seguridad de la información sensible fuera de la oficina: pueden aplicar políticas más estrictas sobre los medios extraíbles fuera del horario de oficina, de la red de la empresa o de ambos. Pueden definir los días y horas de trabajo, así como el DNS y el ID de la red de la empresa en el panel de Endpoint Protector y luego establecer diferentes reglas basadas en ellos.
Contraseñas temporales sin conexión
Las emergencias ocurren, especialmente cuando los empleados pueden estar fuera de la oficina: pueden necesitar utilizar medios de almacenamiento extraíbles para transferir o ver rápidamente archivos para una reunión o un cliente. Precisamente para estos casos, Endpoint Protector ofrece a los administradores la posibilidad de generar una contraseña temporal fuera de línea que, cuando se utiliza, concede acceso temporal sin restricciones a un dispositivo, ordenador o usuario específico.
Interfaz intuitiva multiplataforma
Una de las mayores características de Endpoint Protector es su facilidad de despliegue y uso. Al no requerir una amplia formación ni gravosos periodos de implementación, Endpoint Protector puede estar en funcionamiento en unas pocas horas. No sólo eso, como una solución multiplataforma, ofrece paridad de características para Windows, macOS y Linux, asegurando que las mismas políticas de control de dispositivos se aplican a los equipos de trabajo, independientemente del sistema operativo que estén ejecutando.