BYOD (Bring your own device) traducido de forma literal: Trae tu propio dispositivo, es un nuevo paradigma de trabajo en el que se permite el uso de dispositivos personales en el ámbito empresarial.
En los últimos años y especialmente con la llegada del COVID en 2020 y el teletrabajo, se ha extendido entre las empresas y los empleados la posibilidad de uso de equipos personales (portátiles, móviles, tabletas…) para el desarrollo de tareas profesionales y el acceso a sistemas y entornos corporativos: correo electrónico, bases de datos, servidores…
Los empleados se sienten cómodos trabajando con sus propios dispositivos, están familiarizados con ellos y se evitan tener que gestionar dispositivos duplicados, uno para el entorno personal y otro para el profesional. Asimismo, a nivel empresarial minimiza los costes de adquisición y provisión de equipamiento informático entre otros. Sin embargo, las empresas deben velar por la seguridad de estos dispositivos aplicando las mismas políticas de seguridad y monitorizándolos de forma exhaustiva para que su uso no comprometa la seguridad de la información de la empresa.
|
Ventajas |
Inconvenientes |
|---|---|
|
|
Amenazas y riesgos del BYOD
Existen numerosas amenazas y vulnerabilidades ligadas a las políticas de BYOD que pueden poner en riesgo no solo la seguridad del propio dispositivo sino también la de los sistemas a los que tiene acceso y la información que gestiona.
En empresas donde la política del BYOD es aún reciente es posible que se permita el acceso a información a través de dispositivos cuya configuración de seguridad no esté completamente alineada con la administración de seguridad de la compañía. Adicionalmente, la política de seguridad definida para la gestión de estos dispositivos puede ser ignorada por los empleados por desconocimiento o por una escasa concienciación sobre los riesgos que estos pueden suponer en materia de fuga de información, extravío, robo, etc.…
La seguridad y la privacidad son riesgos que afectan a las organizaciones y a los empleados de diferentes maneras. Mientras las empresas tienden a estar más preocupadas por la seguridad de los datos empresariales (cómo minimizar el riesgo derivado del uso de datos corporativos en dispositivos de los empleados), los empleados están más preocupados por la privacidad y confidencialidad de sus datos personales (y qué derechos tienen sus empleadores para acceder a ellos).
Riesgos de Seguridad
- Falta actualizaciones de seguridad. Vulnerabilidad ante fallos de seguridad conocidos debido a ausencia de actualizaciones de seguridad al no estar sujetos a las mismas políticas que los dispositivos corporativos. Obligatorio S.O. y APPs actualizadas a la última versión disponible. Ausencia control de acceso al dispositivo. Uso de mecanismos laxos, como patrón de desbloqueo en móviles, ausencia de mecanismos de control de acceso, o uso de mecanismos menos robustos que en dispositivos corporativos.
- Instalación de aplicaciones. Aplicaciones no confiables instaladas en los dispositivos con una solicitud de permisos excesiva que pueden comprometer la seguridad de la información de estos. Una aplicación maliciosa puede ser capaz rastrear, modificar o robar información de otras aplicaciones poniendo en riesgo las aplicaciones confiables del dispositivo.
- Alteración de la seguridad del sistema operativo. Eliminación de restricciones de configuración impuestas por los fabricantes mediante técnicas como “jailbreak en IOS” o “rooting en Android”, aumentando la vulnerabilidad de los dispositivos ante aplicaciones inseguras.
- Robo, extravío o daño del dispositivo. Pérdida física o robo de estos dispositivos que por su tamaño y portabilidad están más expuestos. Este punto unido a la posible ausencia de cifrado en los dispositivos sustraídos puede derivar en un acceso a la información confidencial por parte de personas no autorizadas.
- Uso no seguro. Cesión consciente del dispositivo a familiares o amigos poniendo en riesgo información empresarial. Al no existir separación entre dispositivo personal y empresarial información corporativa puede eliminarse de forma accidental.
- Conexiones inalámbricas inseguras. Exposición pública del dispositivo y la información contenida a conexiones wifi-públicas no seguras, o con un cifrado débil. El uso de NFC y Bluetooth también presentan riesgos de seguridad.
- Exposición local. Pérdida de control y de visibilidad de la información corporativa que pueda ser almacenada y procesada en los dispositivos personales. Este es uno de los riesgos inherentes a la política de BYOD. Ejemplo, empleados que terminan relación laboral y han descargado información empresarial en dispositivos personales pudiendo derivar en un uso inadecuada de la misma.
Riesgos de Privacidad
- Incumplimiento normativas legales, como la RGPD sobre protección de datos. Política BYOD implica mantener la confidencialidad, integridad y disponibilidad de la información accesible al empleado para el desarrollo de sus tareas y por ello, es necesario establecer qué penalización acarrearía el incumplimiento de estos principios.
- Pérdida de información personal. En caso de identificar una brecha de seguridad en un dispositivo, la política BYOD no siempre puede hacer distinción entre datos personales y empresariales, siendo necesario tomar medidas como bloqueo remoto del dispositivo y en ocasiones realizar un borrado remoto que implicaría la eliminación de toda la información de un dispositivo (personal y profesional).
- Geolocalización. Por seguridad, la empresa puede demandar activar la geolocalización en dispositivos BYOD que use el trabajador. Esto puede dar sensación de “Gran Hermano” ya que el departamento IT puede ser capaz de monitorizar la ubicación física en todo momento y la actividad online del empleado.
Como protegerse. Acciones y buenas prácticas.
Desarrollo Política BYOD. Crear una normativa clara que regule el uso de BYOD y que clarifique las responsabilidades tanto empresariales como de los usuarios. Deberá recoger al menos listado de dispositivos autorizados, servicios y aplicaciones expuestos, condiciones de uso y acceso a la información…
Establecer medidas técnicas soporte a la política BYOD. Será necesario implementar controles técnicos que den soporte a la política BYOD definida. Configuraciones de seguridad necesarias para uso de los dispositivos: control de accesos mediante contraseñas robustas, dispositivos con requisitos mínimos a nivel HW y SW, establecimiento de servicios de autenticación, firewalls…
Una médida específica y muy ligada al BYOD es el uso de tecnología MDM (Mobile Device Management). El objetivo de este software es por un lado optimizar la seguridad y la funcionalidad de los dispositivos móviles mientras establecen una protección de la red empresarial ante accesos no deseados de terceros o previniendo fugas de información.
Algunas de las medidas técnicas soportadas por MDM serían sincronización de ficheros de los dispositivos con el servidor, instalación controlada y centralizada de aplicaciones, localización de equipos en caso de pérdida o sustracción, facilitando la monitorización del trabajo remoto y gestionando los riesgos asociados a estos dispositivos móviles.
Concienciación y formación. Publicar la normativa de BYOD y hacerla accesible a los empleados. Establecer sesiones formativas y concienciar a los empleados del riesgo de fugas de información, extravío…
Implantar medidas de seguridad / buenas prácticas BYOD.
- Configuración de dispositivos
- Sistemas robustos de autenticación
- Dispositivos actualizados. Configurar las actualizaciones automáticas
- Uso de antivirus. Configuración automática de actualizaciones
- Cifrado de datos en comunicaciones y dispositivos
- Localización remota
- Localización del dispositivo
- Bloqueo remoto del dispositivo
- Borrado remoto del dispositivo
- Medidas de contingencia
- Configuración de copias de seguridad
- Otras medidas de seguridad
- Prohibir el uso de dispositivos que hayan modificado su configuración de seguridad “jailbreak” o “rooting”
- Desactivar el autocompletado de formularios o recordatorio de contraseñas
- Uso preferente de redes 3G o 4G fuera de la red corporativa. En caso de uso de WIFI público siempre habilitando VPN si está disponible. Deshabilitar la conexión automática a redes
- Configurar el bloqueo automático de los dispositivos
- Deshabilitar la sincronización automática con la nube
- Uso de aplicaciones legítimas, posesión de licencia válida
- Descarga de aplicaciones siempre de fuentes confiables: página del fabricante o tienda oficial
- Mantener contraseñas independientes para el uso personal y profesional
Conclusiones
Adoptar una política de BYOD implica buscar un equilibrio entre la flexibilidad y adaptabilidad que esta solución aporta a todos los niveles en la empresa y el mantenimiento de la seguridad que implica gestionar los diferentes dispositivos, el acceso a la información, garantizar la seguridad de los datos, administrar las redes…
Los beneficios que aportan el BYOD tanto a los empleados como la empresa no deben eclipsar el riesgo que esta política puede ocasionar en la privacidad de la información y en la administración de la seguridad que puede ver incrementada la exposición a ataques de ingeniería social, ya que con la implantación de BYOD se amplían las opciones de acceso a los ciberdelincuentes.
Como se ha indicado en el apartado “Como protegerse. Acciones y buenas prácticas” es vital no solo desarrollar una Política BYOD que teniendo en cuenta los riesgos tanto de seguridad como de privacidad persiga el objetivo de minimizar las amenazas y establezca mecanismos para garantizar la seguridad de los usuarios, aplicaciones e información corporativa, sino también establecer un proceso continuo de concienciación y formación a los empleados para reducir las probabilidades de realizar un mal uso de la tecnología.
