Desafíos de seguridad de la política BYOD: las responsabilidades del empleado

Siguiente

Previo a la existencia de los Smartphone, no hubiera sido posible que se pidiera a los empleados que llevaran su propio equipo para trabajar. Sin embargo, la introducción y combinación de Smartphones, tablets y laptops ha llevado a que más compañías implementaran políticas de “Bring Your Own Device” (BYOD), es decir, “trae tu propio dispositivo”. Pero cada vez más, los empleados toman en consideración los efectos de estas políticas en el mundo laboral, y analizan la mejor manera de administrarlas.

Existen muchos beneficios a una política BYOD, entre ellos la reducción de los costos de hardware y software, la conveniencia y un sentido de posesión. Sin embargo, estas políticas pueden sumar tensión en los departamentos de seguridad IT, que tienen la responsabilidad de asegurar que ni los dispositivos ni las prácticas introduzcan vulnerabilidades innecesarias en la red e información de la compañía. Los riesgos de seguridad son una de las principales preocupaciones, y más difíciles de gestionar con tanto poder puesto en manos del empleado. Por ello, es de suma importancia educar a los empleados sobre las consecuencias de utilizar dispositivos personales en el trabajo, así como hacerles saber qué cosas pueden hacer para mitigar los riesgos.

Muchos de los desafíos enfrentados por las pequeñas y medianas empresas que emplean BYOD pueden abordarse aplicando ciertas mejoras a su administración endpoint. Por ejemplo, un dashboard basado en la nube, que provea una mirada general sobre la diversidad de dispositivos conectados a una red, puede simplificar el trabajo de los administradores de IT frente a un ecosistema que aplique la política BYOD. Nuestro producto ESET Cloud Administrator, puede dar soporte a quieres utilicen Windows y OSx/macOS en sus laptops. Además, asegúrate de que los dispositivos móviles cuenten con una App de seguridad móvil instalada.

Ante todo, consigue la aceptación

Antes de reforzar la administración de tu endpoint, lo primero que debes hacer es conseguir la aceptación de tus empleados. Cuanto más conozcan, más fácil será hacerlos entender por qué una política de este estilo es importante, y mayor será la posibilidad de que adhieran a ello. Crear una buena comunicación entre los empleados y la Seguridad Informática es importante, pero será responsabilidad de los mismos leer, comprender y estar de acuerdo con la política de la compañía. También es crucial para los empleados apreciar el valor de mantener segura la información sensible y confidencial. Las organizaciones dependen por completo del acceso a su información, y que esta se vea comprometida puede dañar en gran medida la reputación, causar daños financieros y, en ciertas industrias, tener repercusiones importantes en su regulación. Los empleados involucrados en esquemas BYOD deben entender que proteger la información sensible representa una ventaja competitiva y protege los empleos.  

Una vez que los empleados hayan comprendido las repercusiones y accedido a la política, tendrán ciertas responsabilidades cuando se trata de sus dispositivos. No deben dejar que la conveniencia y practicidad sobrepase la política, y deben utilizar únicamente dispositivos aprobados y software examinados y verificados por el departamento IT. Todos los dispositivos extraviados o robados deben ser reportados de manera inmediata. El reemplazo del dispositivo podría ser responsabilidad del empleado, según disponga la política, pero seguirá teniendo información sensible capaz de ser comprometida. Incluso si es reparado, los empleados deben utilizar centros de reparación autorizados, para asegurar que ésta información no sea comprometida durante los arreglos.

Por último, los empleados deben estar al tanto de cuáles son los vectores de ataque, incluyendo el malware y la ingeniería social. Los teléfonos o dispositivos que estén bajo la política de BYOD tendrán una lista blanca y una lista negra (índices de aplicaciones de software autorizados para ejecutarse en un sistema, o no). Otra forma de evitar ataques informáticos es obviar y no emplear aplicaciones de listas blancas y listas negras en la política, y asegurar que cada correo y llamada esté autorizada, autenticada y rastreada. Las políticas de BYOD pueden funcionar, pero la participación del usuario es esencial para que sea efectiva. Aquellas políticas que son demasiado restrictivas o no ofrecen soporte para los dispositivos adecuados llevarán a una falta de participación de los empleados. Cada persona involucrada tiene una responsabilidad para lograr que la política de BYOD sea exitosa.