¿BYOD en mi empresa? Sí, pero de forma segura

  • Endpoint

BYOD o la tendencia de usar de dispositivos de propiedad privada en el ámbito corporativo se ha convertido en una práctica muy habitual y extendida entre trabajadores. ¿Es segura? No tiene por qué no serlo, pero siempre y cuando se conozcan los riesgos y se establezcan medidas.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

En uno de sus últimos post, INCIBE centra su atención en esta tendencia que, si es la opción elegida, requiere tiempo por parte de la empresa y del empleado, para no comprometer la seguridad e integridad de la información de ambas partes. 

Hay que tener en cuenta que los dispositivos de los trabajadores, al ser personales, no tienen la configuración de seguridad que la empresa ha decidido implementar, provocando que exista una falta total de control sobre ese dispositivo.  

¿Cuáles son los riesgos en los que se incurre? El principal exponer la información coorporativa a terceros indeseados porque al fin y al cabo un dispositivo personal con documentos de la empresa se está conectando a una red externa no segura. Estos dispositivos pueden carecer de antivirus o de política de actualizaciones del mismo. Podrían  infectarse y convertirse en víctima de ataques y accesos no autorizados. Muchos de ellos probablemente no cuenten con medidas de seguridad como contraseña, patrón o huella para acceder o no habrán cifrado su contenido, y todo esto podría permitir a cualquiera que se hiciera con toda la preciada información.

Así que, si vamos a permitir este tipo de integración en nuestra empresa,  es evidente la necesidad de definir una política que indique los requisitos que se tienen que cumplir a la hora de utilizar los dispositivos personales en el ámbito laboral.

La compañía tiene que definir claramente las condiciones en las que se permite el uso de BYOD: ¿cómo se accede a la información, configuración mínima de seguridad necesaria…? Habría que limitar las instalaciones de aplicaciones, estableciendo una lista de las que no se podrá hacer uso, así como la prohibición de uso de dispositivos manipulados. Habría que limitar también el acceso a redes desconocidas y no permitir nunca conexiones a través de redes wifi abiertas.

Sería función de la empresa también establecer las medidas de control necesarias para poder acceder a la red corporativa (autenticación, doble factor, etc.). En este caso se podría proveer a los empleados de acceso mediante VPN (red privada virtual), que garantiza un cifrado de las comunicaciones. La corporación tendría que hacer un registro de usuarios y dispositivos a los que se permite el acceso a los datos y aplicaciones corporativas. 

Habría que implantar medidas técnicas que garanticen el almacenamiento seguro de la información en dispositivos móviles, como por ejemplo mecanismos de cifrado de documentos o autenticación. Habría que establecer una política de contraseñas robustas, haciendo que se compongan al menos de ocho caracteres, combinando mayúsculas, minúsculas, números y caracteres especiales.

Lo más conveniente es que la empresa hiciera uso de soluciones de gestión de movilidad para empresas y también, muy importante, es la concienciación de los empleados, recuerda la entidad en su blog. En definitiva, BYOD sí, pero sin riesgos.