¿Qué es BYOD?

Las políticas de bring your own device o trae tu propio dispositivo (BYOD), les permiten a los empleados y otros integrantes del personal el traer sus propios ordenadores portátiles y smartphones al trabajo y conectarlos a la red corporativa. El BYOD es común en muchas compañías, y a los empleados les gusta porque se sienten más cómodos usando sus propios dispositivos. Sin embargo, el uso de dispositivos personales constituye un desafío a la capacidad de la organización para proteger el entorno de red. Por tanto, es necesario tener claramente definida una política para proteger los datos corporativos contra robos.

Los dispositivos propiedad de la organización son fáciles de controlar porque los administradores controlan lo que está instalado en el dispositivo y pueden imponer actualizaciones y cambios de configuración a voluntad. Con el BYOD, los administradores deben lograr un equilibrio entre la ciberseguridad y la privacidad de los propietarios de los dispositivos.

La seguridad cuando los empleados traen su propio dispositivo tiene varios componentes, todos los cuales se deben planificar para ajustarse a los requisitos únicos de su empresa y evitar resultar demasiado invasivos a los dispositivos privados de los usuarios. Para implementar una buena estrategia de ciberseguridad, antes hay que determinar a cuáles aplicaciones o activos se puede acceder desde un ordenador personal o smartphone. También puede exigir unos controles de seguridad mínimos para para el dispositivo.

Por ejemplo, un usuario puede usar un smartphone para conectarse al correo electrónico o recopilar otros datos específicos del negocio. Antes de que el usuario se conecte a su red, debe tener instalado un antivirus. Una aplicación antivirus protege al dispositivo contra el malware y permite que su organización cumpla con las normativas. Esta solicitud protege a los datos corporativos, pero no interfiere con el dispositivo privado del usuario.

La tecnología de los dispositivos móviles cambia rápidamente, así que la ciberseguridad debe mantenerse a la par de estos cambios constantes. Las diferentes iteraciones de las tecnologías suelen seguir tendencias específicas, y mientras más popular sea la tendencia, más atención recibirá por parte de los atacantes. Por lo tanto, las estrategias de ciberseguridad también deben seguir las tendencias.

Las estrategias de BYOD también cambian para desarrollar una mejor infraestructura sin invadir la privacidad de los usuarios. Algunas tendencias populares incluyen:

• Requisitos para dispositivos: Los usuarios solo podrán conectarse a recursos de la red si cuentan con el sistema operativo compatible mínimo y usan solamente una lista designada de fabricantes de dispositivos. Este requisito permite evitar ataques de malware ocultos y sistemas operativos obsoletos.
• Los dispositivos perdidos deben reportarse de inmediato: Idealmente, los usuarios instalan una aplicación de borrado remoto para proteger sus datos empresariales en caso de que un dispositivo resulte robado o extraviado. Incluso sin una funcionalidad de borrado remoto, los usuarios deben informar de inmediato si un dispositivo ya no se encuentra en su poder.
• Políticas de privacidad para BYOD: todas las políticas de BYOD deben ser transparentes, para que los usuarios puedan comprender a cabalidad qué cosas se deben instalar y configurar para poder traer sus dispositivos al trabajo. Esto incluye la conexión remota a la red desde sus dispositivos.

Las empresas que no cuentan con una política de BYOD suelen necesitar orientación acerca de dónde y cómo comenzar. A alto nivel, una política les permite a los empleados traer un smartphone, ordenador portátil o cualquier otro dispositivo portátil a su lugar de trabajo. Alrededor del 80% de las empresas respaldan el tener una política de BYOD, y la mayoría de los empleados aprovechan estas políticas y usan al menos uno de sus dispositivos personales para acceder a aplicaciones y datos empresariales.

Si bien una política de BYOD podría incrementar la productividad de los empleados, su principal desafío es la ciberseguridad requerida para proteger los datos empresariales. Las empresas pueden crear diversas políticas y estrategias para establecer estándares que les den acceso a los empleados a datos empresariales y les permitan protegerlos.

El pilar fundamental del BYOD es establecer una política de “uso aceptable”. Esta política depende del sector de la empresa y de las normativas de cumplimiento. Por ejemplo, las organizaciones de servicios médicos deben cumplir con estrictas normativas acerca de los datos de los pacientes y asegurarse de que el acceso emplee unos controles específicos. Lo mismo puede decirse de las instituciones financieras que almacenan la información bancaria de los clientes.

Las políticas de acceso a los datos deben contemplar lo siguiente:

• Las páginas web prohibidas y todas las conexiones remotas a datos deberían estar en una red privada virtual (VPN).
• Las aplicaciones a las que se pueda acceder desde el dispositivo, como el correo electrónico, citas del calendario, mensajería y contactos empresariales.
• La transmisión y almacenamiento de materiales ilícitos debería estar prohibida para evitar la instalación accidental de malware que podría usarse para robar información delicada.

Las organizaciones de cumplimiento suelen requerir de monitorización. Los individuos típicamente no cuentan con software de monitorización instalado en sus dispositivos, pero sí es necesario en un entorno empresarial. Los administradores pueden instalar herramientas de gestión remota en el dispositivo para permitir el acceso en caso de robo o pérdida. También les permite a los administradores instalar actualizaciones en el software del dispositivo para evitar vulnerabilidades por parte de aplicaciones obsoletas. El software remoto respalda los datos almacenados en el dispositivo, cosa que también es un requisito de las normativas de cumplimiento.

Una vez que haya establecido y documentado sus políticas, el siguiente paso es notificar a sus empleados, para que estén conscientes de las directrices. Una buena política también requiere de actualizaciones y cambios después de su revisión y de la extracción de conclusiones, siempre que un requisito se juzgue innecesario o incompleto.

Una política de BYOD tiene ventajas tanto para empleadores como para empleados. La ventaja principal para las empresas es la reducción en los costes operativos. El que los empleados que usen sus propios dispositivos implica que las empresas ya no necesitan comprarlos, lo que aporta reducciones de costes en el orden de los miles de dólares. Es frecuente que los empleadores les paguen a los empleados por los planes de telefonía y datos, pero estos costes siguen siendo inferiores a los del hardware.

Cuando los empleados usan dispositivos con los cuales están familiarizados, la productividad se incrementa. Ya no necesitan configurar dispositivos para que se ajusten a sus preferencias particulares, porque el dispositivo del empleado viene configurado para un rendimiento óptimo en sus funciones. Los costes de capacitación disminuyen, porque los empleados ya no necesitan saber cómo funciona el dispositivo y pueden aprender a usar las aplicaciones a su ritmo.

Si un empleado quiere tener lo último en tecnología, se compra un nuevo dispositivo, lo que mejora la tecnología empresarial necesaria para mantener el nivel operativo deseado. En lugar de comprar equipos nuevos, la organización puede aprovechar la última tecnología del empleado, lo que puede ayudar a mejorar la productividad y a que los demás empleados adopten las últimas tendencias.

Incluso con todos estos beneficios, el BYOD también conlleva dificultades. Una organización debe evaluar estas dificultades antes de planificar e implementar una política de BYOD.

Algunas de las dificultades que se podrían presentar son:

• Mala comunicación: Al igual que con la política de ciberseguridad, la política de BYOD debe estar bien comunicada. Si un usuario no comprende esta política, la mala comunicación podría llevar a un mal uso del BYOD. Por ejemplo, si no se definen claramente las aplicaciones a instalar, como software antivirus, es posible que el usuario no tenga las protecciones necesarias de ciberseguridad en su dispositivo.
• Dispositivos perdidos o robados: Como los usuarios llevan sus dispositivos al trabajo y a casa, es posible que estos resulten perdidos o robados, con los datos corporativos dentro. Algunas políticas de BYOD exigen que los dispositivos tengan una aplicación de borrado remoto para eliminar datos delicados. Algunos dispositivos, como los iPhone de Apple, cuentan con almacenamiento cifrado, pero los ordenadores portátiles y las tablets pueden precisar de configuraciones adicionales de cifrado de almacenamiento para proteger los datos después de que los dispositivos resulten perdidos o robados.
• Conexiones de los dispositivos: Conectarse a puntos de wifi gratuita permite ahorrar en uso de datos, así que muchos usuarios de dispositivos móviles buscan estos puntos cuando viajan. Los atacantes se ceban en las áreas de wifi gratuita para engañar a los usuarios y hacer que se conecten a puntos malintencionados. Para protegerse de estas conexiones malintencionadas y evitar el espionaje de datos, exíjales a los usuarios que se conecten a una red virtual privada (VPN) certificada por la empresa.
• Aplicaciones malintencionadas: Los usuarios tienen libertad para instalar cualquier aplicación que quieran en sus dispositivos, pero esto hace que sus datos queden vulnerables ante aplicaciones malintencionadas y malware en general. Su política debería bloquear con teléfonos con “jailbreak”, porque estos smartphones son más vulnerables a filtraciones de datos sin protecciones integradas al sistema operativo.
• Dispositivos abiertos y sin bloquear: Aunque algunos usuarios optan por dejar sus dispositivos desbloqueados y evitan usar códigos PIN, esto implica que cualquiera que se apodere de su dispositivo tendrá acceso a sus datos. Su política de BYOD debe exigirles a los usuarios que tengan un PIN o contraseña para sus dispositivos, para añadir una capa de seguridad adicional entre sus datos y un potencial atacante.

Los riesgos de permitirles traer sus propios dispositivos a los usuarios están directamente relacionados con las potenciales dificultades para la organización. Por ejemplo, una de las dificultades del BYOD es proteger los datos contra el robo, pero este también es un riesgo al que la empresa se expone al permitirles a los usuarios el almacenar datos corporativos en sus dispositivos. El malware también es un riesgo, pero es posible detenerlo si se usa el software antivirus adecuado.

La conformidad es uno de los riesgos más importantes. Si un atacante se roba datos delicados de un dispositivo vulnerado o robado, su organización podría enfrentar demandas legales por no conformidad con normativas y daños a la privacidad del cliente. La defensa legal es costosa y puede afectar negativamente a la empresa, tanto por los costes directos como por el daño a la reputación de la marca.

Los usuarios típicamente están familiarizados con sus propios dispositivos, pero la gestión de dispositivos móviles se deja en manos del usuario más que en las de los administradores. Una mala gestión de los dispositivos móviles puede implicar que el dispositivo quede más vulnerable al malware y otros ataques malintencionados si el usuario no sabe cómo detener a las amenazas más comunes.

Si los administradores no monitorizan el BYOD, el entorno podría quedar vulnerable ante la Shadow IT. Se conoce como Shadow IT (o “TI Oscura”) a aquellos dispositivos, tales como ordenadores portátiles, smartphones y tablets, que no están autorizados a conectarse a la red. Estos dispositivos se pueden conectar a la red de manera malintencionada para exfiltrar datos y espiar en el tráfico.

El desarrollar una política eficaz puede llevar meses, pero una mejor estrategia se puede comunicar con mayor facilidad para así proteger sus datos. Es posible que necesite ayuda para determinar todo lo que debe estar incluido en una política, y los profesionales pueden ayudarle a establecer un plan de acción.

Algunos consejos para desarrollar una política de BYOD:

• Establecer políticas de seguridad: Proteger sus datos es uno de los componentes más críticos de una buena política de BYOD. Esquematice todos los aspectos de las protecciones de ciberseguridad instaladas en el dispositivo, de modo que este no quede vulnerable ante atacantes tanto físicos como virtuales.
• Crear una guía de uso: Una política de uso aceptable (o AUP, del inglés “Acceptable Usage Policy”) define las páginas web, software y conexiones de redes aprobadas por la organización.
• Instalar software de gestión remota: Los administradores deben ser capaces de instalar revisiones (o “parches”) de software y eliminar datos de manera remota tras un robo. El software de gestión remota les brinda a los administradores acceso al dispositivo, lo que les permite enviar actualizaciones.
• Implementar la autenticación de múltiples factores (MFA): Si un atacante obtiene acceso al dispositivo, este no tendrá los dos factores de autenticación necesarios para acceder a sus aplicaciones y datos corporativos.
• Capacitar regularmente a los empleados: Los usuarios deben estar conscientes de los ataques comunes y de las maneras en que se pueden robar datos de dispositivos móviles. La capacitación ayuda a reducir el riesgo de una violación de datos.