Recientemente hemos tenido conocimiento a través de los medios comunicación (El ministro de Interior perdió un iPad con datos sobre ETA): de la pérdida o robo de dispositivos personales con información confidencial o corporativa y la repercusión e incidencia que la misma puede tener en materia de seguridad (lógica y física) en el negocio.
Así, con el avance de las nuevas tecnologías y la denominada "consumerización" de la tecnología, cada día es más habitual que directivos y trabajadores utilicen sus propios dispositivos en el desarrollo de su puesto laboral. Este hecho, denominado BYOD, Bring Your Own Device (trae tu propio dispositivo), supone el triunfo de la movilidad y tiene innumerables ventajas en el aumento de la productividad.
Para regular el uso de los dispositivos personales por parte de los directivos y empleados de las organizaciones, sin dejar de lado la debida protección y securización de la información que dichos dispositivos almacenan, pueden adoptarse distintas estrategias, todas ellas encaminadas a concienciar, orientar y facilitar la colaboración entre organización y empleado en cuanto a la implantación de medidas de seguridad.
En realidad, el utilizar dispositivos personales en el desarrollo de los puestos de trabajo no plantea riesgos adicionales a los ya existentes respecto del uso de portátiles o dispositivos de almacenamiento USB; riesgos de extravío o pérdida, de interceptación de las comunicaciones, fuga de información confidencial/corporativa, etc. Sin embargo, sí plantea posibles limitaciones en cuanto a la aplicación impositiva y restrictiva de las políticas de seguridad corporativas sobre dispositivos que no son propiedad de la organización y sobre los que ésta carece de control.
El impacto del BYOD en las organizaciones depende de las circunstancias particulares de cada organización y de cómo ha ido resolviendo los problemas de gestionar la seguridad corporativa en los últimos años. El BYOD supone un punto de inflexión con respecto a las estrategias tradicionales, donde en la toma de decisiones se buscaba un equilibrio entre las necesidades de seguridad y el modelo de negocio.
El BYOD supone tener que pensar y diseñar estrategias de seguridad bajo dos premisas importantes:
- Transparencia de las medidas de seguridad a adoptar à hacerlas lo más sencillas y accesibles posibles para que no supongan una barrera para el personal que ha de implantarlas y gestionarlas.
- Usabilidad e interoperabilidad con los recursos de la organización à deben permitir y facilitar la operatividad y acceso a los recursos corporativos para permitir a los empleados el trabajo desde cualquier lugar en cualquier momento.
Pero ¿Cuál es la principal problemática que plantea el BYOD?
- La efectiva protección física del dispositivo à estableciendo pautas sobre custodia y uso de estos elementos en entornos inseguros. Las organizaciones podrán facilitar a su personal guías específicas de configuración y control de los distintos dispositivos.
- El control y protección lógica del acceso y conexión a los sistemas de información corporativos à toman una especial importancia los sistemas de autenticación en el acceso, a través de distintos dispositivos, a los sistemas de información corporativos.
- El control y "securización" de las comunicaciones à Facilitar la conectividad del dispositivo desde lugares externos a los sistemas de información, el uso de protocolos de comunicaciones seguros que deben evitar la interceptación de comunicaciones y el robo de credenciales. Deben las organizaciones implantar sistemas que permitan la interoperabilidad con los sistemas de información corporativos, así como la "securización", control y cifrado de las comunicaciones de los dispositivos.
- La protección lógica de la información que se almacena en el dispositivo àA través de mecanismos criptográficos que permitan garantizar, que ante perdida o robo, no habrá fugas de información, por ejemplo a través del uso de tecnologías proactivas en la detección y control del flujo de información (sistemas DLP).
- La monitorización à a través de estrategias basadas en la detección de anomalías, tanto a nivel de conexiones y accesos a los sistemas de información, como en el uso y tratamiento de la información corporativa, teniendo especial precaución de no interferir en el uso particular del dispositivo por parte del empleado y por tanto poner en riesgo su derecho intimidad.
- La gestión de las notificaciones en caso de detección de incidentes à a través del establecimiento de procedimientos que gestionen la notificación y resolución de incidentes que permitan la continuidad del negocio.
La regulación del BYOD debe formar parte de una estrategia de movilidad que vaya más allá de conectar los dispositivos a la red corporativa, ya que deberá incluir, además, la integración de soluciones de seguridad, de colaboración, de virtualización, movilidad a través de los diferentes proveedores de servicios, y permitir la escalabilidad dado el avance de la tecnología.
Es necesario, por tanto, el establecimiento por parte de la organización de políticas y guías ante la utilización de dispositivos personales en el desarrollo del puesto de trabajo, y partir siempre de un acuerdo mutuo entre organización y empleado.