Utilizar un dispositivo personal para uso profesional conlleva una serie de ventajas, pero también riesgos a tener muy en cuenta. Si deseamos que el denominado BYOD no acabe causando graves perjuicios en nuestro entorno laboral, es preciso conocer sus principales vulnerabilidades y poner en práctica varios consejos. Los repasamos.
La popularización de la conectividad, el “hardware” y el “software” ha dado lugar a una práctica muy habitual en el entorno laboral: la denominada Bring Your Own Device (BYOD) –traducido al español, Trae tu propio dispositivo–. Si llegados a este punto hay alguien que todavía no sabe de qué estamos hablando, el BYOD consiste en permitir que un empleado o colaborador haga uso de su propio dispositivo –desde un ordenador portátil hasta una memoria USB– en un ámbito profesional –como, por ejemplo, el de la mediación–.
Para hacernos una idea de lo habitual que es dicha práctica, un estudio de ESET, compañía eslovaca especializada en seguridad informática, pone de manifiesto que más del 80% de los trabajadores consultados utiliza sus ordenadores portátiles o memorias USB de uso personal en el entorno laboral. Y en porcentajes menores, aunque igualmente importantes, los encuestados también afirman servirse de sus “smartphones” (55%) y “tablets” (25%) para desempeñar su trabajo.
BYOD: Oportunidades y riesgos
Según recuerdan desde el CCN-CERT –el servicio de respuesta a incidentes de seguridad de la información del Centro Criptológico Nacional (CCN)– en el interesante informe “Riesgos y amenazas del Bring Your Own Device (BYOD)”, este último aporta una serie de ventajas y oportunidades a las organizaciones. Entre ellas:
- Un ahorro de costes, ya que las empresas se benefician de los dispositivos aportados por los empleados, lo cual les evita afrontar nuevos gastos relacionados con la adquisición de dispositivos, “software”, licencias o seguros de robo.
- Mejora de la productividad, puesto que los empleados utilizan dispositivos que han adquirido en función de sus gustos y con los que están familiarizados.
- Mejores condiciones laborales, al fomentar el BYOD la flexibilidad laboral y el teletrabajo, que, a su vez, permiten al empleado conciliar la vida laboral y familiar y reducir sus costes de desplazamiento al lugar de trabajo.
- Actualización constante. Habitualmente, los usuarios suelen actualizar su “hardware” y “software” con mayor asiduidad que las empresas.
Sin embargo, dichas ventajas y oportunidades pueden transformarse en una serie de riesgos e inconvenientes que conviene tener muy en cuenta antes de implantar una política BYOD en el ámbito empresarial:
- Gastos extras. Si bien es cierto que, en un principio, la aportación de dispositivos por parte de los empleados puede suponer un ahorro de costes, no lo es menos que las políticas BYOD conllevan una serie de gastos adicionales en concepto de gestión, mantenimiento, soporte e integración en los entornos de las tecnologías de la información y la comunicación (TIC). Y también que disminuyen la capacidad de reducir costes en la compra masiva de “hardware” o “software”.
- Distracciones de los empleados, quienes, además de para trabajar, pueden utilizar sus dispositivos personales en el horario laboral para acceder a páginas web no relacionadas con su actividad profesional, redes sociales o la cuenta privada de correo electrónico.
- Aumento de las posibilidades de extravío y/o hurto de dispositivos que contengan información sensible como datos personales de clientes o secretos comerciales.
- Mayor probabilidad del uso de redes inseguras (redes públicas), incrementándose así la posibilidad de sufrir un incidente de carácter cibernético.
- Complejidad añadida para el departamento o los profesionales de Sistemas, ya que las organizaciones se ven en la obligación de acomodar las dos facetas de los dispositivos (personal y profesional) en su entorno TIC de la manera más segura posible, así como definir y conjugar los requisitos y necesidades de ambos mundos.
Amenazas y vulnerabilidades
Del catálogo de riesgos expuestos, las amenazas y vulnerabilidades que más deben preocupar a los profesionales de la mediación son las relativas a la protección de los datos de carácter personal –sobre todo, ante la entrada en vigor de la nueva ley fruto de la transposición del Reglamento General de Protección de Datos comunitario, que obligará a las empresas a ser más proactivas en dicha materia– y a los ciberincidentes.
No se trata de una cuestión baladí, ya que los riesgos que conlleva el BYOD son de enorme calado. En este sentido, el informe “Guía sobre el Reglamento General de Protección de Datos”, elaborado por la firma de abogados y juristas Abanlex para ESET, advierte que, entre otros supuestos, el empleado puede:
- Extraviar el dispositivo personal que utiliza para trabajar.
- Permitir que dicho dispositivo sea utilizado por familiares o amigos.
- Olvidar cambiar la contraseña de acceso.
- Conectarse a redes que no ofrezcan seguridad, facilitando así la extracción de datos.
- Infectar el equipo a través de memorias USB.
Además, como apuntan desde el CCN-CERT, las vulnerabilidades de los dispositivos móviles pueden afectar seriamente a una organización. Así, una violación completa de los aspectos de seguridad de una correduría de seguros podría:
- Hacer que el sistema completo de la empresa quedase fuera de servicio (ataque a la disponibilidad).
- Realizar alteraciones en los ficheros del sistema (ataque a la integridad).
- Acceder a los ficheros del sistema (ataque a la confidencialidad).
- Suplantar la identidad del usuario del dispositivo (vulnerabilidad de autenticación).
Consejos para minimizar los riesgos
Para hacer frente a los riesgos del BYOD, desde el Instituto Nacional de Ciberseguridad (Incibe) aconsejan establecer políticas internas que establezcan configuraciones de seguridad específicas y la adaptación de los dispositivos de los empleados a las medidas de seguridad corporativas. Además de estar personalizados y securizados, los dispositivos han de cumplir una serie de requisitos que hagan su uso compatible con las políticas de seguridad de la organización.
En cuanto a las medidas destinadas a proteger los datos corporativos y personales en los entornos BYOD, Incibe propone cinco consejos básicos:
- En primer lugar, incentivar, concienciar y formar a los usuarios para que tomen medidas destinadas a proteger los datos corporativos y personales. Entre ellas:
- Configurar correctamente los parámetros de seguridad del dispositivo.
- Actualizar tanto el sistema operativo como las aplicaciones con frecuencia.
- Ser cautelosos a la hora de permitir permisos para aplicaciones de terceros, ya que pueden incluir “malware”.
- Bloquear siempre el dispositivo con contraseña en el supuesto de dejarlo desatendido.
- Al hilo del punto anterior, no dejar desatendidos los dispositivos al viajar en transporte público.
- Activar el salvapantallas o el bloqueo de pantalla automático en los ordenadores si no van a utilizarse durante un tiempo. El desbloqueo debe llevarse a cabo mediante contraseña o patrón de desbloqueo.
- Mantener una base de datos de los dispositivos que acceden a los recursos de la empresa, los usuarios que los utilizan y los privilegios de seguridad que permitan a la organización autenticarlos y autorizarlos.
- Tomar precauciones con el almacenamiento de los datos corporativos. Desde Incibe recomiendan que, llegado el momento de trabajar con los datos de la empresa, es más seguro almacenarlos en la nube y consultarlos que realizar un intercambio de archivos real.
- Implementar medidas adicionales de seguridad en los dispositivos como el cifrado de la información o la autenticación de usuarios a través de contraseñas, gestores de contraseñas o sistemas mixtos que combinen las contraseñas y las soluciones biométricas –como, por ejemplo, las huellas digitales–.
- Actualizar las políticas de seguridad de la empresa, haciendo especial énfasis en la protección de los datos. Para ello, y volviendo al primer consejo, es vital que los usuarios de los dispositivos se conciencien de la importancia y necesidad de aplicar dichas políticas.
La seguridad, en manos de profesionales
Por lo expuesto, queda claro que el BYOD puede aportar grandes ventajas en entornos laborales como el de la mediación, pero siempre y cuando los dispositivos se encuentren correctamente protegidos. Para que ello sea así, es preciso que la seguridad de los mismos se confíe a los profesionales de la organización encargados de velar por la protección de la misma o a las empresas externas especializadas en dicho cometido.
Al respecto, como hemos comentado al inicio del presente post, conviene recordar que en las políticas BYOD han de considerarse, de manera especial, los riesgos asociados a la protección de datos de carácter personal y las vulnerabilidades cibernéticas. Para ambas cuestiones, lo más recomendable es contar con el asesoramiento de expertos en dichas materias y acudir a la AEPD o el Incibe en caso de necesitar despejar alguna duda.
También puedes leer:
Ciberamenazas: consejos para prevenirlas
Ciberseguros: ¿qué son y qué cubren?