BYOD o «Bring Your Own Device» una práctica cada vez más habitual
BYOD son las siglas en inglés para Bring your own device («trae tu propio dispositivo»). Se trata de una política corporativa que muchas organizaciones adoptan para que sus empleados utilicen sus propios dispositivos personales (portátiles, smartphones, tablets…) para su uso profesional como por ejemplo, tener acceso al correo electrónico, a los datos de la compañía y sus aplicaciones.
Bien sea porque forma parte de una estrategia definida por la compañía o porque es una tendencia muy extendida, BYOD cada vez se aplica de forma más generalizada en todo tipo de negocios y empresas. Se estima que el 90% de los empleados utilizan de un modo u otro sus dispositivos para gestionar información de la empresa. Una de las causas la encontramos en que la tecnología cada vez resulta más accesible y que dicha tecnología es más avanzada y facilita la eficacia y la productividad de los usuarios. En el plano económico se tendría que analizar en cada caso el balance entre el ahorro presupuestario en adquisición de hardware contra el incremento de soluciones de ciberseguridad necesarias.
Beneficios si; riesgos también.
Aunque la utilización de sus propios dispositivos para acceder a recursos de la empresa tiene ventajas para sus empleados porque se facilita la productividad y se genera una sensación satisfactoria por ello, no puede obviarse que esta flexibilidad a la hora de trabajar también entraña unos riesgos evidentes. Es sabido que una de las peores amenazas para la ciberseguridad es el propio usuario. De él depende la decisión de descargar o no ciertos archivos, de ejecutar o no unas aplicaciones o hacer clic en según que enlaces.
Si en un entorno estrictamente profesional el usuario puede ser descuidado con los criterios de seguridad establecidos, qué no pasará cuando esté utilizando sus propios dispositivos en los que es muy probable que tenga una actividad profesional y personal? La brecha de seguridad toma dimensiones inasumibles. Así pues, si una organización opta por esta flexibilización con el uso del hardware, es preciso que se invierta tiempo y recursos en crear y aplicar una política de seguridad específica.
¿Qué hacer si…?
Tenga previsto qué acciones de respuesta dará si
a. El usuario extravía o le roban su equipo (portatil, smartphone o tableta). Es posible proteger los dispositivos e incluso aplicar un bloqueo en tal caso que proteja o elimine la información que contienen.
b. El usuario ejecuta aplicaciones corrompidas. Si un dispositivo infectado se conecta a una red corporativa, podría propagar la infección a todos los dispositivos conectados a esa misma red. Es preciso pues contar servicios de ciberseguridad propios o prestados por un MSSP para vigilar estas brechas de cerca.
c. Se utilizan programas no permitidos por la política de aplicaciones permitidas, o incluso programas “crackeados” que podrían entrañar riesgos, como una infección o vulnerar las leyes de propiedad intelectual. Un riesgo de cumplimiento que igualmente puede originar un problema a la organización.
d. El personal abandona la organización ¿qué pasa con las configuraciones y la información almacenada en los dispositivos? Hay que prever que las cosas no duran para siempre y llegado el fin de la relación profesional con un empleado, ha de ser possible inutilizar los accesos, datos y demás configuraciones que pudieran comprometer la triada CID de la información corporativa.
Además hay que destacar que el uso de multitud de terminales diferentes conlleva el sobre esfuerzo de forma necesaria del personal de TI.