Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Bondades y riesgos del BYOD

Fecha de publicación 06/11/2018
Autor
INCIBE (INCIBE)
Imagen de acompañamiento

La proliferación de dispositivos móviles y la mejora considerable en las especificaciones de software y hardware o el aumento del ancho de banda en las conexiones inalámbricas, han conseguido que consideremos a los smartphones, tablets y ordenadores portátiles como herramientas indispensables para desarrollar nuestro trabajo. En algunas organizaciones se sigue la política «trae tu propio dispositivo» o por sus siglas en inglés BYOD «Bring Your Own Device». Así, nos encontramos ante el aumento del número de dispositivos móviles de uso personal en el ámbito laboral.

El BYOD es una política que fomenta esta práctica, aportando ventajas como la reducción de costes por parte de la empresa, el aumento del teletrabajo o de la productividad y eficiencia por parte del empleado. Pero, como sucede en la mayoría de las ocasiones, estos beneficios están ligados a posibles riesgos que se deben tener en cuenta antes de decidirse a implantar esta política.

Riesgos del BYOD

Los principales riesgos asociados al uso del BYOD son:

  • Robo, extravío o daño del dispositivo. El ser dispositivos móviles, con un tamaño cada vez más reducido y de un valor económico relativamente alto, los convierte en elementos muy susceptibles de sufrir alguna de estas posibilidades.
  • Falta de actualizaciones de seguridad. Cuando un dispositivo no cuenta con la última versión de sistema operativo y aplicaciones, es vulnerable ante fallos de seguridad que sean conocidos.
  • Ausencia de controles de seguridad en el sistema operativo. Algunos usuarios eliminan los controles que trae el dispositivo por defecto ya que desean añadir ciertas funcionalidades que en un estado de fábrica no son posibles. Rootear dispositivos Android o hacer un jailbreak en dispositivos Apple puede poner en riesgo la seguridad del dispositivo.
  • Conexiones inalámbricas inseguras. Utilizar redes wifi inseguras puede poner en riesgo tanto al dispositivo como a la información que gestiona. Un atacante podría acceder a toda la información que envía o recibe en caso de no encontrarse cifrada o contar con un cifrado débil. Otras tecnologías inalámbricas, como Bluetooth o NFC, también pueden suponer un riesgo, ya que cualquier atacante que se encuentre dentro de su rango de acción podría aprovecharse de vulnerabilidades o de una mala configuración.
  • Falta de cifrado. La ausencia de cifrado en uno de estos dispositivos supone un riesgo. Un atacante que consiguiera acceder podría conseguir toda la información que en él se aloje. Actualmente los sistemas operativos Android e iOS cuentan con cifrado por defecto pero otros sistemas operativos, como Windows o OS X, no lo tienen. El cifrado debe extenderse también a los dispositivos de almacenamiento extraíbles.
  • Ausencia de controles de seguridad para acceder al dispositivo. No tener implantados mecanismos de control de acceso robustos o utilizar mecanismos laxos, como el patrón de desbloqueo, supone un riesgo.
  • Instalación de aplicaciones no confiables. Instalar aplicaciones de repositorios o fuente no confiables supone un riesgo ya que éstas pueden solicitar acceso a demasiada información del dispositivo o llevar consigo funcionalidades “extra”.
  • Ceder el dispositivo conscientemente. Al tratarse de dispositivos que se usan conjuntamente, tanto en la vida laboral como en la personal, podría darse el caso que se ceda el dispositivo conscientemente a otra persona que a su vez accediera a información confidencial de la empresa.
  • Empleados que han terminado su relación laboral. Al ser dispositivos personales, puede que hayan descargado en ellos información confidencial y que al terminar su relación laboral hagan un uso inadecuado de ella.

Recomendaciones de seguridad en BYOD

Ante estos riesgos asociados, las organizaciones que decidan implantar una política de BYOD deberán llevar a cabo una serie buenas prácticas para que se haga un uso seguro de estos dispositivos. Está en juego la información confidencial de la empresa.

  • Crear una normativa clara que regule el uso del BYOD y dársela a conocer a todos los miembros de la organización. Se elaborará un listado de dispositivos autorizados, en qué condiciones se permite su uso, cómo se accede a la información, qué configuraciones de seguridad serán necesarias para poder utilizarlos, etc.
  • Se implantará una política de concienciación y formación para todos aquellos empleados que hagan uso del BYOD. Ésta es la mejor herramienta para evitar incidentes de seguridad.
  • Ante la posibilidad de robo o pérdida, se establecerán medidas que permitan su localización por medio del GPS. Además, se habilitará la posibilidad de realizar un borrado remoto del dispositivo. Como medida de seguridad adicional, todos los dispositivos y los medios de almacenamiento externos, como tarjetas SD o memorias USB, siempre estarán cifrados.
  • Tanto el dispositivo como las aplicaciones que tenga instaladas estarán actualizados a la última versión disponible. De esta forma, contará con los últimos parches de seguridad.
  • Se prohibirá el uso de dispositivo que hayan sido rooteados o cuenten con un jailbreak. Se elaborarán dos listas con aplicaciones permitidas junto aquellas cuyo uso queda totalmente prohibido.
  • Se evitará el uso de redes wifi abiertas o aquellas que no sean confiables y se fomentará el uso de las redes 3G o 4G. En caso de que el dispositivo no tenga conectividad con estas redes, se usará un modem USB o se compartirá la conexión de datos del dispositivo móvil. Cuando se tenga que utilizar una red considerada poco segura, como la red wifi de un establecimiento público, se usará siempre por medio de canales seguros donde la información viaje cifrada, como una VPN.
  • Todos los dispositivos deben contar con mecanismos que eviten accesos no autorizados por medio de contraseñas robustas o mecanismos de control biométricos, como touch-id. También se recomienda establecer un tiempo máximo de inactividad para que el dispositivo se bloquee automáticamente.
  • Se evitará ceder el dispositivo de forma voluntaria a otras personas y se mantendrá siempre bajo custodia.

Implantar una política de BYOD en una organización es una tarea que no debe tomarse a la ligera, ya que conlleva un gran número de riesgos para la empresa. Pero su correcta adopción, siguiendo las recomendaciones anteriores, puede mejorar considerablemente la productividad de la organización.