Nos damos cuenta de que está visitando el sitio del Reino Unido. ¿Le gustaría visitar nuestro sitio principal?

Un empleado con un dispositivo personal en su escritorio.

Trae tu propio dispositivo: medidas de seguridad para dispositivos personales en el lugar de trabajo

Toda empresa a la cual los empleados puedan llevar sus teléfonos inteligentes, tabletas o portátiles personales al trabajo requiere la implementación de una política de seguridad de Trae tu propio dispositivo (o política de TTPD). Prácticamente todo los empleados llevan a su trabajo un dispositivo conectado a Internet. Incluso si el dispositivo no está conectado activamente a la red de una empresa, puede suponer riesgos para la seguridad.

El uso de un dispositivo personal para algo tan inofensivo como enviar un mensaje de correo electrónico puede conllevar vulnerabilidades en la red de una organización. Las organizaciones de todos los tamaños consideran que la seguridad de TTPD no es sencilla, ya que las empresas deben ejercer cierto control sobre los teléfonos inteligentes y tabletas de sus empleados. Después de todo, el 40% de las vulneraciones de datos las generan dispositivos extraviados o robados. No obstante, en las culturas que hacen hincapié en la libertad personal, políticas como estas pueden enfrentarse con la resistencia o el resentimiento de los empleados. Lo mejor es adoptar una actitud sensible, pero firme.

¿Qué pueden hacer las empresas para mejorar su ciberseguridad en estas condiciones? Una opción es prohibir totalmente el TTPD y aplicar esta política con toda rigidez. Sin embargo, el mercado global de TTPD es enorme, y sigue creciendo. En 2022, el mercado estaba valorado en 350.000 millones de dólares. La tendencia del trabajo desde casa, catalizada por la pandemia, ha acelerado su crecimiento. La alternativa es inclinarse hacia la realidad y, al mismo tiempo, implementar políticas y medidas de seguridad sensatas en materia de TTPD, con el objeto de que los dispositivos sean más seguros para los empleados y las empresas. La mayoría de las organizaciones consideran que esta es la más fácil de implementar de las opciones, aunque no implica que una política sensible de TTPD no requiera esfuerzos y una debida consideración.

Riesgos para la seguridad de TTPD

TTPD implica que, nominalmente, las empresas tengan que gastar menos en hardware y software para sus empleados. El 82% de las empresas autorizan a sus empleados a utilizar dispositivos personales para su trabajo. El 71% de estos empleadores han llegado a la conclusión de que esta medida permite a los empleados sentirse más cómodos al utilizar sus dispositivos, ya que están más familiarizados con ellos. El 58% creen que resulta más productivo. Sin embargo, solamente el 55% considera que reduce costes. ¿Por qué esta discrepancia? Posiblemente porque, de las organizaciones cuyas políticas de seguridad admiten TTPD, un asombroso 50% experimenta vulneraciones de datos a través de los dispositivos de sus empleados. No es de sorprender que, entre las organizaciones que se oponen a la adopción de políticas en materia de TTPD, el 26% cita motivos de seguridad como principal motivo.

Buenas prácticas de seguridad con TTPD

Colegas utilizando portátiles, tabletas y teléfonos móviles

Toda política de TTPD acertada debería cubrir estos elementos:

  • Tipos de dispositivos admisibles
  • Uso aceptable: ¿a qué aplicaciones y activos pueden los empleados acceder desde sus dispositivos?
  • Requisitos mínimos para controles de seguridad de los dispositivos: ¿qué medidas de seguridad exigirá la organización a los dispositivos TTPD?
  • Componentes proporcionados por la organización: por ejemplo, certificados SSL para la autenticación de los dispositivos
  • Derechos de la organización en materia de modificación del dispositivo: por ejemplo, borrado a distancia en caso de robo o extravío del dispositivo
  • ¿Qué ocurre con los datos de la organización contenidos en los dispositivos de empleados que dejan de trabajar en ella?
  • ¿Quién es propietario de las aplicaciones y de los datos contenidos en el dispositivo? ¿La organización reembolsará al personal por los cargos mensuales o de las aplicaciones?
  • ¿Qué asistencia prestará TI a los propietarios de los dispositivos?

Los responsables de elaborar la política deberían considerar las siguientes cláusulas con el objeto de estipular las mejores opciones:

  • Normas de sentido común: límite a las llamadas personas y al vídeo durante el horario de trabajo; prohibición de uso durante la conducción.
  • Mantenimiento y actualizaciones: toda política debidamente elaborada debería garantizar que los empleados mantengan actualizados sus dispositivos y aplicaciones
  • Disposiciones en materia de transferencias de datos: los datos de la organización deben estar cifrados y protegidos por contraseñas, y solamente podrán transferirse en las aplicaciones estipuladas por la organización
  • Disposiciones en materia de contraseñas: obviamente, el uso de contraseñas es innegociable para la protección de datos sensibles; también se requerirá una autenticación de dos factores

Disposiciones en materia de privacidad: ¿cómo pueden las organizaciones equilibrar la protección de datos y la privacidad de los empleados con TPPD?

Política de seguridad de TPPD

¿Qué hacer para establecer prácticas de TPPD coherentes y seguras? Toda política de esta escala debería involucrar tanto a los empleados como a los interesados. Las aportaciones de los empleados pueden obtenerse a través de una encuesta, una excelente herramienta para planificar políticas. Ejecutivos, RR.HH., TI, finanzas y seguridad deben estar incluidos y representados en un equipo de gestión de proyecto de TPPD. Estos departamentos tienen aportaciones que hacer.

Una vez enviada la encuesta y recibidas las respuestas, los análisis de evaluación a realizar deberán incluir qué datos y aplicaciones son necesarios en los dispositivos de los empleados. Tras implantar la política, la capacitación será una fase vital del proceso. Se formará a los empleados de todos los niveles en el protocolo de manipulación de datos, en solución de problemas de los dispositivos, en procedimientos en caso de robo o extravío de dispositivos, en qué aplicaciones utilizar y en medidas antiusurpación de identidades. Asimismo, se impartirán cursos más amplios en vigilancia contra ciberamenazas.

Un amplio consenso considera que los empleados no formados en ciberseguridad son la mayor amenaza para la integridad de los datos de la organización. En 2014, el 87% de los responsables de TI creían que la mayor amenaza para las organizaciones eran los dispositivos móviles utilizados por empleados descuidados. En 2020, un asombroso 96% de los ataques a dispositivos móviles emplearon las aplicaciones como vector. Esto se debe a que una súper mayoría de aplicaciones, prácticamente 4 de cada 5, incorporan bibliotecas de terceros susceptibles de generar vulnerabilidades.

¿Qué aplicaciones debería utilizar una organización que implemente una sólida política en materia de TTPD. Un estudio llegó a la conclusión de que los empleados utilizan al menos cinco aplicaciones cada día. Las organizaciones deberían incluir una plataforma de mensajería dedicada segura, correo electrónico, CRM y aquellas otras aplicaciones que consideren que los empleados podrían necesitar. Deberá garantizarse que las aplicaciones que pudiesen conllevar problemas queden explícitamente fuera.

Además, las organizaciones deberían tener procedimientos específicos para los empleados que abandonen sus puestos de trabajo por cualquier motivo. Cuando un empleado se vaya, la organización deberá asegurarse de que se eliminen todos los datos de sus dispositivos, y de que se le retire el acceso a las aplicaciones de la empresa. No obstante, esto implica numerosas dificultades, y a menudo se considera motivo suficiente para abandonar las políticas de TTPD y proporcionarles dispositivos de la organización.

Una política es tan sólida como la capacidad de la organización de hacerla valer, lo cual lamentablemente requiere que haya consecuencias para quienes incumplan la política. Toda política debería incluir información detallada específica acerca del seguimiento, medición y rendición de cuentas que se distribuya a todo el personal. La falta de supervisión es uno de los principales problemas en la implementación de políticas de TTPD. Las organizaciones necesitan suficiente personal de apoyo de TI para asistir y vigilar continuamente a los empleados.

Una vez establecidos los sistemas y protocolos, las organizaciones deberían priorizar la formación de los empleados. Para que una política de TPPD tenga éxito, es esencial hacer hincapié en la importancia del uso admisible y de las normas básicas de protección de datos.

Vista superior de tres personas trabajando en un escritorio, con portátiles, tabletas y papeles.

Soluciones de seguridad para TPPD

Entre las soluciones de seguridad que debería considerarse incluir en una política de TTPD se incluyen:

  • Cifrado de los datos en tránsito y en reposo
  • Antivirus: proporcionado por la organización o de obligatoria instalación por los empleados
  • Vigilancia: seguimiento por GPS de la ubicación de los dispositivos del empleado, o de tráfico de Internet, etc.
  • Compartimentación: dispositivos separados en burbujas personales o financieras, con protección por contraseña
  • Capacitación en uso de contraseñas, incluyendo requisitos de cambios periódicos
  • Listas negras: bloqueos o restricciones de aplicaciones específicas porque suponen un riesgo para la seguridad operativa o son perjudiciales para la productividad. Normalmente, esto no es posible en los dispositivos de propiedad de los empleados, salvo mediante compartimentación
  • Listas blancas: permiten el acceso solamente a determinadas aplicaciones autorizadas; normalmente, resulta más práctico para el hardware distribuido por la organización
  • Requisito de copias de seguridad periódicas, así como actualizaciones de aplicaciones y sistemas operativos
  • Capacitación y cursos de actualización sobre cómo mantener protegidos los datos de la organización en lo que respecta al acceso a redes wifi desde hardware TTPD
  • Restricción de acceso a datos: para impedir fugas, el acceso a los datos deberá controlarse estrictamente, de modo que solamente quienes necesiten acceder a datos específicos puedan hacerlo desde sus dispositivos personales

Herramientas de vigilancia para seguir la ubicación de los datos y los patrones de acceso a los mismos para la detección de comportamientos sospechosos, como acceso desde lugares inseguros (por ejemplo, Corea del Norte).

Un método para una mayor seguridad de sistemas TPPD es suministrar unidades Flash USB y discos SSD cifrados a los empleados. Más económico que proporcionar teléfonos o tabletas a todo el personal, y considerablemente más sencillo que compartimentar cada dispositivo que los empleados traen consigo, los datos almacenados en dichos dispositivos están mucho mejor protegidos que en dispositivos ordinarios. Con un cifrado de suficiente calidad, un ladrón que se haga con una unidad cifrada no podrá conseguir acceder a datos privilegiados.

#KingstonIsWithYou #KingstonIronKey

Icono «Pregunte a un experto» de Kingston en un chip de placa de circuito

Pregunte a un experto

Para planificar la configuración de memoria adecuada es necesario conocer los objetivos de seguridad de sus proyectos. Permita que los expertos de Kingston le orienten.

Pregunte a un experto

Vídeos relacionados

Artículos relacionados