Índice
Las políticas de bring your own device o trae tu propio dispositivo (BYOD), les permiten a los empleados y otros integrantes del personal el traer sus propios ordenadores portátiles y smartphones al trabajo y conectarlos a la red corporativa. El BYOD es común en muchas compañías, y a los empleados les gusta porque se sienten más cómodos usando sus propios dispositivos. Sin embargo, el uso de dispositivos personales constituye un desafío a la capacidad de la organización para proteger el entorno de red. Por tanto, es necesario tener claramente definida una política para proteger los datos corporativos contra robos.
La formación en ciberseguridad empieza aquí
La prueba gratuita funciona de la siguiente manera:
- Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
- En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
- ¡Conozca nuestra tecnología en acción!
- Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.
Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.
Un representante de Proofpoint se comunicará con usted en breve.
Seguridad
Los dispositivos propiedad de la organización son fáciles de controlar porque los administradores controlan lo que está instalado en el dispositivo y pueden imponer actualizaciones y cambios de configuración a voluntad. Con el BYOD, los administradores deben lograr un equilibrio entre la ciberseguridad y la privacidad de los propietarios de los dispositivos.
La seguridad cuando los empleados traen su propio dispositivo tiene varios componentes, todos los cuales se deben planificar para ajustarse a los requisitos únicos de su empresa y evitar resultar demasiado invasivos a los dispositivos privados de los usuarios. Para implementar una buena estrategia de ciberseguridad, antes hay que determinar a cuáles aplicaciones o activos se puede acceder desde un ordenador personal o smartphone. También puede exigir unos controles de seguridad mínimos para para el dispositivo.
Por ejemplo, un usuario puede usar un smartphone para conectarse al correo electrónico o recopilar otros datos específicos del negocio. Antes de que el usuario se conecte a su red, debe tener instalado un antivirus. Una aplicación antivirus protege al dispositivo contra el malware y permite que su organización cumpla con las normativas. Esta solicitud protege a los datos corporativos, pero no interfiere con el dispositivo privado del usuario.
Tendencias
La tecnología de los dispositivos móviles cambia rápidamente, así que la ciberseguridad debe mantenerse a la par de estos cambios constantes. Las diferentes iteraciones de las tecnologías suelen seguir tendencias específicas, y mientras más popular sea la tendencia, más atención recibirá por parte de los atacantes. Por lo tanto, las estrategias de ciberseguridad también deben seguir las tendencias.
Las estrategias de BYOD también cambian para desarrollar una mejor infraestructura sin invadir la privacidad de los usuarios. Algunas tendencias populares incluyen:
- Requisitos para dispositivos: Los usuarios solo podrán conectarse a recursos de la red si cuentan con el sistema operativo compatible mínimo y usan solamente una lista designada de fabricantes de dispositivos. Este requisito permite evitar ataques de malware ocultos y sistemas operativos obsoletos.
- Los dispositivos perdidos deben reportarse de inmediato: Idealmente, los usuarios instalan una aplicación de borrado remoto para proteger sus datos empresariales en caso de que un dispositivo resulte robado o extraviado. Incluso sin una funcionalidad de borrado remoto, los usuarios deben informar de inmediato si un dispositivo ya no se encuentra en su poder.
- Políticas de privacidad para BYOD: todas las políticas de BYOD deben ser transparentes, para que los usuarios puedan comprender a cabalidad qué cosas se deben instalar y configurar para poder traer sus dispositivos al trabajo. Esto incluye la conexión remota a la red desde sus dispositivos.
Estadísticas
Dado que los dispositivos móviles suelen tener menos controles y protecciones de ciberseguridad, los atacantes los eligen como objetivos más frecuentemente. Con una política de tipo trae tu propio dispositivo BYOD en el trabajo, los empleados podrían poner en riesgo sus datos. Incluso con los riesgos antes mencionados, el BYOD ofrece un potencial valor monetario a las organizaciones, porque típicamente mejora los presupuestos y reduce los costes operativos.
Algunas estadísticas interesantes:
- Los dispositivos móviles les dan a los empleados más incentivos para realizar las tareas, con lo que trabajan 240 horas adicionales al año.
- La gestión de correo electrónico, calendario y contactos son las funcionalidades más beneficiosas del BYOD para los empleados.
- El uso de smartphones en el trabajo incrementa la productividad en un 34%.
- Una mejor movilidad y horas laborales adicionales son los dos principales beneficios para los empleadores.
- Los empleados con la posibilidad de teletrabajar avanzan más en sus respectivos días hábiles.
- Más del 80% de las empresas fomentan la tendencia del BYOD.
- Las organizaciones generan un valor de 350 USD por empleado y año por concepto de aumentos en la productividad.
- El 61% de las empresas esperan que los empleados estén disponibles de manera remota, incluso si no les proporcionan un teléfono móvil.
Cómo funciona
Las empresas que no cuentan con una política de BYOD suelen necesitar orientación acerca de dónde y cómo comenzar. A alto nivel, una política les permite a los empleados traer un smartphone, ordenador portátil o cualquier otro dispositivo portátil a su lugar de trabajo. Alrededor del 80% de las empresas respaldan el tener una política de BYOD, y la mayoría de los empleados aprovechan estas políticas y usan al menos uno de sus dispositivos personales para acceder a aplicaciones y datos empresariales.
Si bien una política de BYOD podría incrementar la productividad de los empleados, su principal desafío es la ciberseguridad requerida para proteger los datos empresariales. Las empresas pueden crear diversas políticas y estrategias para establecer estándares que les den acceso a los empleados a datos empresariales y les permitan protegerlos.
El pilar fundamental del BYOD es establecer una política de “uso aceptable”. Esta política depende del sector de la empresa y de las normativas de cumplimiento. Por ejemplo, las organizaciones de servicios médicos deben cumplir con estrictas normativas acerca de los datos de los pacientes y asegurarse de que el acceso emplee unos controles específicos. Lo mismo puede decirse de las instituciones financieras que almacenan la información bancaria de los clientes.
Las políticas de acceso a los datos deben contemplar lo siguiente:
- Las páginas web prohibidas y todas las conexiones remotas a datos deberían estar en una red privada virtual (VPN).
- Las aplicaciones a las que se pueda acceder desde el dispositivo, como el correo electrónico, citas del calendario, mensajería y contactos empresariales.
- La transmisión y almacenamiento de materiales ilícitos debería estar prohibida para evitar la instalación accidental de malware que podría usarse para robar información delicada.
Las organizaciones de cumplimiento suelen requerir de monitorización. Los individuos típicamente no cuentan con software de monitorización instalado en sus dispositivos, pero sí es necesario en un entorno empresarial. Los administradores pueden instalar herramientas de gestión remota en el dispositivo para permitir el acceso en caso de robo o pérdida. También les permite a los administradores instalar actualizaciones en el software del dispositivo para evitar vulnerabilidades por parte de aplicaciones obsoletas. El software remoto respalda los datos almacenados en el dispositivo, cosa que también es un requisito de las normativas de cumplimiento.
Una vez que haya establecido y documentado sus políticas, el siguiente paso es notificar a sus empleados, para que estén conscientes de las directrices. Una buena política también requiere de actualizaciones y cambios después de su revisión y de la extracción de conclusiones, siempre que un requisito se juzgue innecesario o incompleto.
BYOD Ventajas
Una política de BYOD tiene ventajas tanto para empleadores como para empleados. La ventaja principal para las empresas es la reducción en los costes operativos. El que los empleados que usen sus propios dispositivos implica que las empresas ya no necesitan comprarlos, lo que aporta reducciones de costes en el orden de los miles de dólares. Es frecuente que los empleadores les paguen a los empleados por los planes de telefonía y datos, pero estos costes siguen siendo inferiores a los del hardware.
Cuando los empleados usan dispositivos con los cuales están familiarizados, la productividad se incrementa. Ya no necesitan configurar dispositivos para que se ajusten a sus preferencias particulares, porque el dispositivo del empleado viene configurado para un rendimiento óptimo en sus funciones. Los costes de capacitación disminuyen, porque los empleados ya no necesitan saber cómo funciona el dispositivo y pueden aprender a usar las aplicaciones a su ritmo.
Si un empleado quiere tener lo último en tecnología, se compra un nuevo dispositivo, lo que mejora la tecnología empresarial necesaria para mantener el nivel operativo deseado. En lugar de comprar equipos nuevos, la organización puede aprovechar la última tecnología del empleado, lo que puede ayudar a mejorar la productividad y a que los demás empleados adopten las últimas tendencias.
Control de amenazas informáticas con Threat Response
Proofpoint Threat Response elimina el trabajo manual y las conjeturas de la respuesta a incidentes para ayudarle a resolver las amenazas de seguridad con mayor rapidez y eficiencia
Dificultades
Incluso con todos estos beneficios, el BYOD también conlleva dificultades. Una organización debe evaluar estas dificultades antes de planificar e implementar una política de BYOD.
Algunas de las dificultades que se podrían presentar son:
- Mala comunicación: Al igual que con la política de ciberseguridad, la política de BYOD debe estar bien comunicada. Si un usuario no comprende esta política, la mala comunicación podría llevar a un mal uso del BYOD. Por ejemplo, si no se definen claramente las aplicaciones a instalar, como software antivirus, es posible que el usuario no tenga las protecciones necesarias de ciberseguridad en su dispositivo.
- Dispositivos perdidos o robados: Como los usuarios llevan sus dispositivos al trabajo y a casa, es posible que estos resulten perdidos o robados, con los datos corporativos dentro. Algunas políticas de BYOD exigen que los dispositivos tengan una aplicación de borrado remoto para eliminar datos delicados. Algunos dispositivos, como los iPhone de Apple, cuentan con almacenamiento cifrado, pero los ordenadores portátiles y las tablets pueden precisar de configuraciones adicionales de cifrado de almacenamiento para proteger los datos después de que los dispositivos resulten perdidos o robados.
- Conexiones de los dispositivos: Conectarse a puntos de wifi gratuita permite ahorrar en uso de datos, así que muchos usuarios de dispositivos móviles buscan estos puntos cuando viajan. Los atacantes se ceban en las áreas de wifi gratuita para engañar a los usuarios y hacer que se conecten a puntos malintencionados. Para protegerse de estas conexiones malintencionadas y evitar el espionaje de datos, exíjales a los usuarios que se conecten a una red virtual privada (VPN) certificada por la empresa.
- Aplicaciones malintencionadas: Los usuarios tienen libertad para instalar cualquier aplicación que quieran en sus dispositivos, pero esto hace que sus datos queden vulnerables ante aplicaciones malintencionadas y malware en general. Su política debería bloquear con teléfonos con “jailbreak”, porque estos smartphones son más vulnerables a filtraciones de datos sin protecciones integradas al sistema operativo.
- Dispositivos abiertos y sin bloquear: Aunque algunos usuarios optan por dejar sus dispositivos desbloqueados y evitan usar códigos PIN, esto implica que cualquiera que se apodere de su dispositivo tendrá acceso a sus datos. Su política de BYOD debe exigirles a los usuarios que tengan un PIN o contraseña para sus dispositivos, para añadir una capa de seguridad adicional entre sus datos y un potencial atacante.
Riesgos
Los riesgos de permitirles traer sus propios dispositivos a los usuarios están directamente relacionados con las potenciales dificultades para la organización. Por ejemplo, una de las dificultades del BYOD es proteger los datos contra el robo, pero este también es un riesgo al que la empresa se expone al permitirles a los usuarios el almacenar datos corporativos en sus dispositivos. El malware también es un riesgo, pero es posible detenerlo si se usa el software antivirus adecuado.
La conformidad es uno de los riesgos más importantes. Si un atacante se roba datos delicados de un dispositivo vulnerado o robado, su organización podría enfrentar demandas legales por no conformidad con normativas y daños a la privacidad del cliente. La defensa legal es costosa y puede afectar negativamente a la empresa, tanto por los costes directos como por el daño a la reputación de la marca.
Los usuarios típicamente están familiarizados con sus propios dispositivos, pero la gestión de dispositivos móviles se deja en manos del usuario más que en las de los administradores. Una mala gestión de los dispositivos móviles puede implicar que el dispositivo quede más vulnerable al malware y otros ataques malintencionados si el usuario no sabe cómo detener a las amenazas más comunes.
Si los administradores no monitorizan el BYOD, el entorno podría quedar vulnerable ante la Shadow IT. Se conoce como Shadow IT (o “TI Oscura”) a aquellos dispositivos, tales como ordenadores portátiles, smartphones y tablets, que no están autorizados a conectarse a la red. Estos dispositivos se pueden conectar a la red de manera malintencionada para exfiltrar datos y espiar en el tráfico.
Cómo desarrollar una política de BYOD
El desarrollar una política eficaz puede llevar meses, pero una mejor estrategia se puede comunicar con mayor facilidad para así proteger sus datos. Es posible que necesite ayuda para determinar todo lo que debe estar incluido en una política, y los profesionales pueden ayudarle a establecer un plan de acción.
Algunos consejos para desarrollar una política de BYOD:
- Establecer políticas de seguridad: Proteger sus datos es uno de los componentes más críticos de una buena política de BYOD. Esquematice todos los aspectos de las protecciones de ciberseguridad instaladas en el dispositivo, de modo que este no quede vulnerable ante atacantes tanto físicos como virtuales.
- Crear una guía de uso: Una política de uso aceptable (o AUP, del inglés “Acceptable Usage Policy”) define las páginas web, software y conexiones de redes aprobadas por la organización.
- Instalar software de gestión remota: Los administradores deben ser capaces de instalar revisiones (o “parches”) de software y eliminar datos de manera remota tras un robo. El software de gestión remota les brinda a los administradores acceso al dispositivo, lo que les permite enviar actualizaciones.
- Implementar la autenticación de múltiples factores (MFA): Si un atacante obtiene acceso al dispositivo, este no tendrá los dos factores de autenticación necesarios para acceder a sus aplicaciones y datos corporativos.
- Capacitar regularmente a los empleados: Los usuarios deben estar conscientes de los ataques comunes y de las maneras en que se pueden robar datos de dispositivos móviles. La capacitación ayuda a reducir el riesgo de una violación de datos.
Prácticas recomendadas de BYOD
Toda política corporativa de BYOD está adaptada a los requisitos específicos de la empresa y a las normativas de conformidad, pero su organización puede observar las prácticas recomendadas para mantener a las políticas consistentes con lo mejor de la ciberseguridad. Estas buenas prácticas garantizan que su política se implemente con fluidez y que los usuarios comprendan con facilidad cuáles son los requisitos aceptables de uso.
Algunas prácticas recomendadas son:
- Redactar una política detallada: Todos los aspectos de sus políticas de AUP y de BYOD deben definirse y documentarse para los usuarios y la gerencia.
- Implementar la gestión de identidad: Instale controles de acceso y de gestión de identidad para garantizar que solo los usuarios autorizados puedan obtener acceso a los datos.
- Mantener la privacidad de los empleados: Tenga presente que el usuario es el propietario del dispositivo, así que las políticas solo deben afectar a los datos corporativos y no a la información privada del propietario del dispositivo.
- Capacitar a los empleados: Asegúrese de que sus empleados estén conscientes de cuáles son las prácticas recomendadas y de cómo usar sus dispositivos de manera segura.
- Eliminación remota de datos: En caso de que al usuario se le pierda el dispositivo, debe estar capacitado para informar inmediatamente de la pérdida para que los datos se puedan borrar a la brevedad.
- Tener una estrategia de salida: Si el empleado abandona la empresa, el dispositivo no debería estar autorizado para acceder a las aplicaciones corporativas y debe estar imposibilitado de conectarse a la red corporativa.