BYOD: ʻBring Your Own Deviceʼ o ʻBring Your Own Disasterʼ?

Publicado el por mpolishuk

El tema de BYOD (del inglés, “Bring your own device” o emplear en el trabajo el equipo que es de uso personal) me ha interesado mucho por décadas. Así podrás ver algunos artículos que he escrito como:

Por darte solo algunas ideas. En el último episodio que te comparto, hablé hace casi 10 años del peligro de BYOD. A últimas fechas, el peligro se ha convertido en una posibilidad peor, en pocas palabras, puede ser un desastre, y esto es lo que quiero exponer.

¿Por qué BYOD se ha convertido en un desastre potencial?

Hace casi 5 años, la pandemia cambió las reglas del juego para el ecosistema de negocios. De golpe el trabajo remoto fue la única opción y sobre aceleró la adopción del equipo en el hogar para uso en el mundo corporativo, todo esto sin la posibilidad para muchas empresas de ajustar y/o crear las reglas y protocolos de seguridad que aseguraran la integridad de la información y la posible vulneración de los sistemas de las empresas. Al irse disipando el tema de la pandemia, estas reglas no se volvieron a adecuar, ahora para personas trabajando en cualquier lugar y momento, conectándose en sitios públicos a veces, en casa otras tantas y luego en el trabajo, todo con el mismo equipo.

Pero esto se complica más con la multiplicidad de dispositivos, teléfonos móviles inteligentes, a veces empleados como el dispositivo que se conecta y otras tantas como medio de enlace a la red pública de datos, tabletas, laptops y equipos similares que acceden a sistemas internos muchas veces sin la supervisión o control adecuados.

A esto le debemos de agregar las apps personales que llegan a convivir con el mundo corporativo, aplicaciones como WhatsApp, Drive, Dropbox, etcétera.

Y, en la mayoría de los casos todos los dispositivos nombrados, por ser personales, pueden no contar con un estándar de antivirus, de cifrado de la información o de las actualizaciones del sistema operativo y/o de las aplicaciones que estén al corriente.

En conclusión, todo esto, es un ambiente propicio para provocar un enorme desastre.

¿Qué puede salir mal?

Prácticamente, en dos palabras, casi todo….

El riesgo de filtraciones de datos sensibles que van desde hojas de cálculo internas, acceso al sistema de la relación con los clientes, todo tipo de sistema administrativo (ERP) o financieros se vuelven una realidad más alcanzable.

Si se roba o pierde un equipo propio que no cuenta con las herramientas corporativas para eliminar su contenido (MDM del inglés mobile device management o manejo de dispositivos móviles que permite gestionar a cualquier tecnología de la empresa y protegerlos o hasta inutilizarlos y rastrearlos) toda la información y accesos a información y sistemas delicados se vuelve una realidad por no tener una serie de servicios de autentificación y restricciones de acceso reforzadas.

El Ransomware o secuestro de la información, programas malignos como virus o caballos de troya pueden ingresar a la red corporativa más fácilmente.

Y, a todo esto, además se debe de pensar en los riesgos legales y laborales cuando un empleado borra o se lleva información de la empresa en sus propios dispositivos, donde por una parte el equipo no es de la empresa, pero la información si….

¿Cómo evitar el desastre?

Para responder esto, se tienen que considerar 2 puntos de vista

Enfoque del área de tecnologías de la información

Todo debe iniciar con una política bien establecida de BYOD, esto es, que se permite, bajo qué condiciones y con qué herramientas.

Las empresas deben si o si de invertir en MDM, descrito anteriormente.

Sin excepción se debe de contar con sistemas de autentificación multifactorial y enlaces por rede virtuales privadas (VPN) activas todo el tiempo.

Estructurar el acceso evitando que todo dispositivo pueda tener el mismo nivel de acceso, esto mediante la segmentación de redes y asignación de accesos por área, persona y necesidades de información entre otros puntos.

Entrenamiento permanente y simulacros de vulnerabilidad para los empleados, así como la capacitación en el uso de apps y mejores prácticas a TODO el personal. TODO…

Enfoque para empleados ajenos al área de tecnología

Lo primero es la sensibilización del ENORME riesgo que representan sus dispositivos personales en el trabajo. Debe de quedar claro que si pueden acceder a su información esta también puede quedar expuesta.

Debe de reforzarse la obligación estricta y sin excepciones de puestos, nivel, antigüedad, etc. De cumplir con los protocolos y reglas de BYOD, o simplemente no poder usar sus dispositivos.

Es importante la separación de la vida personal y la laboral, a nivel idealmente de 2 tipos de acceso y espacio lógico y/o físico en el mismo dispositivo entre estos 2 tipos de perfil.

Finalmente, perder el miedo a represalias y reportar cualquier incidente de inmediato, porque el silencio ante un dispositivo hackeado o robado puede complicar el nivel del peligro, hasta ser un desastre total.

Conclusión: ¿qué pasa si no se hace nada?

A nivel reputacional, un solo empleado puede provocar una catástrofe reputacional, puede tirar el precio de una acción, puede hacer que se pierda la confianza del mercado, de los clientes leales y de socios del negocio.

Se pueden tener multas millonarias por parte de entidades regulatorias por incumplimiento de normas de protección de datos, tales como GDPR u otras en cada país de forma adicional.

Los principales responsables de la empresa quedan expuestos a demandas y daños que llegan a lo penal.

Finalmente, BYOD no debe de entenderse como algo “malo” simplemente si está bien gestionado puede ser lo más ágil, lo que simplifica la curva de aprendizaje de los colaboradores, generando agilidad, flexibilidad y un ahorro enorme a la empresa, pues no tiene que costear a los dispositivos que lo empleados han pagado por su cuenta. Todo puede ser un ganar/ganar con el control adecuado y la prevención para evitar un desastre.

Deja un comentario