• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Retos de seguridad para las empresas a partir de BYOD
 

Retos de seguridad para las empresas a partir de BYOD

on

  • 558 views

El fenómeno de que los empleados de una empresa utilicen sus propios dispositivos para cumplir con las tareas diarias del trabajo se ha consolidado en los últimos meses y hoy se conoce como la ...

El fenómeno de que los empleados de una empresa utilicen sus propios dispositivos para cumplir con las tareas diarias del trabajo se ha consolidado en los últimos meses y hoy se conoce como la tendencia BYOD (por las palabras en inglés Bring Your Own Device ).
Estas nuevas tendencias traen asociados riesgos para la seguridad de la información corporativa; lo cual lleva a que las áreas encargadas de estos temas planteen soluciones de acuerdo a la realidad de la empresa y procurando evitar conflictos con el desarrollo tecnológico.
El objetivo de este artículo es presentar cuáles son las principales características del BYOD . Se tratará la realidad del fenómeno en la región y el reto que representa para la gestión de la seguridad en las empresas. Finalmente se enunciarán una serie de consejos que se deberían seguir para la implementación de políticas de BYOD, garantizando siempre la seguridad de su información.

Statistics

Views

Total Views
558
Views on SlideShare
557
Embed Views
1

Actions

Likes
2
Downloads
23
Comments
0

1 Embed 1

https://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Retos de seguridad para las empresas a partir de BYOD Retos de seguridad para las empresas a partir de BYOD Document Transcript

    • Retos de seguridad para lasempresas a partir de BYODH. Camilo Gutiérrez AmayaEspecialista de Awareness & ResearchOctubre 2012
    • Algunas cifras sobre BYOD .................................................... 4Cambio de paradig ma en la infraest ruc t u ra ....................... 7Gestión de riesgos ................................................................... 8Ho me working .......................................................................... 9Disposición de la infor mación ............................................... 9Gestión de aplicaciones ......................................................... 9
    • El fenó meno de que los em pleados de una empresa utilicen sus propios dispositivos paracu mplir con las tareas diarias del trabajo se ha consolidado en los úl ti mos meses y h oy seconoce co mo la tendencia (por las palabras en inglés ). La grandependencia que se ha desarrollado por la conec tividad y el acceso a la infor m ación encualquier lugar y mo men t o, co mbinado con los cada vez más livianos y por tablesdisposi tivos personales, ha dado un gran i mpulso a este fenó meno.Pero estas nuevas tendencias traen asociados riesgos para la seguridad de la infor macióncorpora tiva; lo cual lleva a que las áreas enca rgadas de estos te mas plan teen solucionesde acuerdo a la realidad de la empresa y procurando evi tar conflic tos con el desarrollotecnológico.El obje tivo de este ar tículo es presen tar cuáles son las principales carac terís ticas de latendencia . Se tra tará la realidad del fenó meno en la región y el re to que represen taeste fenó meno para la gest ión de la seguridad en las empresas. Final men te se enunciaránuna serie de consejos que debería seguir una empresa que esté iniciando o revisando lai mple men tación de polí ticas de BYOD en su co mpañía, garan tizando siempre la seguridadde su infor mación.Una de las carac terís ticas principales que aprovechan los usuarios de sus disposi tivosm ó viles, además de su por tabilidad, es la facilidad que ofrecen para el trabajocolabora tivo. Esto lo hacen, mayori taria men te, apoyados en el creci mien t o y lasinnovaciones que brindan las redes sociales y las tecnologías de conec tividad.Precisamen te la convergencia en el uso y aprovecha mien t o de todas estas carac terísticasha hecho que se consolide lo que se conoce co mo tendencia BYOD: la incorporación dedisposi tivos tecnológicos de los empleados en el ámbi t o laboral para cu mplir con last a reas propias del quehacer profesional . Sin lugar a dudas, este fenó meno plan tea unaserie de riesgos y opor t u nidades para las empresas.En este escenario, las compañías deberían aprovechar las ven tajas que ofrece adop taresta tendencia, y a su vez t o mar todas las medidas preven tivas para garan tizar l apro tección de su infor mación. Por ejemplo, las empresas mejorarían la product i vidad siconsideraran que para los empleados puede ser mucho más có modo t rabajar en sus
    • propios disposi tivos, pudiendo llevarlos consigo y de esta for ma responder rápida men te alas novedades que se presen ten . De igual manera, en ese con tex to es esencial que lascorporaciones cuiden la exposición de infor mación sensible para evi tar la pérdida o fugade la mis ma. .En agosto 2012, ESET Latinoa mérica realizó una encuesta sobre esta te má tica.Participaron en ella personas, en su mayoría, en t re los 21 y 30 años (43.9%) y en t re los 31 y50 años (32.8%). De los par t icipan tes, la mi tad trabaja en pequeñas empresas, el 20% enorganizaciones medianas y el 30% restan te en co mpañías más grandes, con más de 100empleados.Algunos de los resul tados dan cuen ta los disposi tivo s personales que más se ut ilizan en ellugar de trabajo son las com p u tadoras por tá tiles y los teléfonos in teligen tes, ade más delas table tas que tienen una par ticipación al ta den t r o de estos disposi tivos. A pesar que losdisposi tivos USB para al macenar da tos no están incluidos estric ta men te en laca tegorización de BYOD, en la encuesta han sido elegidos por el 83.3% de los consul tadosco mo disposi t ivos para manejar infor mación corpora tiva.
    • En relación al acceso de infor mación corpora tiva, cerca de la mi tad de los encuestadosafir mó u tilizar redes WiFi, mien t ras que un poco más de la tercera par te accede a travésde una red cableada provista por la organización. Co mo se mencionó los disposi tivospersonales se convier ten en una herra mien ta para desarrollar las tareas laborales, alpun t o que el 58,3% de los encuestados indicó que su u tilización facili ta sus labores.Como par te de las tareas más relevan tes que se realizan con los disposi tivos personales seencuen t ra la revisión del correo elect rónico corporat i vo y el apoyo a las tareas del trabajo.De las personas que u tilizan los disposi tivos personales en la oficina, el 55% los usaúnica men te para ac tividades personales que no están relacionadas con el trabajo. Quedaclaro que este tipo de usos ta mbién tiene co mo cont rapar tida la distracción por par te delempleado.
    • Respec to al uso de la información del trabajo, más de la mi tad de los encues tados laal macena en su disposi tivo personal y cerca de un 20% la revisa remo ta men t e singuardarla en su disposi tivo; apenas una quin ta par t e dice eli minarla una vez ter minado elt rabajo. Estas cifras evidencian una tendencia que debería ser a tendida por las empresas,y es que los usuarios u tilizan sus disposi tivos personales para guardar infor macióncorpora tiva.Uno de los da tos más in teresan tes tiene que ver con que cerca de la mi tad de losencuestados no maneja la infor mación de la empresa de for ma cifrada en su disposi tivopersonal y el 15,6% dice no saber có mo se maneja la infor mación. Sola men te la tercerapar te reconoce manejar la infor mación cifrada. Tan t o la decisión de u tilizar la infor macióncifrada co mo el conoci mien t o por par te de los usuarios den t ro de la red corpora tiva, soncuestiones de impor tancia a tener en cuen ta por par te de quienes se encargan degestionar la seguridad de la infor mación de una co mpañía.Final men te, en menos de la mi tad de las empresas los encuestados reconocieron queexisten polí ticas claras para el manejo de la infor mación , mien t ras que una tercera par tede los encuestados reconoció lo con t rario . La cuar t a par te restan te no conoce si existenpolí ticas de este tipo.
    • Al revisar los resul tados mencionados an terior men te se puede inferir que se está n dandoca mbios en la for ma en que se maneja la infor mación corpora ti va. Estas nuevastendencias en las organizaciones lleva n a que los depar ta men t os de TI deban ca mbiar laconcepción del manejo de sus recursos para garan ti zar la seguridad de los da t os de laempresa.Estas nuevas for mas de ma nejar la infor mación hacen que las organizaciones pres tenm ucha más atención a la for ma en que los usuarios se conec tan a las redes de la empresapara manipular la infor mación. Es decir, buscan garan tizar la seguridad, los alt os nivelesde rendi mien to y el con t r ol adecuado para los diferen tes tipos de disposi tiv os que sepodrían conec tar para com par t ir infor mación.Esta nueva concepción alrededor del có mo se accede a la infor mación hace que las áreasde TI se preocupen cada vez menos por la inf raes tru ctura física a la vez que se reducen loscos tos relacionados a la adquisición de disposi tivos co mo teléfonos celulares y por tá tiles .Sin embargo, ta mbién plan tea nuevas preocupaciones ya que se generan nuevos riesgos
    • que deben ser gestionados adecuada men te para garan tizar la seguridad de lainfor mación.Debido a que en este momen t o la tendencia se está consolidando y para muchasorganizaciones aún puede ser un te ma que consideren ajeno, se encuen t ra poca claridaden las empresas para el manejo de la infor mación. De esta manera, se dan casos en losque no hay ninguna posición respec to de la u tilización de disposi tivos personales en ellugar de trabajo, y en muchos casos op tan por cerrar cualquier for ma de in teracción osimple men te lo dejan abier t o.Todo este ca mbio de concepción i mplica que las polít icas de seguridad de las co mpañías seempiecen a enfocar en mayor medida en la efec tividad de la seguridad de las redes, concon t roles o segui mien t os sobre los empleados y las aplicaciones que se u tilizan y noexclusiva men te sobre los disposi tivos.Como se ha mencionado, la adopción de BYOD i mplica para las organizaciones un cambioen la for ma de gestionar la seguridad de la infor mación en una amplia variedad dedisposi tivos, aplicaciones y siste mas opera tivos. A con tin uación se mencionan algu nos deestos re tos.Lo pri mero para garan tizar la seguridad de la infor m ación es una adecuada gestión deriesgos la cual par te del conoci mien t o de los ac tivos de infor mación con los que cuen ta laempresa. Los análisis de riesgos deben pa r ti r de la clasificación de la infor mació n con elobje tivo de establecer, por eje mplo, cuáles son los da tos más sensibles que requierenmayores niveles de pro tección, qué infor mación se puede acceder desde disposi tivospersonales, qué infor mación puede accederse por fuera de la red de la empresa y a quéinfor mación se debe restringir el acceso.A par tir de este análisis se llega a establecer cuáles son las medidas de con t rol másadecuadas para garan tizar la seguridad de infor mación, que van desde disposit i vos omedidas de carác ter tecnológico (soluciones an tivirus, DLP, VPN, Fire wall, IDS, IPS, etc.)has ta el estableci mien t o de polí ticas para la gestión de disposi tivos, donde se de ter minaqué tipo de disposi tivos y aplicaciones es posible u tilizar. Además, medidas com o los
    • con t roles de acceso a la red (NAC) pueden ser de gran ayuda para tener un moni t o reo decó mo se u tilizan los recursos de red co mpar tidos por los empleados.Toda esta gestión de riesgos, debe estar co mple ment ada con un adecuado plan deeducación y concien tización que involucre a todos los niveles de la organización para queconozcan las implicaciones del uso de sus disposi tivos personales, los riesgos a los queestán expues tos y las medidas de seguridad que deben tener en cuen ta.Al ser posible el manejo de infor mación laboral en disposi tivos personales, o t rastendencias co mo la posibilidad de trabajar desde la casa ( tienen un i mpulsoi mpor tan te. Este tipo de tendencias pro mueven que las empresas incluyan en sus análisiso t ro tipo de riesgos y que consideren algunas implicaciones legales que pueden llegar atener. Por eje mplo, a par tir de la manipulación de infor mación laboral en disposi tivos consiste mas opera tivos o aplicaciones Es necesario en to nces que las empresasasignen licencias en los disposi tivos de los empleados o consideren al terna ti vas, co mo poreje mplo el uso de sof t w are libre en estos casos.Si el empleado manipula infor mación de la empresa en su disposi tivo, debe est a r clarocuál será la disposición de la mis ma una vez ter min ada la relación con t rac t ual. Ya que esm u y co mplicado tener la seguridad que está infor m ación será eli minada. Una vez más esnecesario tener claro qué t ipo de infor mación se puede descargar y manipular desdedisposi tivos personales. Ade más, aspectos con t rac t uales co mo la fir ma de acuerdos deconfidencialidad pueden ser co mple men t os que brinden a la empresa herra mien tasadicionales para ac tuar en caso de que la infor mación sea expues ta.Ya se mencionó que uno de los principales re tos para las empresas es la gestión de la grandiversidad de aplicaciones que un empleado puede tener ins talado en su dispositivo. Elre to para las organizaciones se vuelca en tonces en garan tizar que los disposi tivos , at ravés de los cuales se accede a la infor mación , cuen ten con aplicaciones seguras que nopongan en peligro la in tegridad de la infor mación.
    • En esta mis ma línea es necesario que la empresa diferencie el uso que los empleadospuedan tener de los recursos de la mis ma a través de sus disposi tivos personales. Es asíco mo segura men te muchos de los empleados solamen te u tilizarán sus disposi tivos parama nipular infor mación personal. En estos casos la gestión de los recursos de red se vuelvesensible para i mpedir la int r usión ilegal a los siste m as de la co mpañía.Has ta este pun t o se han mencionado los re tos y las ven tajas que esta tendencia tienepara las empresas. De esta for ma, la pregun ta que surge es: ¿Se debe permi ti r o prohibir eluso de disposi tivos personales en el lugar de trabajo para manipular la información de laempresa?La respuesta en este caso t iene que estar precedida de un j uicioso análisis de riesgo. Elresul tado de este análisis le da a las organizaciones el panora ma co mple to de qu éinfor mación maneja y cuáles son las carac terísticas más adecuadas para garan tizar suseguridad.Más allá de si final men te se adop te o no el BYOD en la organización, lo más coheren te esque las organizaciones se preocupen por to mar una pos tura ya que este te ma es unarealidad y lo más peligroso para la infor mación es adop tar una posición indiferen te.Independien te men te de la posición que adop te la em p resa alrededor del BYOD, esnecesario que se to men algunos recaudos para garan tizar la seguridad de su infor mación:  Analizar la capacidad y la cober t u ra que tienen las redes corpora tivas para per mi ti r el acceso de disposi tiv os diferen tes a los de la empresa. El acceso a estos recursos debería estar protegido con credenciales que per mi tan individualizar quién accede y qué tipo de infor mación manipula.  La gestión debe estar basada en roles. El acceso a la infor mación debe ser res tringido de for ma que se garan tice que sola men t e podrá n acceder a la infor mación aquellas personas que real men te lo necesi ten. Esta gestión debe ser precedida de una adecuada clasificación de la información que le permi ta a la empresa conocer todos sus activos de infor mación.
    •  Teniendo en cuen ta que son muchos los disposi tivos en el mercado, es pruden te hacer un análisis de qué tipo de disposi tivos son los más adecuados para manejar la infor mación de la empresa.  Según la diversidad de disposi tivos y aplicaciones que se pueden manejar, se debe redac tar la polí tica que aclaré qué disposi tivos pueden acceder a la infor mación corpora tiva. Ade más, para garan tizar que códigos maliciosos no afec ten los da tos, t o dos los disposi tivos deben con tar con soluciones de seguridad que de tec ten proac tiva men te este tipo de amenazas.  El acceso a través de conexiones WiFi debe ser correcta men te configurado, u tilizando pro t ocolos de cifrado, para garan tizar la seguridad de la infor mación. El t ráfico de disposi tivos BYOD debería ser clara men t e iden tificable, además de tener un con t rol más estricto.  Para permi t ir el acceso rem o t o, el uso de tecnologías como VPN garan tizan la pro tección de la infor mación que se manipul a. Además, debe llevarse un cont rol de quién accede y los cambios que se realiza.  La educación debe ser un pilar i mpor tan te para que todos los usuarios sean conscien tes de los riesgos a los cuales pueden verse expues tos y cuáles son los cuidados que deben tener en cuen ta al manejar la infor mación de la empresa.  Realizar con mayor periodicidad los análisis de riesgos y vulnerabilidades para de ter minar el estado de la empresa an te esta tendencia, ya que la aparición de nuevos disposi tivos o aplicaciones pueden beneficiar o afec tar a las organizaciones.Cuando se habla de BYOD se hace referencia a una tendencia consolidada y an te la cuallas empresas deben hacer un análisis de riesgos para to mar una posición al respec to. Laadopción de esta tendencia por par te de las compañías puede traer grandes beneficiosrelacionados con la disminución de gastos en infraestruc t ura, la co modidad de losempleados para el manejo de la infor mación y por t an to el incre men t o de laproduc tividad. Pero a su vez, enfren ta a la empresa a nuevas amenazas que deben sergestionadas, las principales y quizás las más preocupan tes son la fuga y el acceso noau t o rizado a la infor mación.Es así como las empresas para enfren tar estos re tos deben establecer una mezcla en t repolí ticas claras para el manejo de la infor mación y el uso de herra mien tas adecuadas queper mi tan la gestión de la seguridad de la mis ma. Todo esto debería estar alineado con losobje tivos del negocio, pues cualquier decisión que se to me debe estar enfocada en
    • au men tar la produc tividad y hacer más ágiles y seguros los procesos in ternos. Estas dosmedidas se deben co mplemen tar con un adecuado plan de divulgación y educación paraque a todos los niveles de la organización conozcan las restricciones alrededor del manejode la infor mación.