Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¿Trabajas desde tu dispositivo móvil? ¡Implementa las mismas medidas de seguridad que en tu oficina!

Fecha de publicación 19/03/2019
Autor
INCIBE (INCIBE)
Personas caminando

Smartphones, tablets o laptops, son dispositivos que han cambiado significativamente la forma de trabajar. Con ellos, los empleados son capaces de realizar sus tareas con independencia de su ubicación. Si además cuentan con acceso a Internet, podrán realizarlas como si estuvieran físicamente en la oficina. A esta movilidad, hay que añadir que a veces se utilizan dispositivos personales, es lo que se conoce como BYOD (del inglés Bring Your Own Device), combinando en un mismo dispositivo la vida personal y profesional del trabajador.

Acceder a información corporativa desde Internet, utilizar dispositivos personales para el ámbito laboral o el mero hecho de que estos dispositivos puedan ser sustraídos o extraviados, convierte su uso en un riesgo para la información de la empresa. Con el objetivo de minimizar estos riesgos asociados al uso de dispositivos móviles, te planteamos algunas preguntas. Con ellas podrás elaborar las políticas de dispositivos móviles corporativos y no corporativos adaptadas a tu negocio.

¿Usáis en la empresa dispositivos móviles?

Es importante conocer cuántos dispositivos usamos, con qué configuración, a qué servicios y datos acceden, quién los usa y cómo se protegen. Con estas respuestas elaboraremos unas normas y prácticas que todos los trabajadores han de conocer y aplicar.

¿Cuántos equipos se utilizan? ¿Con qué software?

Es importante elaborar un listado con todos los equipos existentes en la organización. Además, en caso de que se estén usando, será necesario indicar a quién ha sido asignado. También se llevará un registro con el software y hardware con el que cuenta el dispositivo.

Los usuarios, a no ser que cuenten con los permisos oportunos, no deberán realizar ningún tipo de mantenimiento o modificaciones en el dispositivo, ya que podría afectar a la configuración del mismo. Esta tarea deberán realizarla los empleados del Departamento de Sistemas o nuestro soporte técnico.

¿Cómo los proteges del malware y del fraude?

Las infecciones causadas por cualquier tipo de malware, siempre están presentes. Por lo tanto, será importante disponer de herramientas que detecten y eliminen este tipo de amenazas. La protección antimalware deberá estar siempre actualizada a la última versión, algo que propiciará la identificación del malware más actual.

Es conveniente que el dispositivo cuente con herramientas que permitan identificar posibles sitios web fraudulentos o peligrosos, como aquellos utilizados para cometer phishing.

¿Qué medidas de seguridad has previsto?

Debido a su naturaleza, los dispositivos móviles son susceptibles a ser robados o extraviados, y con ellos toda la información que contienen o a la que tienen acceso. Para evitarlo hay que establecer una serie de medidas de seguridad, como las siguientes:

  • Contraseña de firmware. Sobre todo en ordenadores portátiles, ya que es posible establecer este tipo de contraseñas y evitar que otros usuarios arranquen el equipo desde otro disco.
  • Cuentas de usuario. En los sistemas operativos como Windows, MacOS o los basados en Linux, se permite la creación de distintos usuarios, otorgándoles una serie de privilegios acordes con su perfil. Es recomendable que cada usuario cuente con los privilegios mínimos y necesarios que le permitan desempeñar su trabajo. Además, deberán contar con una contraseña de acceso robusta.
  • Bloqueo de dispositivos. En los dispositivos basados en Android o iOS hay que establecer el bloqueo de pantalla en el menor tiempo posible y una contraseña de desbloqueo que también deberá ser lo más robusta posible.

¿Cómo proteges la información de tu empresa?

La información que se gestiona en estos equipos comúnmente es de gran importancia para la empresa, por lo que protegerla contra accesos no autorizados será prioritario. Para ello, se recomienda seguir las siguientes recomendaciones:

  • Cifrado de la información. Todos los sistemas operativos deberán contar con herramientas de cifrado que protejan la información en ellos alojada.
  • Tratamiento de la información confidencial. La información corporativa que no sea estrictamente necesaria para el desarrollo de las tareas del usuario no deberá almacenarse en el dispositivo. Si el dispositivo también es de uso personal, se deberá borrar toda la información confidencial de la empresa que contenga cuando el contrato entre ambas partes se haya extinguido.

¿Tienes pensado cómo actuar en caso de pérdida o robo?

Hay que tenerlo todo previsto e intentar anticiparse a una situación de pérdida o robo de un dispositivo corporativo. También en el peor caso cuando el dispositivo se extravíe o sea sustraído, se deberá informar obligatoriamente de estas medidas a todos los trabajadores de la empresa para que las apliquen de forma inmediata.

¿A quién has de notificarlo?

Cuando seamos conscientes de la pérdida, robo, o sospechemos de una infección por malware o fuga de información, hay que ponerlo en conocimiento de la empresa para que se tomen todas las medidas necesarias que eviten el uso indebido del dispositivo y de la información que contiene o a la que tiene acceso.

¿Has habilitado el bloqueo remoto?

En caso de pérdida o robo del dispositivo hay que bloquear el dispositivo de manera remota. La mayoría de sistemas operativos tanto para ordenador, como para móvil cuentan con herramientas que lo permiten, generalmente a través de un panel de administración web.

¿Permites la geolocalización?

Como medida de seguridad complementaria a las anteriores se debe habilitar en todos los casos que sea posible la geolocalización del dispositivo, para que en caso de pérdida o robo, éste pueda ser recuperado. Actualmente, los dispositivos con sistema operativo Windows, Mac OS, Android e iOS cuentan con herramientas que lo  permiten.

En caso de activar la geolocalización de los dispositivos se ha de informar previamente al empleado de forma clara, expresa e inequívoca tal y como indica la LOPDGDD 3/2018.

¿Habilitas el borrado remoto?

Cuando no sea posible recuperar el dispositivo se debe optar por realizar un borrado remoto del mismo, de tal manera que toda la información que contenga no pueda estar accesible. Al igual que con la geolocalización, los sistemas operativos Windows, Mac OS, Android e iOS cuentan con medidas de seguridad que permiten su borrado de manera remota.

Los dispositivos móviles aportan muchas ventajas, pero también pueden suponer un riesgo que se debe tener en cuenta para protegerlos, junto con la información que contengan. Estas acciones deberán estar presentes en las políticas de seguridad de cualquier organización.