El fenómeno de que los empleados de una empresa utilicen sus propios dispositivos para cumplir con las tareas diarias del trabajo se ha consolidado en los últimos meses y hoy se conoce como la tendencia BYOD (por las palabras en inglés Bring Your Own Device ).
Estas nuevas tendencias traen asociados riesgos para la seguridad de la información corporativa; lo cual lleva a que las áreas encargadas de estos temas planteen soluciones de acuerdo a la realidad de la empresa y procurando evitar conflictos con el desarrollo tecnológico.
El objetivo de este artículo es presentar cuáles son las principales características del BYOD . Se tratará la realidad del fenómeno en la región y el reto que representa para la gestión de la seguridad en las empresas. Finalmente se enunciarán una serie de consejos que se deberían seguir para la implementación de políticas de BYOD, garantizando siempre la seguridad de su información.
Retos de seguridad para las empresas a partir de BYOD
1. Retos de seguridad para las
empresas a partir de BYOD
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
Octubre 2012
2. Algunas cifras sobre BYOD .................................................... 4
Cambio de paradig ma en la infraest ruc t u ra ....................... 7
Gestión de riesgos ................................................................... 8
Ho me working .......................................................................... 9
Disposición de la infor mación ............................................... 9
Gestión de aplicaciones ......................................................... 9
3. El fenó meno de que los em pleados de una empresa utilicen sus propios dispositivos para
cu mplir con las tareas diarias del trabajo se ha consolidado en los úl ti mos meses y h oy se
conoce co mo la tendencia (por las palabras en inglés ). La gran
dependencia que se ha desarrollado por la conec tividad y el acceso a la infor m ación en
cualquier lugar y mo men t o, co mbinado con los cada vez más livianos y por tables
disposi tivos personales, ha dado un gran i mpulso a este fenó meno.
Pero estas nuevas tendencias traen asociados riesgos para la seguridad de la infor mación
corpora tiva; lo cual lleva a que las áreas enca rgadas de estos te mas plan teen soluciones
de acuerdo a la realidad de la empresa y procurando evi tar conflic tos con el desarrollo
tecnológico.
El obje tivo de este ar tículo es presen tar cuáles son las principales carac terís ticas de la
tendencia . Se tra tará la realidad del fenó meno en la región y el re to que represen ta
este fenó meno para la gest ión de la seguridad en las empresas. Final men te se enunciarán
una serie de consejos que debería seguir una empresa que esté iniciando o revisando la
i mple men tación de polí ticas de BYOD en su co mpañía, garan tizando siempre la seguridad
de su infor mación.
Una de las carac terís ticas principales que aprovechan los usuarios de sus disposi tivos
m ó viles, además de su por tabilidad, es la facilidad que ofrecen para el trabajo
colabora tivo. Esto lo hacen, mayori taria men te, apoyados en el creci mien t o y las
innovaciones que brindan las redes sociales y las tecnologías de conec tividad.
Precisamen te la convergencia en el uso y aprovecha mien t o de todas estas carac terísticas
ha hecho que se consolide lo que se conoce co mo tendencia BYOD: la incorporación de
disposi tivos tecnológicos de los empleados en el ámbi t o laboral para cu mplir con las
t a reas propias del quehacer profesional . Sin lugar a dudas, este fenó meno plan tea una
serie de riesgos y opor t u nidades para las empresas.
En este escenario, las compañías deberían aprovechar las ven tajas que ofrece adop tar
esta tendencia, y a su vez t o mar todas las medidas preven tivas para garan tizar l a
pro tección de su infor mación. Por ejemplo, las empresas mejorarían la product i vidad si
consideraran que para los empleados puede ser mucho más có modo t rabajar en sus
4. propios disposi tivos, pudiendo llevarlos consigo y de esta for ma responder rápida men te a
las novedades que se presen ten . De igual manera, en ese con tex to es esencial que las
corporaciones cuiden la exposición de infor mación sensible para evi tar la pérdida o fuga
de la mis ma. .
En agosto 2012, ESET Latinoa mérica realizó una encuesta sobre esta te má tica.
Participaron en ella personas, en su mayoría, en t re los 21 y 30 años (43.9%) y en t re los 31 y
50 años (32.8%). De los par t icipan tes, la mi tad trabaja en pequeñas empresas, el 20% en
organizaciones medianas y el 30% restan te en co mpañías más grandes, con más de 100
empleados.
Algunos de los resul tados dan cuen ta los disposi tivo s personales que más se ut ilizan en el
lugar de trabajo son las com p u tadoras por tá tiles y los teléfonos in teligen tes, ade más de
las table tas que tienen una par ticipación al ta den t r o de estos disposi tivos. A pesar que los
disposi tivos USB para al macenar da tos no están incluidos estric ta men te en la
ca tegorización de BYOD, en la encuesta han sido elegidos por el 83.3% de los consul tados
co mo disposi t ivos para manejar infor mación corpora tiva.
5. En relación al acceso de infor mación corpora tiva, cerca de la mi tad de los encuestados
afir mó u tilizar redes WiFi, mien t ras que un poco más de la tercera par te accede a través
de una red cableada provista por la organización. Co mo se mencionó los disposi tivos
personales se convier ten en una herra mien ta para desarrollar las tareas laborales, al
pun t o que el 58,3% de los encuestados indicó que su u tilización facili ta sus labores.
Como par te de las tareas más relevan tes que se realizan con los disposi tivos personales se
encuen t ra la revisión del correo elect rónico corporat i vo y el apoyo a las tareas del trabajo.
De las personas que u tilizan los disposi tivos personales en la oficina, el 55% los usa
única men te para ac tividades personales que no están relacionadas con el trabajo. Queda
claro que este tipo de usos ta mbién tiene co mo cont rapar tida la distracción por par te del
empleado.
6. Respec to al uso de la información del trabajo, más de la mi tad de los encues tados la
al macena en su disposi tivo personal y cerca de un 20% la revisa remo ta men t e sin
guardarla en su disposi tivo; apenas una quin ta par t e dice eli minarla una vez ter minado el
t rabajo. Estas cifras evidencian una tendencia que debería ser a tendida por las empresas,
y es que los usuarios u tilizan sus disposi tivos personales para guardar infor mación
corpora tiva.
Uno de los da tos más in teresan tes tiene que ver con que cerca de la mi tad de los
encuestados no maneja la infor mación de la empresa de for ma cifrada en su disposi tivo
personal y el 15,6% dice no saber có mo se maneja la infor mación. Sola men te la tercera
par te reconoce manejar la infor mación cifrada. Tan t o la decisión de u tilizar la infor mación
cifrada co mo el conoci mien t o por par te de los usuarios den t ro de la red corpora tiva, son
cuestiones de impor tancia a tener en cuen ta por par te de quienes se encargan de
gestionar la seguridad de la infor mación de una co mpañía.
Final men te, en menos de la mi tad de las empresas los encuestados reconocieron que
existen polí ticas claras para el manejo de la infor mación , mien t ras que una tercera par te
de los encuestados reconoció lo con t rario . La cuar t a par te restan te no conoce si existen
polí ticas de este tipo.
7. Al revisar los resul tados mencionados an terior men te se puede inferir que se está n dando
ca mbios en la for ma en que se maneja la infor mación corpora ti va. Estas nuevas
tendencias en las organizaciones lleva n a que los depar ta men t os de TI deban ca mbiar la
concepción del manejo de sus recursos para garan ti zar la seguridad de los da t os de la
empresa.
Estas nuevas for mas de ma nejar la infor mación hacen que las organizaciones pres ten
m ucha más atención a la for ma en que los usuarios se conec tan a las redes de la empresa
para manipular la infor mación. Es decir, buscan garan tizar la seguridad, los alt os niveles
de rendi mien to y el con t r ol adecuado para los diferen tes tipos de disposi tiv os que se
podrían conec tar para com par t ir infor mación.
Esta nueva concepción alrededor del có mo se accede a la infor mación hace que las áreas
de TI se preocupen cada vez menos por la inf raes tru ctura física a la vez que se reducen los
cos tos relacionados a la adquisición de disposi tivos co mo teléfonos celulares y por tá tiles .
Sin embargo, ta mbién plan tea nuevas preocupaciones ya que se generan nuevos riesgos
8. que deben ser gestionados adecuada men te para garan tizar la seguridad de la
infor mación.
Debido a que en este momen t o la tendencia se está consolidando y para muchas
organizaciones aún puede ser un te ma que consideren ajeno, se encuen t ra poca claridad
en las empresas para el manejo de la infor mación. De esta manera, se dan casos en los
que no hay ninguna posición respec to de la u tilización de disposi tivos personales en el
lugar de trabajo, y en muchos casos op tan por cerrar cualquier for ma de in teracción o
simple men te lo dejan abier t o.
Todo este ca mbio de concepción i mplica que las polít icas de seguridad de las co mpañías se
empiecen a enfocar en mayor medida en la efec tividad de la seguridad de las redes, con
con t roles o segui mien t os sobre los empleados y las aplicaciones que se u tilizan y no
exclusiva men te sobre los disposi tivos.
Como se ha mencionado, la adopción de BYOD i mplica para las organizaciones un cambio
en la for ma de gestionar la seguridad de la infor mación en una amplia variedad de
disposi tivos, aplicaciones y siste mas opera tivos. A con tin uación se mencionan algu nos de
estos re tos.
Lo pri mero para garan tizar la seguridad de la infor m ación es una adecuada gestión de
riesgos la cual par te del conoci mien t o de los ac tivos de infor mación con los que cuen ta la
empresa. Los análisis de riesgos deben pa r ti r de la clasificación de la infor mació n con el
obje tivo de establecer, por eje mplo, cuáles son los da tos más sensibles que requieren
mayores niveles de pro tección, qué infor mación se puede acceder desde disposi tivos
personales, qué infor mación puede accederse por fuera de la red de la empresa y a qué
infor mación se debe restringir el acceso.
A par tir de este análisis se llega a establecer cuáles son las medidas de con t rol más
adecuadas para garan tizar la seguridad de infor mación, que van desde disposit i vos o
medidas de carác ter tecnológico (soluciones an tivirus, DLP, VPN, Fire wall, IDS, IPS, etc.)
has ta el estableci mien t o de polí ticas para la gestión de disposi tivos, donde se de ter mina
qué tipo de disposi tivos y aplicaciones es posible u tilizar. Además, medidas com o los
9. con t roles de acceso a la red (NAC) pueden ser de gran ayuda para tener un moni t o reo de
có mo se u tilizan los recursos de red co mpar tidos por los empleados.
Toda esta gestión de riesgos, debe estar co mple ment ada con un adecuado plan de
educación y concien tización que involucre a todos los niveles de la organización para que
conozcan las implicaciones del uso de sus disposi tivos personales, los riesgos a los que
están expues tos y las medidas de seguridad que deben tener en cuen ta.
Al ser posible el manejo de infor mación laboral en disposi tivos personales, o t ras
tendencias co mo la posibilidad de trabajar desde la casa ( tienen un i mpulso
i mpor tan te. Este tipo de tendencias pro mueven que las empresas incluyan en sus análisis
o t ro tipo de riesgos y que consideren algunas implicaciones legales que pueden llegar a
tener. Por eje mplo, a par tir de la manipulación de infor mación laboral en disposi tivos con
siste mas opera tivos o aplicaciones Es necesario en to nces que las empresas
asignen licencias en los disposi tivos de los empleados o consideren al terna ti vas, co mo por
eje mplo el uso de sof t w are libre en estos casos.
Si el empleado manipula infor mación de la empresa en su disposi tivo, debe est a r claro
cuál será la disposición de la mis ma una vez ter min ada la relación con t rac t ual. Ya que es
m u y co mplicado tener la seguridad que está infor m ación será eli minada. Una vez más es
necesario tener claro qué t ipo de infor mación se puede descargar y manipular desde
disposi tivos personales. Ade más, aspectos con t rac t uales co mo la fir ma de acuerdos de
confidencialidad pueden ser co mple men t os que brinden a la empresa herra mien tas
adicionales para ac tuar en caso de que la infor mación sea expues ta.
Ya se mencionó que uno de los principales re tos para las empresas es la gestión de la gran
diversidad de aplicaciones que un empleado puede tener ins talado en su dispositivo. El
re to para las organizaciones se vuelca en tonces en garan tizar que los disposi tivos , a
t ravés de los cuales se accede a la infor mación , cuen ten con aplicaciones seguras que no
pongan en peligro la in tegridad de la infor mación.
10. En esta mis ma línea es necesario que la empresa diferencie el uso que los empleados
puedan tener de los recursos de la mis ma a través de sus disposi tivos personales. Es así
co mo segura men te muchos de los empleados solamen te u tilizarán sus disposi tivos para
ma nipular infor mación personal. En estos casos la gestión de los recursos de red se vuelve
sensible para i mpedir la int r usión ilegal a los siste m as de la co mpañía.
Has ta este pun t o se han mencionado los re tos y las ven tajas que esta tendencia tiene
para las empresas. De esta for ma, la pregun ta que surge es: ¿Se debe permi ti r o prohibir el
uso de disposi tivos personales en el lugar de trabajo para manipular la información de la
empresa?
La respuesta en este caso t iene que estar precedida de un j uicioso análisis de riesgo. El
resul tado de este análisis le da a las organizaciones el panora ma co mple to de qu é
infor mación maneja y cuáles son las carac terísticas más adecuadas para garan tizar su
seguridad.
Más allá de si final men te se adop te o no el BYOD en la organización, lo más coheren te es
que las organizaciones se preocupen por to mar una pos tura ya que este te ma es una
realidad y lo más peligroso para la infor mación es adop tar una posición indiferen te.
Independien te men te de la posición que adop te la em p resa alrededor del BYOD, es
necesario que se to men algunos recaudos para garan tizar la seguridad de su infor mación:
Analizar la capacidad y la cober t u ra que tienen las redes corpora tivas para
per mi ti r el acceso de disposi tiv os diferen tes a los de la empresa. El acceso a estos
recursos debería estar protegido con credenciales que per mi tan individualizar
quién accede y qué tipo de infor mación manipula.
La gestión debe estar basada en roles. El acceso a la infor mación debe ser
res tringido de for ma que se garan tice que sola men t e podrá n acceder a la
infor mación aquellas personas que real men te lo necesi ten. Esta gestión debe ser
precedida de una adecuada clasificación de la información que le permi ta a la
empresa conocer todos sus activos de infor mación.
11. Teniendo en cuen ta que son muchos los disposi tivos en el mercado, es pruden te
hacer un análisis de qué tipo de disposi tivos son los más adecuados para manejar
la infor mación de la empresa.
Según la diversidad de disposi tivos y aplicaciones que se pueden manejar, se debe
redac tar la polí tica que aclaré qué disposi tivos pueden acceder a la infor mación
corpora tiva. Ade más, para garan tizar que códigos maliciosos no afec ten los da tos,
t o dos los disposi tivos deben con tar con soluciones de seguridad que de tec ten
proac tiva men te este tipo de amenazas.
El acceso a través de conexiones WiFi debe ser correcta men te configurado,
u tilizando pro t ocolos de cifrado, para garan tizar la seguridad de la infor mación. El
t ráfico de disposi tivos BYOD debería ser clara men t e iden tificable, además de
tener un con t rol más estricto.
Para permi t ir el acceso rem o t o, el uso de tecnologías como VPN garan tizan la
pro tección de la infor mación que se manipul a. Además, debe llevarse un cont rol
de quién accede y los cambios que se realiza.
La educación debe ser un pilar i mpor tan te para que todos los usuarios sean
conscien tes de los riesgos a los cuales pueden verse expues tos y cuáles son los
cuidados que deben tener en cuen ta al manejar la infor mación de la empresa.
Realizar con mayor periodicidad los análisis de riesgos y vulnerabilidades para
de ter minar el estado de la empresa an te esta tendencia, ya que la aparición de
nuevos disposi tivos o aplicaciones pueden beneficiar o afec tar a las
organizaciones.
Cuando se habla de BYOD se hace referencia a una tendencia consolidada y an te la cual
las empresas deben hacer un análisis de riesgos para to mar una posición al respec to. La
adopción de esta tendencia por par te de las compañías puede traer grandes beneficios
relacionados con la disminución de gastos en infraestruc t ura, la co modidad de los
empleados para el manejo de la infor mación y por t an to el incre men t o de la
produc tividad. Pero a su vez, enfren ta a la empresa a nuevas amenazas que deben ser
gestionadas, las principales y quizás las más preocupan tes son la fuga y el acceso no
au t o rizado a la infor mación.
Es así como las empresas para enfren tar estos re tos deben establecer una mezcla en t re
polí ticas claras para el manejo de la infor mación y el uso de herra mien tas adecuadas que
per mi tan la gestión de la seguridad de la mis ma. Todo esto debería estar alineado con los
obje tivos del negocio, pues cualquier decisión que se to me debe estar enfocada en
12. au men tar la produc tividad y hacer más ágiles y seguros los procesos in ternos. Estas dos
medidas se deben co mplemen tar con un adecuado plan de divulgación y educación para
que a todos los niveles de la organización conozcan las restricciones alrededor del manejo
de la infor mación.