.webp)
BYOD y Equipos móviles: estrategias para salvaguardar su lugar de trabajo digital
Hubo un tiempo en que el único lugar donde se podía usar una computadora para trabajar era en la oficina. Ser dueño de una computadora era caro y no muy conveniente. Continuar el trabajo en casa era difícil, obligando a los empleados a quedarse hasta tarde en la oficina o continuar al día siguiente. Incluso para aquellos que podían pagar una computadora personal, acceder a todos los datos almacenados en la computadora de la oficina desde casa era un desafío, lo que dificultaba realizar cualquier trabajo.
Sin embargo, las computadoras portátiles y las computadoras personales se han vuelto más accesibles desde entonces, y con la llegada de teléfonos inteligentes cada vez más potentes, un dispositivo que alguna vez se usaba simplemente para llamadas y mensajes de texto ahora ofrece una asombrosa variedad de funcionalidades. Algunos teléfonos inteligentes incluso rivalizan con las computadoras portátiles en potencia bruta y especificaciones. Este avance tecnológico, aunado al auge de los smartphones, ha hecho que sea más fácil que nunca seguir trabajando desde casa o sobre la marcha. Este cambio ha traído tanto beneficios como desafíos para las empresas y los profesionales de ciberseguridad.
Y con esta tendencia cada vez más frecuente en todo el mundo desde la pandemia de COVID-19, es importante entender cómo afectan estas políticas al lugar de trabajo.
El Auge de BYOD: Una Espada de Doble Filo
BYOD, o Traiga su propio dispositivo, ocurre cuando se le permite usar el dispositivo de su propiedad personal, en lugar de estar obligado a usar un dispositivo proporcionado oficialmente por la compañía. Permite a los empleados activar sus teléfonos inteligentes existentes en la red corporativa y llevar dispositivos de propiedad personal al trabajo, utilizando esos dispositivos para acceder a información y aplicaciones privilegiadas de la empresa.
Permitir que los empleados usen sus propios dispositivos puede ser tanto una bendición como una maldición para las empresas, así que veamos algunos aspectos positivos y negativos.
Impactos positivos
- Aumento de la productividad: BYOD permite a los empleados trabajar desde cualquier lugar, lo que mejora la productividad
- Ahorro de costos: Las organizaciones ahorran en costos de hardware al aprovechar los dispositivos personales de los empleados. No es necesario comprar computadoras portátiles o teléfonos inteligentes adicionales.
- Satisfacción de los empleados: Los empleados aprecian la flexibilidad y autonomía que ofrece BYOD. Contribuye a la satisfacción laboral y al equilibrio trabajo-vida.
Impactos negativos
- Riesgos de seguridad: Los dispositivos BYOD introducen riesgos de seguridad. Los empleados pueden descargar aplicaciones no seguras, conectarse a Wi-Fi público sin protección y comprometer inadvertidamente los datos confidenciales.
- Fuga de datos: Los dispositivos personales pueden carecer de medidas de seguridad sólidas, lo que los hace susceptibles a fugas de datos. Los dispositivos robados o perdidos representan una amenaza significativa.
- Desafíos de políticas: La elaboración de políticas BYOD efectivas es compleja. Equilibrar la seguridad con la comodidad del usuario requiere una cuidadosa consideración.
Estas políticas han tenido un impacto positivo en las formas de trabajo de los empleados y en los bolsillos de las empresas, pero hoy nos centraremos en los retos que estos cambios han traído a los profesionales de ciberseguridad.
Estas nuevas políticas también han aumentado la superficie de ataque y han disparado el número de posibles puntos de entrada para los ciberdelincuentes, ya que los dispositivos personales a menudo carecen de protocolos y políticas de seguridad sólidos. Estos dispositivos también son más susceptibles de perderse, ser robados o hackeados, y dado que se trata de dispositivos propios de los empleados, la mayoría de las veces, también vienen con lo que puede ser considerado por la empresa como aplicaciones no autorizadas. Si estos ya están comprometidos por el malware, también puede comprometer la red y los activos de la compañía. También puede complicar el cumplimiento de las regulaciones de protección de datos, ya que los dispositivos personales pueden no cumplir con los estándares de seguridad requeridos.
Entonces, ¿cómo pueden los ingenieros de seguridad abordar estos desafíos? Hay múltiples maneras, y pasaremos por algunas, pero antes, es importante tener en cuenta que estos desafíos también han traído innovación a la industria. Se han creado nuevas tecnologías para facilitar el trabajo de salvaguarda de los datos y activos de la empresa, y esta no es una lista exhaustiva. Animo al lector a investigar cuál es la mejor solución para sus necesidades específicas.
Navegando por el panorama BYOD: Políticas y tecnologías
Antes de discutir qué políticas y tecnologías podemos implementar, primero abordemos una parte importante de la tendencia BYOD: los usuarios. No importa cuán buenas sean nuestras políticas o cuán robustas sean nuestras implementaciones de tecnología; si los usuarios no están bien educados sobre los riesgos, estas implementaciones pueden tener no solo en sus dispositivos sino en la empresa, las políticas y tecnologías que implementamos terminarán siendo inútiles. La capacitación en concientización sobre seguridad y hacer del usuario un participante activo en la seguridad de la organización son necesarios.
Políticas:
- Políticas BYOD integrales: Las organizaciones están implementando pautas BYOD detalladas que describen el uso aceptable, los requisitos de seguridad y las responsabilidades tanto de los empleadores como de los empleados.
- Registro y aprobación de dispositivos: Las empresas pueden exigir a los empleados que registren sus dispositivos y se aseguren de que cumplan con los estándares mínimos de seguridad antes de acceder a la red.
- Seguridad de confianza cero: Este enfoque asume que ningún dispositivo o usuario es inherentemente confiable y requiere una verificación continua antes de otorgar acceso a los recursos.
- Protecciones de privacidad: Para abordar las preocupaciones de privacidad, las empresas están adoptando políticas que delinean claramente los límites entre los datos personales y laborales en los dispositivos.
- Autenticación Multi-Factor (MFA): MFA agrega una capa extra de seguridad al requerir un segundo factor de verificación, como un código enviado a un teléfono, además de una contraseña.
- Segmentación de redes: Separe el tráfico BYOD de los sistemas críticos para minimizar el riesgo.
Tecnologías:
- Administración de dispositivos móviles (MDM): Las soluciones MDM permiten a las organizaciones administrar y proteger de forma remota los dispositivos móviles que acceden a sus redes. Estas soluciones pueden aplicar políticas de seguridad, realizar limpiados remotos y administrar aplicaciones, asegurando que los dispositivos cumplan con los estándares de seguridad corporativos.
- Redes Privadas Virtuales (VPN): Las VPN se han vuelto cruciales para asegurar la transmisión de datos entre dispositivos personales y redes corporativas, cifrando los datos para protegerlos contra la intercepción.
- Encapsulación: Esta tecnología crea un espacio de trabajo virtual seguro en un dispositivo personal, aislando los datos de trabajo de la información personal.
- Soluciones de seguridad basadas en la nube: Las plataformas de seguridad basadas en la nube pueden ofrecer una protección más centralizada y escalable para entornos BYOD.
