¿Dejas que tus empleados usen sus móviles para trabajar?
Actualmente, el uso de dispositivos de propiedad privada en el ámbito corporativo, como por ejemplo, ordenadores portátiles, tablets, smartphones, etc., se ha convertido en una práctica muy habitual y extendida entre trabajadores. Esta situación implica un mayor grado de atención, tanto por parte de la organización como del empleado, ya que un uso indebido podría comprometer la seguridad e integridad de la información de la empresa y también de la personal.
Hacer uso de dispositivos personales en el ámbito corporativo se conoce como BYOD por sus siglas en inglés (Bring Your Own Device). ¿Te has parado a pensar qué supone que los trabajadores hagan uso de sus dispositivos personales en el ámbito laboral? Hay que tener en cuenta que al ser personales, no tienen la configuración de seguridad que la empresa ha decidido implementar, provocando que exista una falta total de control sobre ese dispositivo. Por lo tanto, ¿tenemos claros los riesgos asociados a esta práctica? Aquí te mostramos algunos:
- Un dispositivo personal con documentos de la empresa cuando se conecta a una red externa no segura podría dar acceso a terceras personas a la información corporativa almacenada en el mismo.
- Instalar aplicaciones con permisos de acceso a diferentes partes del dispositivo (contactos, fotos, archivos,..) donde podría haber información sensible de la organización.
- Dispositivos sin medidas de seguridad, por ejemplo si no tienen contraseña, patrón o huella para acceder o si no han cifrado su contenido, podrían permitir a cualquiera que se hiciera con él, acceder a todo su contenido.
- En el caso que un dispositivo personal carezca de antivirus o política de actualizaciones del mismo, podría infectarse y convertirse en víctima de ataques y accesos no autorizados.
- Hacer uso indiscriminado de las opciones de «recordar contraseñas» puede provocar que cualquiera que se haga con el dispositivo, tenga acceso a todas las credenciales almacenadas.
Si vamos a permitir este tipo de integración en nuestra empresa, es evidente la necesidad de definir una política que indique los requisitos que se tienen que cumplir a la hora de utilizar los dispositivos personales en el ámbito laboral. Para ello, hay que tener en cuenta, además de la concienciación, aspectos organizativos y normativos, y aspectos técnicos. Con el listado que te ofrecemos a continuación, no te olvidarás de nada al elaborar la política BYOD de tu empresa:
Cuestiones organizativas y normativas:
Define normas y procedimientos en cuanto al uso de BYOD, especificando las condiciones en las que se permite su uso, cómo se accede a la información, configuración mínima de seguridad necesaria, etc.
Limita las instalaciones de aplicaciones, estableciendo una lista de las que no se podrá hacer uso, así como la prohibición de uso de dispositivos manipulados (jailbreak o ruteado), que permiten la instalación de aplicaciones que no provienen de repositorios oficiales.
Limita el acceso a redes desconocidas, indicando que preferentemente se conecten a través de las redes 3G o 4G. En ningún caso se permitirán conexiones a través de redes wifi abiertas.
Establece el proceso que hay que seguir para entregar o eliminar la información de estos dispositivos cuando el empleado abandona la organización.
Aspectos técnicos sobre los sistemas de tu empresa:
- Establece las medidas de control necesarias para poder acceder a la red corporativa (autenticación, doble factor, etc.). En este caso se podría proveer a los empleados de acceso mediante VPN (red privada virtual, en inglés Virtual Private Network), que garantiza un cifrado de las comunicaciones.
- Controla de almacenamiento de datos en la nube, permitiendo consultas de datos pero no la actualización desde dispositivos personales ya que las medidas de protección en sistemas cloud pública no son siempre tan seguras como las medidas que se pueden tomar en el ámbito empresarial.
- Controla usuarios y dispositivos a los que permites el acceso, mediante un registro de usuarios y dispositivos que tendrán acceso a los datos y aplicaciones corporativas.
- Dota a la empresa, mediante acuerdos con los empleados, de cierta capacidad de administración sobre estos terminales.
Aspectos técnicos sobre los dispositivos de tus empleados:
- Implanta medidas técnicas que garanticen el almacenamiento seguro de la información en dispositivos móviles, como por ejemplo mecanismos de cifrado de documentos o autenticación.
- Establece una política de contraseñas robustas, haciendo que se compongan al menos de ocho caracteres, combinando mayúsculas, minúsculas, números y caracteres especiales.
- Asegúrate de que los dispositivos cuenten con antivirus correctamente actualizado, y con una política de actualizaciones tanto del sistema operativo como de las aplicaciones contenidas.
- Impide que los usuarios guarden automáticamente las credenciales de las herramientas corporativas en este tipo de dispositivos
- También puedes hacer uso de soluciones de gestión de movilidad para empresas, como MDM (Mobile Device Management), utilizado para prevenir el acceso no autorizado a las aplicaciones de la compañía y a la información corporativa en estos dispositivos; MAM (Mobile Applications Management), utilizado para la provisión y control del acceso a aplicaciones móviles; MCM (Mobile Content Management), sistema que garantiza la seguridad de los datos corporativos almacenados en los dispositivos móviles; o EMM (Enterprise Mobility Management), sistema de gestión de dispositivos móviles, redes inalámbricas.
Concienciación y formación a empleados:
- Haz todo lo necesario (cursos, charlas,…) para que los empleados sean conscientes de la importancia para la empresa de la correcta protección y el uso adecuado de estos dispositivos.
- Establece una política de formación sobre su uso seguro, incidiendo sobre temas de importancia transversal como la configuración de parámetros básicos de seguridad, actualizaciones tanto de sistema operativo como de aplicaciones, etc.
Hacer uso de dispositivos personales en el ámbito laboral es una situación que deberá contemplarse por parte de la organización. Para esta gestión, se deberá contar con una política de seguridad a la cual tendrá que acogerse el trabajador. Este tipo de medidas serán de vital importancia para garantizar la integridad de la información que se maneje que este tipo de dispositivos. Pero el empleado también tendrá que ser consciente de los riesgos existentes y deberá estar concienciado en llevar a la práctica las medidas propuestas por la empresa.