La lucha por la cuota de mercado de los navegadores web es un relato tan viejo como la propia internet. A lo largo de esta crónica, distintos protagonistas han pugnado por atraer a los usuarios con nuevas y diferenciadoras funcionalidades que, cuando han resultado exitosas, han sido posteriormente adoptadas también por los competidores.
La publicidad, la privacidad, la explotación de los datos del usuario, la incorporación de nuevas extensiones, el consumo de recursos, vienen siendo, entre otros, algunos de los diferentes argumentos en esa confrontación.
En los últimos tiempos una nueva funcionalidad ha emergido en el terreno de los navegadores web: la sincronización de datos. De manera genérica, esta función permite acceder a los mismos favoritos, contraseñas, historial, extensiones,… desde cualquier dispositivo del usuario; es decir, estará disponible la misma información independientemente del dispositivo utilizado.
Así pues, por ejemplo, si usted sincronizara los “Favoritos” de su navegador entre el ordenador de casa y el de la empresa, accedería a los mismos “Favoritos” en ambos equipos.
… pero ¿qué piensa el responsable de Seguridad de la Información de su empresa?
Indudablemente, la defensa de la información corporativa basada exclusivamente en la protección perimetral es un concepto que pertenece al pasado, aunque, afortunadamente son muchas las herramientas y las soluciones tecnológicas y operacionales desarrolladas para compensar ese cambio de paradigma.
Pero lo que no ha cambiado es que la empresa habrá definido una política de seguridad de la información que deberá aplicar en todo su dominio de seguridad, por mucho que los límites no resulten, a veces, tan nítidos como en el pasado. Frente a este principio, la comodidad del usuario constituye un argumento secundario, aunque siempre digno de valoración.
La situación se agravaría si lo que pretendiera el usuario (aliado, en este caso, con el proveedor del navegador) fuera a iniciar sesión en el navegador con una cuenta específica para utilizar servicios tales como la sincronización o el inicio de sesión único.
Evidentemente, aunque las medidas de protección son igualmente necesarias en el entorno corporativo y en el ámbito privado, la información a proteger no será la misma y, por ende, tampoco serán iguales las medidas de protección. Un usuario corporativo estableciendo “atajos” en el proceso de autenticación de una herramienta que utiliza simultáneamente en los ámbitos profesional y privado constituiría un severo riesgo para su organización; no hay que olvidar el área de exposición que representan los navegadores como herramienta diaria de todo tipo de usuarios, desde los más avezados en el manejo de las Tecnologías de la Información hasta aquellos otros menos perspicaces a la hora de identificar los riesgos asociados a las mismas.
En resumen…
En la inmensa mayoría de las áreas de negocio, para el responsable de Seguridad de la Información no resultará admisible que la implantación de la política corporativa de seguridad de la información en el contexto de los navegadores autorizados deba adaptarse a la comodidad o al criterio individual del usuario o, también, a cualquier tipo de interés del proveedor.
Una herramienta que utilizan prácticamente todos los usuarios de los servicios de Tecnologías de la Información de una organización no puede condicionar ni erosionar las medidas de seguridad de su información.
Así pues, en un entorno profesional no hay cabida para que los usuarios puedan iniciar sesión en los navegadores y sincronizar dicha cuenta entre sus diferentes dispositivos privados y corporativos… En consecuencia, ante esta funcionalidad, las guías técnicas de implementación de seguridad de los navegadores en ámbitos corporativos solo podrán decir “disabled”.
Y, por supuesto, ¡no olvide en esta ecuación a un omnipresente protagonista, el smartphone corporativo!