Cómo asegurar el fenómeno BYOD

Juan Ranchal - 2015-10-29


Cómo asegurar el fenómeno BYOD

El fenómeno Bring Your Own Device o BYOD ha dejado de ser una moda pasajera y se está convirtiendo en una política estándar e incluso en un requisito para nuevas contrataciones.


Las políticas que permiten a los empleados traer sus propios dispositivos al trabajo tienen múltiples ventajas pero también retos relativos a la seguridad y gestión de múltiples dispositivos que se conectan a las redes empresariales y tienen acceso a los datos corporativos.

No todas las empresas están preparadas para BYOD ni cuentan con departamentos TI especializados, dejando a los mismos empleados la actualización de firmware, sistemas operativos y aplicaciones, con el peligro que ello conlleva.

El Instituto Nacional de Seguridad, INCIBE, ha revisado el fenómeno señalando los problemas asociados al uso de dispositivos móviles en entornos industriales y ha publicado una serie de pautas para solventarlos, que son comunes a otros tipos de empresas y que te recomendamos revisar:

  • Soporte para multitud de plataformas: Es importante disponer de soporte técnico para la mayor cantidad de plataformas utilizadas por los empleados necesarias para desarrollar su trabajo. Este apoyo nos podrá garantizar una seguridad y una productividad alta, es decir, conocer las tecnologías más utilizadas por nuestros empleados y permanecer documentados sobre las mismas. En los sistemas de control industrial este problema es solucionado sobre todo por los proveedores que proporcionan los dispositivos con el software asociado a las organizaciones.
  • Asegurar los servicios de mensajería: Usar una contraseña adicional para acceder a documentos de trabajo en dispositivos móviles o utilizar un cifrado en el dispositivo, de tal forma que los datos de la empresa estén a salvo en caso de robo o de un intento de intrusión al dispositivo. Tanto en sistemas de control como en entornos TI los datos incluidos en correos pueden contener información sensible para la organización y por ello es necesario protegerla de alguna forma impidiendo que se produzcan fugas de datos o pérdida de información.
  • Control de accesos: Mediante tarjetas de identificación personalizadas (PIV, Personal Identity Verification) para la realización de una verificación hardware y no solo software. El acceso a ciertas zonas dentro de un sistema de control puede estar restringido a la mayor parte de los empleados de la organización por tratarse de una zona crítica, donde se realizan tareas importantes que mantienen el buen funcionamiento del sistema o donde se almacena información relevante. Impidiendo el acceso se controlan las posibles fugas de información.
  • Control de dispositivos externos: La mayoría de los sistemas operativos móviles poseen capacidades para que los dispositivos que los usan puedan ser rastreados, como por ejemplo, el administrador de dispositivos de Android o find my iphone en iOS. El uso de esta funcionalidad sería perfecta para controlar si los dispositivos pertenecientes a la empresa, los únicos que deberían tener acceso a la red son los únicos conectados o también hay dispositivos no controlados… La utilización de un inventario de activos y el uso de una aplicación específica para cada dispositivo utilizado en los sistemas de control permitiría controlar los dispositivos de la empresa cuando se conectan en la red interna.
  • Eliminación o bloqueo de aplicaciones con geolocalización: Una buena práctica es el bloqueo del GPS o de aplicaciones que intenten activarlo. Más aún si los empleados trabajan en una infraestructura crítica, para evitar el posicionamiento de los sistemas críticos. En el caso de los entornos industriales, esta tarea resulta bastante compleja por la extensión que puede llegar a poseer la zona de planta, pudiendo tener que cubrir muchos kilómetros dependiendo de las características del sistema.
  • Concienciación a los empleados: Impartir pequeñas formaciones dentro de la organización para que los usuarios sean conscientes del peligro que supone instalar aplicaciones de terceros o navegar por ciertas páginas desde su dispositivo móvil si luego va a conectarse a una red dentro de la organización con su dispositivo personal. Esta práctica es muy importante si queremos seguir las pautas que se están comentando ya que si los propios empleados se dan cuenta de la importancia de la ciberseguridad en sus entornos serán más conscientes de lo que implicaría un problema en el sistema.
  • Departamento para administrar los dispositivos o externalizar el servicio: Si una organización desea incluir el BYOD es necesario que disponga de suficientes empleados dentro del departamento correspondiente que se haga responsable de la gestión y seguimiento de los dispositivos. Si no existe un volumen adecuado de miembros en el departamento para cubrir estos esfuerzos, el servicio tendría que ser externalizado (servicio externo de TI o en la nube). Como ya comentamos en uno de los puntos anteriores, el control de los dispositivos en sistemas de control industrial es una ardua tarea por tener que manejar en ocasiones áreas muy amplias. Por ello, es necesario disponer de un equipo de profesionales que puedan administrar y controlar todos los dispositivos, o al menos la inmensa mayoría de ellos, dentro de la organización, ya sea en un entorno TI o TO.
  • Saber cuándo decir no: Los dispositivos personales no son adecuados para todos los entornos y en el caso de los sistemas de control industrial el acceso ha de estar restringido por la criticidad que tienen sus redes.
  • Control de parches y actualizaciones: Es complejo llevar un control de parches y actualizaciones de las aplicaciones instaladas en los dispositivos de los empleados, por lo que antes de establecer cualquier conexión con algún entorno de la organización ha de actualizarse el dispositivo para verificar que las actualizaciones de seguridad se aplican. Incluir en la política de parches la actualización de los dispositivos móviles que acceden a la red es de vital importancia. Los sistemas de control industrial trabajan con entornos diferentes a los que podríamos encontrarnos en TI, pero podrían compartir vulnerabilidades en el sistema operativo o en el software de los dispositivos móviles que pueden afectar luego a los propios sistemas operativos o aplicaciones de los dispositivos del sistema de control.

Tras repasar las problemáticas que origina llevar tu propio dispositivo al trabajo y algunas buenas prácticas que permitirían el BYOD dentro de una organización, INCIBE concluye que esta práctica sólo podría llevarse a cabo en redes poco críticas, como algunas de TI donde hay redes de compartición de información entre empleados; sin embargo, en redes tan críticas como las de los sistemas de control industrial no es recomendable su uso.

Recordemos que son múltiples los analistas y consultoras que alertan de los problemas de seguridad que conlleva el BYOD y empresas como IBM bloquean su red interna y una buena cantidad de servicios principalmente de almacenamiento y servicios de correo al considerarlos una amenaza corporativa.

Fuente: muyseguridad.net









ENCONTRANOS EN


Últimos Artículos

Gestión y Negocios

Transformación Digital y tecnológica en las PYMES.

- 2017-12-09


Transformación Digital y tecnológica en las PYMES.

La transformación digital y tecnológica se refiere al salto que debe dar una empresa para mejorar su organización a través de la tecnología. Es un cambio estructural y cultural que debe realizar para adaptarse y mejorar sus procesos.

Capital Humano

Identificando los actores en Equipos de TI

2016-11-14


Identificando los actores en Equipos de TI

Los equipos de IT son una complejidad en sí mismos. Su estructura, tanto grupal como individual responde a un perfil que se diferencia claramente de otras actividades laborales. En principio cuando se habla de IT no se comprende muy bien lo abarcativo del concepto.

Y justamente aquí radica uno de los problemas que enfrentan las empresas para capacitar a  los profesionales de este área, sobre todo cuando hacemos referencia a roles de  Liderazgo y Coordinación de equipos de trabajo.

Marketing 2.0

Conoce todo sobre el engagement en redes sociales

Milyner Montaño - 2016-11-14


Conoce todo sobre el engagement en redes sociales

Uno de los retos más preciados y un poco engorroso de lograr para cualquier marca en redes sociales es  el poder alcanzar y lograr un buen grado de engagement, fidelidad o compromiso por parte de sus seguidores. Sin embargo, para comenzar este increíble tema, es imprescindible conocer el significado para que puedas poder aplicarlo de la mejor manera para aumentar las interacciones de tus clientes con tu marca.

Infraestructura

Pasos para construir un data center

Enrique Rico - 2016-07-28


Pasos para construir un data center

Para quien no lo sepa, un data center (centro de datos) es un espacio habilitado para almacenar los recursos de hardware necesarios para el almacenamiento de datos, o sea, los servidores, pero también toda una serie de complementos que permiten garantizar la seguridad y buen funcionamiento de los mismos.