El aumento del trabajo híbrido y el uso de tecnologías en la nube en los últimos años significa que la red corporativa moderna es flexible y diversa, tanto en términos de ubicación como de composición. Los empleados están usando computadoras portátiles, tabletas y teléfonos móviles para trabajar desde sus oficinas en casa, sofás e incluso cafeterías. Y dos tercios de estos «teletrabajadores» usan una computadora personal para trabajar desde casa, en lugar de una emitida por la empresa.
Este lugar de trabajo contemporáneo alienta a los empleados a tener un mejor equilibrio entre el trabajo y la vida, además de permitir que las empresas se estructuren de una manera más productiva, flexible y rentable. Y una flota de dispositivos «traiga su propio dispositivo» o «BYOD», a menudo combinada con entornos de trabajo híbridos, permite a las empresas reducir los costes de aprovisionamiento, al tiempo que permite que los empleados trabajen en dispositivos con los que están familiarizados y se sienten cómodos al usarlos. Sin embargo, una flota de dispositivos BYOD también presenta a los equipos de TI una serie de desafíos de seguridad.
Pero, ¿cuáles son exactamente esos desafíos y cómo puede aumentar nuestra seguridad BYOD para que tu empresa pueda obtener las recompensas que ofrece una red BYOD?
Indice
Dispositivos en el trabajo frente a dispositivos para el trabajo
Una cosa es que un empleado lleve un dispositivo personal al trabajo y lo use estrictamente para comunicaciones personales. Esta práctica aún puede crear riesgos, pero los riesgos de seguridad más importantes están asociados con los empleados que usan dispositivos para realizar negocios, ya sean personales simplemente enviando correos electrónicos relacionados con el trabajo o accediendo a aplicaciones seguras de la empresa desde sus propios teléfonos inteligentes o tabletas.
La diferencia es que, en un caso, los empleados usen sus dispositivos personales en el trabajo; en el otro, los empleados utilizan sus dispositivos personales para realizar su trabajo. Los dispositivos que se llevan al lugar de trabajo pero que no tienen acceso a la red de la empresa no suelen ser problemáticos; sin embargo, la diligencia debida es necesaria en todos los casos con políticas y aplicación de BYOD estrictas y definidas.
¿Por qué las empresas eligen BYOD?
Las políticas de dispositivos BYOD generalmente se instalan cuando las organizaciones tienen una cantidad de empleados remotos, o empleados que tienen que viajar mucho como parte de su función, y hay algunas razones por las que puedes optar por permitir que tus empleados usen sus propios dispositivos personales para trabajar en estos casos.
En primer lugar, una cultura BYOD puede reducir la presión sobre los tickets menores del servicio de asistencia técnica. Los empleados están familiarizados con sus propios dispositivos. Dedican mucho tiempo a ellos y saben cómo funcionan, por lo que es más probable que puedan solucionar cualquier problema menor por sí mismos, liberando recursos de TI que, de lo contrario, podrían dedicarse a ayudar a los empleados a descubrir cómo restablecer una contraseña o cambiar una contraseña.
En segundo lugar, permitir que los empleados usen sus propios dispositivos para el trabajo puede generar un aumento en la productividad, ya que están más familiarizados con los dispositivos que están usando. Al trabajar en un dispositivo familiar, un empleado puede lograr en unos segundos algo que podría tomar unos minutos en un dispositivo con un sistema operativo diferente al que está acostumbrado. Sincronizar una unidad de SharePoint con un escritorio Mac, por ejemplo, puede ser un poco complejo; particularmente si la persona que lo hace está acostumbrada a trabajar con un sistema operativo Windows.
Finalmente, implementar BYOD aumenta la flexibilidad cuando se trata de hardware. Este es bastante sencillo: tus empleados pueden trabajar tanto dentro como fuera del sitio sin necesidad de ningún hardware adicional para hacerlo. Esto no solo permite a los empleados cambiar sin problemas entre el trabajo en la oficina y el hogar, sino que también les facilita viajar a otros sitios de la empresa sin tener que proporcionarles un dispositivo en la ubicación secundaria cada vez.
Sin embargo, la moneda BYOD tiene dos caras; así como puede generar impactos positivos para tu organización, también puede tener graves consecuencias si no se implementa adecuadamente.
¿Qué es la seguridad BYOD?
Traiga su propio dispositivo (BYOD) significa que los empleados usan dispositivos personales para conectarse a la red de una organización, acceder a sistemas relacionados con el trabajo y, posiblemente, a datos confidenciales. Los dispositivos personales pueden incluir teléfonos inteligentes, computadoras personales, tabletas o unidades USB.
Según varios estudios, más del 50 % de las organizaciones y más del 70 % de los empleados usan dispositivos personales en el trabajo, y estas cifras están creciendo rápidamente. Esto significa que la seguridad BYOD es lo más importante para los líderes de TI y seguridad.
Es más probable que los dispositivos personales se utilicen para ingresar a las redes corporativas, ya sea que estén o no aprobados por TI, porque están menos protegidos y es más probable que contengan vulnerabilidades de seguridad en comparación con los dispositivos corporativos. Por lo tanto, es fundamental comprender y abordar la seguridad BYOD para organizaciones de todos los tamaños.
Riesgos de la cultura BYOD
La seguridad BYOD suele ser un desafío tanto para las empresas como para las pymes. Esto se deriva del hecho de que, para ser eficaz, las empresas deben ejercer algún tipo de control sobre los teléfonos inteligentes, las tabletas y las computadoras portátiles que no son propiedad de la empresa pero que son activos personales de los empleados. A medida que BYOD se ha vuelto cada vez más común y ha advertido la conciencia de los riesgos de seguridad, las políticas de seguridad de BYOD se están volviendo cada vez más adoptadas y aceptadas tanto por las empresas como por sus empleados.
Las empresas que adoptan BYOD se benefician de costes reducidos de hardware y software, pero al mismo tiempo, BYOD impone responsabilidades adicionales a los departamentos de TI, que deben mantener los dispositivos y garantizar que la práctica no introducirá necesidades en la red y los datos de la empresa.
Los siguientes son tres de los riesgos más graves que surgen a los dispositivos BYOD.
Fuga y pérdida de datos
Cuando los empleados usan dispositivos personales en el trabajo, cualquier acceso a la red corporativa puede representar un riesgo, ya sea que el empleado esté realizando actividades de rutina, como iniciar sesión en una cuenta de correo electrónico del trabajo, o actividades más confidenciales, como ver registros financieros o de recursos humanos.
Los atacantes pueden obtener acceso a un dispositivo perdido o robado, o comprometer un dispositivo a través de phishing o malware mientras aún es propiedad del empleado. En ese momento, los atacantes tienen tres opciones principales para hacer daño:
- Robar datos almacenados localmente en el dispositivo.
- Usar las credenciales almacenadas en el dispositivo para acceder a la red corporativa.
- Destruir datos en el dispositivo.
La segunda opción es especialmente peligrosa, porque una cuenta comprometida inicialmente puede parecer un usuario legítimo que acceda a los sistemas corporativos.
La tercera opción puede reducirse con sistemas de respaldo en la nube, pero estos deben configurarse con cuidado o también pueden convertirse en un vector de ataque.
Infección del dispositivo
Los teléfonos inteligentes suelen estar dañados por malware y, en la mayoría de los casos, los usuarios de teléfonos inteligentes no saben que su teléfono está dañado. Lo que es aún más preocupante es que, debido a que los usuarios móviles instalan una gran cantidad de aplicaciones y pueden usarlas solo ocasionalmente, pueden descuidar los términos de servicio o los permisos que otorgan a las nuevas aplicaciones.
En las computadoras de escritorio o portátiles, las vulnerabilidades del sistema operativo representan el mayor riesgo. La mayoría de los usuarios no se esfuerzan por actualizar su sistema operativo con los últimos parches de seguridad. Una primera prioridad en cualquier programa BYOD es identificar el sistema operativo actual que se ejecuta en los dispositivos de los empleados y seguro de que aplican las últimas actualizaciones.
Por último, los usuarios utilizan de manera desigual el software antivirus en sus dispositivos personales. Es posible que algunos dispositivos no estén protegidos en absoluto, y otros pueden estar protegidos por programas antivirus gratuitos o desconocidos de eficacia cuestionable.
Combinación de uso personal y comercial
Con BYOD, es inevitable que los empleados realicen tareas personales y laborales en el mismo dispositivo. Tu organización no tendrá control sobre los sitios web visitados por los empleados, algunos de los cuales pueden ser maliciosos o comprometidos, o instalar aplicaciones cuestionables. Los dispositivos pueden ser utilizados por los hijos del empleado u otros miembros de su hogar, y pueden usarse para conectarse a redes inalámbricas no seguras; la lista de amenazas potenciales es interminable.
Desafíos
Algunas organizaciones tienen reservas cuando se trata de permitir que los empleados usen dispositivos personales para el trabajo. Hay algunas razones para esto, algunas más fáciles de abordar que otras, pero todas pueden causar problemas en el futuro cuando no se planifican adecuadamente. Estos son los principales desafíos asociados con BYOD:
Seguridad BYOD
La principal preocupación cuando se trata de BYOD es la seguridad. Es más difícil crear una cultura que priorice la seguridad cuando los empleados trabajan de forma remota y usan sus propios dispositivos, simplemente por el hecho de que están trabajando en un entorno cómodo. Cuando estás trabajando en tu sala de estar, tal vez tomando un café mientras los niños piden ayuda con su tarea de matemáticas, es mucho menos probable que te preocupes por las violaciones de datos que en un entorno de oficina corporativa, rodeado de carteles. recordándote que bloquees tu máquina cuando te pongas de pie.
Es crucial que las organizaciones tomen medidas para garantizar que los trabajadores remotos sean activamente conscientes de los riesgos de seguridad, aunque no estén en la oficina. Sin embargo, a pesar de esta necesidad, el 73% de los trabajadores a nivel mundial no recibieron ninguna capacitación sobre seguridad de parte de su empleador cuando comenzaron a trabajar desde casa como resultado de la pandemia de coronavirus.
Además de los riesgos humanos, el trabajo remoto y la cultura BYOD también presentan una serie de riesgos técnicos. El primero de ellos se refiere a los dispositivos en sí: las organizaciones que no han invertido en herramientas robustas de ciberseguridad basadas en la nube para dispositivos BYOD se verán expuestas a ataques de robo de credenciales, como ingeniería social e intentos de descifrado de contraseñas. A pesar de esto, solo un tercio de las organizaciones con políticas BYOD ofrecen software antivirus para dispositivos personales.
El segundo riesgo técnico se atribuye a la forma en que los empleados a menudo deben conectar dispositivos personales a la red corporativa. Debido a que BYOD generalmente se implementa para trabajadores remotos o empleados en movimiento, esos empleados generalmente acceden a datos corporativos a través de su enrutador doméstico o una red Wi-Fi pública gratuita, como en una cafetería, estación de tren o aeropuerto. Estos tipos de redes son relativamente fáciles de piratear para los malos y, si lo hacen, pueden instalar fácilmente malware en los dispositivos que están conectados a ellos sin una VPN.
La culminación de los desafíos anteriores es la siguiente: los dispositivos personales de consumo que no han sido protegidos adecuadamente por la organización antes de ser aprobados para su uso en el lugar de trabajo tienen el doble de probabilidades de infectarse con malware que sus contrapartes corporativas.
Cumplimiento y Responsabilidad
La protección de datos siempre debe estar en la vanguardia de la mente de cualquier equipo de seguridad, pero para algunas industrias, como la atención médica, el derecho y las finanzas, no es negociable. Esto se debe a los estándares de cumplimiento muy estrictos que estas industrias deben cumplir en términos de cómo acceden, usan y distribuyen los datos. Cuando se trata de cumplimiento, la organización es responsable de los dispositivos de los empleados, incluidos los dispositivos BYOD. Esto se debe a que, aunque no son propiedad de la organización, los dispositivos todavía se usan para acceder y almacenar datos corporativos.
Sin una visión clara de cómo los empleados almacenan y comparten datos corporativos en sus dispositivos personales, puede ser difícil para los equipos de seguridad garantizar el cumplimiento.
Problemas operativos de compatibilidad
Cuando se trata del mantenimiento general de la red, BYOD puede ser un verdadero dolor de cabeza para los técnicos de TI. La instalación y actualización de software en una flota tan diversa de tipos de dispositivos y sistemas operativos es una tarea gigantesca cuando se intenta manualmente y depende de la cooperación de cada empleado para mantener su dispositivo actualizado y parcheado.
Además de esto, es posible que algunos dispositivos no sean compatibles con todo el software que se debe instalar en ellos para que los empleados puedan hacer su trabajo. Un ejemplo de esto sería un empleado que utiliza un sistema operativo móvil desactualizado o una máquina más antigua que no es lo suficientemente potente para realizar las tareas que debe realizar.
Recuperación de datos
Si un empleado deja la empresa, puede ser difícil recuperar o eliminar datos corporativos de su dispositivo personal sin borrarlo por completo o buscar en todos los datos guardados, algo con lo que muchos empleados pueden no estar contentos, ya que el proceso podría infringir su privacidad. Para evitar esto, es importante que todos los empleados que usen dispositivos BYOD firmen un acuerdo en el que la organización puede borrar cualquier dato corporativo del dispositivo en caso de que se vayan.
Sin embargo, aunque es importante que estés al tanto de estos riesgos, no deberían desanimarte a establecer una política BYOD para tu empresa. Como en cualquier área de la ciberseguridad, siempre habrá desafíos: solo necesitas encontrar la solución adecuada para combatirlos.
Medidas de seguridad
Dados los principales riesgos que plantean los dispositivos BYOD, aquí hay algunas medidas básicas que las organizaciones pueden tomar para mejorar la seguridad en estos dispositivos.
Control de aplicaciones
Algunos dispositivos y sistemas operativos brindan control sobre las aplicaciones instaladas en un dispositivo. Por ejemplo:
- Los dispositivos iOS pueden bloquear el acceso a la App Store de Apple.
- Android Enterprise permite personalizar Google Play para mostrar solo aplicaciones aprobadas.
Sin embargo, la aplicación de restricciones a las aplicaciones en el dispositivo personal de un usuario no es práctica. Es probable que los empleados se resistan a este tipo de medidas y esperen que puedan usar libremente su dispositivo personal cuando no estén en el trabajo.
Contenedorización
La contenedorización es una forma de dividir cada parte de un dispositivo en su propio entorno protegido, cada uno con una contraseña, políticas de seguridad, aplicaciones y datos diferentes. Esto puede permitir que los empleados usen el dispositivo sin restricciones, al mismo tiempo que prevengan los riesgos de seguridad para la red corporativa.
Cuando un usuario inicia sesión en un entorno de trabajo en contenedores, no puede acceder a su información personal.
La contenedorización es una solución poderosa que, por un lado, evita que los empleados usen aplicaciones no aprobadas mientras están conectados a los sistemas corporativos y, por otro lado, no restringe el uso gratuito de los dispositivos personales de los empleados.
Android Enterprise permite configurar entornos independientes en contenedores para aplicaciones personales y de trabajo. Esto brinda a las organizaciones un control total sobre el entorno de trabajo, sin invadir el uso gratuito de las aplicaciones personales por parte de los empleados.
Cifrado de datos en reposo y en transito
BYOD hace que los datos confidenciales se recuperen y visualicen en sistemas fuera del control de una organización. Por lo tanto, es crucial cifrar los datos en reposo y en tránsito. El grabador te permite proteger el contenido de archivos confidenciales incluso en el peor de los casos de robo o compromiso del dispositivo.
En la práctica, cifrar todos los datos transmitidos a los dispositivos de los empleados puede ser un desafío. Los equipos de seguridad deben tener en cuenta todos los escenarios en los que un usuario descarga o guarda un archivo en la computadora local, como descargar archivos adjuntos de correo electrónico o recuperar archivos del almacenamiento en la nube corporativa. En todos estos casos, el software del dispositivo BYOD debe garantizar que los datos estén encriptados.
Otra preocupación es que el cifrado puede ralentizar las operaciones diarias, perjudicar la productividad y frustrar a los usuarios. Además, cualquier mal funcionamiento en el proceso de cifrado puede bloquear a los usuarios de los archivos críticos que necesitan para hacer su trabajo.
Listas negras
La inclusión de negras en listas es un término que describe el proceso de bloqueo o prohibición de aplicaciones específicas que se determina que representan un riesgo para la seguridad de la empresa. La inclusión de listas negras también es un método que utilizan algunas empresas para controlar el acceso de los empleados a aplicaciones que pueden dificultar la productividad, como juegos o aplicaciones de redes sociales. Los servicios de intercambio de archivos son otra categoría de aplicaciones que a menudo se encuentran en listas negras, ya que las empresas temen que los empleados pueden compartir información confidencial con terceros no autorizados, ya sea intencionalmente o sin darse cuenta.
Si bien puede ser eficaz al limitar el acceso a las aplicaciones que no cumplen con los criterios de seguridad de tu empresa, la lista negra personal no suele usarse para BYOD, ya que el proceso implica controlar el acceso a las aplicaciones en los dispositivos de los empleados tanto durante el trabajo como fuera de él. Naturalmente, esto plantea un problema para algunos empleados que disfrutan jugando Pokémon GO cuando no están en el trabajo.
Lista blanca
La lista blanca es simplemente lo contrario de la lista negra. En lugar de bloquear el acceso a una lista de aplicaciones específicas, la lista blanca permite el acceso solo a una lista de aplicaciones aprobadas. A menudo se considera un proceso más efectivo simplemente por la gran cantidad de aplicaciones y sitios web que existen. Esperar hasta que un empleado haya descargado una aplicación y la haya utilizado para transmitir datos para determinar que representa un riesgo de seguridad a veces es demasiado poco y demasiado tarde.
La lista blanca evita este problema al simplemente no permitir el acceso a nada a menos que TI lo haya aprobado previamente como seguro. Por supuesto, al igual que las listas negras, esto puede crear problemas para BYOD al bloquear el acceso de los empleados a las aplicaciones que podrían querer usar cuando no están en el trabajo.
Otras medidas de seguridad BYOD
Hay una variedad de otras medidas de seguridad que a veces se utilizan como parte de un programa integral de seguridad BYOD. El software antivirus instalado en dispositivos individuales, por ejemplo, suele ser un elemento básico de dichos programas de seguridad. Las empresas pueden comprar una licencia por volumen e instalar software en dispositivos BYOD o simplemente solicitar a los empleados que instalen uno propio y verifiquen con TI que sus dispositivos están protegidos. Con más malware dirigido a dispositivos móviles, el riesgo de que dicho programa malicioso afecte la red de la empresa a través del dispositivo personal de un empleado es muy real.
La monitorización es otro componente que a veces se usa como parte de un programa de seguridad BYOD. TI podría implementar sistemas que controlen la ubicación GPS de los dispositivos de los empleados o el tráfico de Internet en dispositivos individuales. Si bien estos sistemas de monitorización pueden resultar mejorados para detectar actividades inusuales o localizar un dispositivo perdido, muchos consideran que estas soluciones se aventuran demasiado en la privacidad de los empleados.
Definición de una política de seguridad BYOD
Definir una política de seguridad BYOD es un paso fundamental para mantener la seguridad de la empresa cuando los empleados llevan sus dispositivos personales en el lugar de trabajo. Algunos elementos esenciales de una política BYOD incluyen:
- Uso aceptable: ¿a qué aplicaciones y activos pueden acceder los empleados desde sus dispositivos personales?
- Controles de seguridad mínimos requeridos para los dispositivos
- Componentes fabricados por la empresa, como certificados SSL para autentificación de dispositivos.
- Derechos de la empresa para alterar el dispositivo, como el borrado remoto de dispositivos perdidos o robados.
Algunos componentes adicionales de las políticas BYOD efectivas incluyen especificar los tipos de dispositivos permitidos y establecer una política de seguridad estricta para todos los dispositivos. Por ejemplo, los consumidores pueden optar por no utilizar funciones de seguridad nativas, como la capacidad de bloquear pantallas de dispositivos o solicitar contraseñas, porque estas funciones crean pasos adicionales que incomodan a los usuarios. Los empleados están motivados para hacer uso de estas funciones simples cuando existen políticas claras de la empresa, e incluso las medidas simples pueden mejorar la seguridad de la empresa.
Además, tu política BYOD debe definir una política de servicio para dispositivos BYOD, incluido el soporte disponible de TI para los empleados que se conectan a la red de la empresa, soporte para aplicaciones instaladas en dispositivos personales y soporte para resolver conflictos entre aplicaciones personales y aplicaciones de la empresa.
Su política de BYOD debe describir claramente la propiedad de las aplicaciones y los datos, así como las aplicaciones que están permitidas o prohibidas y el reembolso (p. ej., ¿reembolsará la empresa a los empleados una tarifa de uso estándar, pagará ciertas aplicaciones o una parte de las facturas mensuales? ). También debe describir los requisitos de seguridad para los dispositivos BYOD (p. ej., ¿la empresa obtuvo una aplicación de seguridad para dispositivos móviles que deba instalarse en los dispositivos de los empleados antes de que se les conceda acceso a los datos de la empresa o se les permitirá a los empleados elegir sus propias soluciones de seguridad siempre que cumplan los criterios definidos por su departamento de TI?).
Las salidas de los empleados también son una consideración importante al delinear tu política BYOD. Cuando un empleado deja la empresa, ¿qué sucede con los datos de la empresa que pueden almacenarse en el dispositivo del empleado? La definición de políticas claras que explican los procedimientos que deben seguirse cuando un empleado se separa de la empresa, como la limpieza del dispositivo del empleado por parte de TI, debe explicarse en detalle en las políticas escritas.
Por último, los riesgos, las responsabilidades y las exenciones de responsabilidad deben divulgarse en una política de BYOD por escrito. Esto incluye la responsabilidad de la empresa por los datos personales de un empleado, en caso de que un dispositivo deba borrarse como medida de seguridad, así como la responsabilidad del empleado por la fuga de datos confidenciales de la empresa provocada por la negligencia o el mal uso del empleado.
Ejemplos de elementos de una política de BOYD
Existe una gran cantidad de tecnología para proteger mejor los dispositivos propiedad de los empleados. Dicho esto, una política sólida y una adopción generalizada de la política son vitales para garantizar el uso adecuado (y seguro) de BYOD en una organización. Si bien cada empresa es diferente, hay una serie de elementos (relativamente) universales para la mayoría de las pólizas.
Disposiciones de contraseña
Para la información confidencial, ya sea que pertenezca a la empresa o a sus clientes, las protecciones con contraseña no son negociables. La mayoría de las organizaciones requieren contraseñas seguras en dispositivos móviles y computadoras. Algunos cambios regulares de contraseña promulgan cada 30 o 90 días, por ejemplo. También puedes considerar la autenticación de dos factores para cualquier aplicación y programa al que se acceda desde los dispositivos propiedad de los empleados.
Disposiciones de privacidad
Los datos de la empresa pertenecen a la empresa, pero resultan que están en un dispositivo de propiedad privada. La privacidad es un gran problema, y tu política BYOD debe abordar cómo proteges los datos y garantizas la privacidad de los empleados. Algunas empresas optan por advertir a los trabajadores que no esperen privacidad cuando utilicen dispositivos personales con multas laborales.
Disposiciones de transferencia de datos
Solo se necesita que una persona use una nueva aplicación con datos confidenciales para que prevenga una infracción. Si alguien está usando una aplicación determinada que no está aprobada para transferir datos, y esta aplicación se viola, podría haber ramificaciones legales graves. Los datos deben estar encriptados, protegidos con contraseña y solo transferirse en aplicaciones ordenadas por la empresa.
Mantenimiento adecuado/Actualizaciones
Los parches y las actualizaciones no solo brindan nuevas funciones, sino que también protegen el código de ataques conocidos. Mantener actualizados los dispositivos y las aplicaciones es una parte importante de la seguridad digital general y debe incluirse en cualquier política de uso de dispositivos privados o de la empresa.
Disposiciones de sentido común
La tecnología es indiferente, pero la gente tiene malos hábitos. Se pueden producir selfies de trabajo y «blogs» cortos, incluso cuando están prohibidos. Y sin disposiciones en tu política, el uso indebido del dispositivo probablemente ocurrirá con más frecuencia. Otras reglas de sentido común incluyen cosas como:
- No usar el dispositivo mientras se conduce
- Limitar las llamadas personales en el trabajo
- No tomar videos (excepto si es posible en áreas como salas de descanso con el permiso de un compañero de trabajo).
Aplicaciones Aprobadas
Hay una serie de aplicaciones que se utilizan en el lugar de trabajo. Un estudio encontró que los empleados usan más de cinco aplicaciones comerciales todos los días. Sin una lista firme de programas aprobados, tu equipo puede establecer sus propias aplicaciones para usar. Asegúrate de incluir mensajería segura dedicada, correo electrónico, CRM y otras aplicaciones y prohíbe limpiar el uso de programas no avanzados.
Tras la rescisión
Dejar los datos de la empresa en un dispositivo personal cuando esa persona se jubila, encuentra trabajo en otro lugar o posiblemente sea despedido es una mala idea. Peor aún es no tener un conjunto específico de procedimientos cuando esto ocurre. Tras cualquier terminación, una organización está obligada a garantizar que todos los datos se eliminen del dispositivo y los permisos se eliminen de las aplicaciones de la empresa.
Procedimientos de borrado de datos
La complejidad de borrar datos del teléfono, tableta o computadora de un empleado es suficiente para que algunas empresas proporcionen todos los dispositivos a los empleados. Analizar a través de múltiples cuentas de correo electrónico y eliminar ciertas cosas de las aplicaciones utilizadas tanto para asuntos privados como de la empresa no es fácil. Es por estas razones que los pasos están claramente definidos en la política.
Disposiciones de responsabilidad
Una política con una lista de pautas, pero sin una acción disciplinaria clara por no cumplir con esas disposiciones, significa que no se tomará en serio. Tu política debe describir en detalle cómo se realiza el seguimiento, la medición y el cumplimiento de la rendición de cuentas. Cada miembro del equipo debe comprender no solo cómo se deben usar los dispositivos, sino también las consecuencias de no mantener seguros los datos de la empresa.
Evalúa tus capacidades tecnológicas
Además de crear y comunicar tu política BYOD, debes asegurarte de tener los recursos tecnológicos adecuados a tu disposición. Una evaluación de tus capacidades actuales ayudará a identificar y llenar estos vacíos para garantizar una implementación exitosa de BYOD.
La falta de supervisión es una de las preocupaciones más comunes en torno a la implementación de BYOD. Las empresas que implementan políticas BYOD deben contar con el personal adecuado en sus departamentos de soporte de TI para ayudar a los empleados a configurar y brindar soporte y monitorización continua. No todas las soluciones son compatibles con todos los dispositivos o sistemas operativos. Las empresas pueden optar por comprar una solución de software con compatibilidad entre dispositivos, o pueden dar mayor importancia a las características y ofrecer una solución diferente para diferentes dispositivos y sistemas operativos.
Las empresas deben implementar medidas y procedimientos para verificar la instalación de soluciones de seguridad en todos los dispositivos que acceden a los datos de la empresa. También deben crear protocolos para identificar y hacer cumplir las políticas relacionadas con la evaluación de los riesgos de varias aplicaciones y determinar qué aplicaciones específicas se consideran seguras y las que deben prohibirse. Finalmente, si el reembolso está incluido en la política BYOD, se deben considerar las cuestiones presupuestarias y asignar los recursos apropiados para este fin.
Prácticas recomendadas
Estas son algunas de las prácticas recomendadas para garantizar la seguridad de BYOD:
Educar a los empleados
Define una política de seguridad BYOD y, lo que es más importante, tómate el tiempo para educar a los usuarios al respecto. Los usuarios deben comprender claramente lo que pueden y no hacer en sus dispositivos personales, por qué las medidas de seguridad son importantes y cuáles son las consecuencias de violar la política.
Los empleados deben someterse a una formación de seguridad obligatoria. Un objetivo principal de la educación de los empleados es explicar que las amenazas a la seguridad son un peligro para la organización y para los propios empleados, y que al seguir la política, están mejorando la seguridad para ellos y sus colegas, y ayudan a prevenir filtraciones de datos catastróficos que pueden amenazar a la organización.
Datos personales y comerciales separados
Cuando los empleados usan un dispositivo para actividades comerciales, una preocupación principal es la privacidad. Un dispositivo puede contener información o archivos personales confidenciales que el empleado no desea compartir con su lugar de trabajo. Al mismo tiempo, los datos comerciales confidenciales almacenados en el dispositivo deben protegerse y ser accesibles solo para el empleado. Ya sea que se utilicen o no soluciones de contenedorización, la política de BYOD debe establecer claramente cómo separar la información personal y comercial y evitar la exposición no deseada.
Ten una solución para los dispositivos perdidos
Si un dispositivo se pierde o es robado, los empleados deben informarlo de inmediato a su gerente o departamento de TI. El departamento de TI debe estar preparado para las acciones necesarias, como el bloqueo remoto de dispositivos, el borrado de datos, el restablecimiento de contraseñas y el borrado automático de aplicaciones críticas. El protocolo para la pérdida o el robo de dispositivos debe estar claramente definido en la política BYOD y los empleados deben ser plenamente conscientes de ello.
Garantía de conectividad de red segura
Si un empleado está conectado a Internet o Wi-Fi público, los atacantes pueden espiar las actividades comerciales. Anima a los empleados a conectar sus equipos a una red segura, no solo en la oficina, sino también mientras se desplazan. En cualquier caso, solo deben conectarse a la red corporativa a través de una red privada virtual (VPN) cifrada y segura.
Gestión unificada de terminales (UEM)
Las soluciones de administración unificada de puntos finales, o UEM, permiten a las organizaciones monitorizar y administrar de forma remota todos los dispositivos conectados a su red a través de una sola interfaz. Ayudan a los equipos de TI a proteger PC, dispositivos móviles y dispositivos IoT contra posibles amenazas cibernéticas. Para hacer esto, las soluciones de UEM combinan una variedad de características especializadas, que incluyen:
- Informes administrativos detallados sobre quién se conecta a la red a través de qué dispositivo, desde qué ubicación y a qué hora.
- Autenticación avanzada de usuarios y gestión de acceso.
- Aislamiento de aplicaciones, que permite a los empleados usar aplicaciones personales y de trabajo de forma segura en un solo dispositivo.
- Parches de software automatizados.
Además de ayudar a proteger las redes BYOD, las soluciones de UEM ayudan a las organizaciones a crear un entorno digital unificado en todos los dispositivos y todas las ubicaciones, desde las oficinas corporativas hasta la mesa de la cocina de un empleado.
Puesto final de Seguridad
Las soluciones de seguridad de puntos finales combinan potentes cortafuegos, funciones antimalware y herramientas de gestión de dispositivos para proteger cada uno de los puntos finales conectados a una red contra ataques maliciosos. Debido a que los administradores pueden administrar las soluciones de seguridad de puntos finales de forma centralizada, pueden monitorizar fácilmente el estado de los dispositivos BYOD y evaluar el nivel de riesgo que presenta cada dispositivo a la vez.
Al igual que UEM, las soluciones de seguridad de endpoint vienen con una amplia gama de características que les permiten proteger tu red contra amenazas potenciales. Éstas incluyen:
- Detección y respuesta de punto final (EDR) que escanea los dispositivos en busca de vulnerabilidades existentes y te las informa para que tomes acción antes de que un hacker pueda explotarlas.
- Respuesta a incidentes automatizada que utiliza flujos de trabajo y procesos como listas negras y sandboxing para mitigar ciertas amenazas de malware y liberar recursos de TI para hacer frente a amenazas más avanzadas.
- Software antivirus y antimalware, con tecnología de inteligencia artificial y tecnologías de aprendizaje automático que garantizan que estés protegido incluso contra las amenazas de día cero más recientes.
- Herramientas de informes y administración remota, que te permiten generar informes sobre el estado del dispositivo a nivel individual y organizacional.
VPN
Las redes privadas virtuales, o VPN, crean una red privada a través de una conexión pública a Internet, ocultando la dirección IP del usuario para brindarle anonimato y privacidad, y cifrando la conexión para garantizar que nadie más que el usuario pueda ver su actividad en Internet. Básicamente actúan como un túnel entre el dispositivo e Internet; nadie más que el usuario y el destinatario de sus actividades puede ver lo que ese usuario está haciendo dentro del túnel.
Con una VPN, los empleados pueden enviar y recibir datos hacia y desde la red corporativa desde una conexión Wi-Fi pública de forma tan segura como si estuvieran conectados directamente a una red privada. Las VPN se recomiendan especialmente para los usuarios de PYMES que buscan una forma rentable de asegurar el acceso a las aplicaciones corporativas. Para las empresas más grandes que buscan un acceso seguro a un entorno de red más complejo, recomendamos investigar las soluciones de Zero Trust Network.
Conclusión
La conclusión es que la seguridad BYOD, como la seguridad empresarial, requiere un enfoque multifacético que aborde los riesgos potenciales y minimice las intrusiones en la privacidad y usabilidad de los empleados cuando se trata de uso personal. Las soluciones de seguridad sensibles al contexto que brindan control sobre el acceso de los usuarios, las aplicaciones, la conectividad de la red y los dispositivos, además de las capacidades de grabado, combinan los elementos clave necesarios para garantizar la seguridad empresarial en el entorno BYOD.
Las empresas que adoptan estas soluciones capitalizan los beneficios y cosechan las recompensas de BYOD, como la productividad y la satisfacción de los empleados debido a un mayor equilibrio entre el trabajo y la vida personal, al tiempo que mitigan de manera efectiva los riesgos de seguridad que una vez plagaron a las empresas que adoptaron BYOD.
Cuando se trata de BYOD, debes asegurarte de no sacrificar la seguridad de tu empresa para aumentar la productividad. La clave para lograr esto es planificar cuidadosamente la implementación de una política BYOD e invertir en las soluciones adecuadas para garantizar que tus redes y tus empleados permanezcan seguros.