Desde hace años, Bring Your Own Device (BYOD) se mantiene como una de los retos (y oportunidades) a los que se enfrentan las compañías cuando se trata de manejar de forma efectiva y segura los dispositivos informáticos. Estas siglas, que significan literalmente “Trae Tu Propio Dispositivo”, hacen referencia al uso de los dispositivos personales de los empleados para desarrollar actividades relacionadas con la empresa.

Se trata de una política que las empresas pueden establecer o no, es decir, pueden dictar políticas de seguridad restrictivas en este sentido que prohíban el uso de cualquier tipo de dispositivo personal para trabajar, o bien políticas en las que se permitan este tipo de equipos con mayor o menor tolerancia. De esta decisión dependerá la estrategia global de ciberseguridad de toda la compañía.

Pero hay casos en los que, de forma ajena a la compañía, se ha tenido que promover el uso de dispositivos personales aunque no estuviese así planificado. Por ejemplo, derivada de la pandemia de COVID-19 muchas compañías no han tenido más remedio que permitir que sus empleados trabajasen de forma remota con sus dispositivos personales. Un desafío al que se han tenido que enfrentar durante los últimos meses empresas de todos los tamaños, desde corporaciones hasta pymes.

En cualquier caso, BYOD como tal se trata de una filosofía que tiene sus defensores y sus detractores. De hecho, el mercado global de BYOD se espera que alcance los 350 millones de dólares para 2022. Está claro que cuenta con una serie de riesgos de seguridad, si no se establece una estrategia de seguridad adecuada. Pero con una serie de medidas de seguridad apropiadas pueden reducirse esos riesgos. Vamos a analizar estos dos ámbitos.

Principales riesgos del BYOD

seguridad BYODLa implementación de BYOD cuenta con ciertas ventajas, como puede ser el incremento de la satisfacción o productividad de los empleados Uso de soluciones en la nube y virtualización, mayor flexibilidad a la hora de acceder a la información y flexibilidad horaria o reducción de costes. Pero estas ventajas pueden verse superadas por los riesgos si no se lleva a cabo de una forma ordenada y segura.

Para empezar, el uso de dispositivos personales, ya sean ordenadores de sobremesa, portátiles, smartphones, tablet o cualquier otro equipo, conlleva obviamente que se entremezclen datos personales y corporativos en un mismo lugar, lo que puede suponer un riesgo en sí mismo. Por otro lado, es más difícil para los departamentos de seguridad controlar la protección de esos dispositivos o instalar soluciones de seguridad en ellos.

  • Falta de control y visibilidad. Los departamentos de TI no pueden saber cuántos dispositivos se están conectando, perdiendo control sobre la red y datos corporativos. Tampoco se tiene visibilidad del estado de esos dispositivos, por ejemplo, si cuentan con las debidas actualizaciones de seguridad que protegen de potenciales vulnerabilidades.
  • Shadow IT. Este es uno de los riesgos crecientes, se trata de la tecnología y soluciones fuera del ámbito, y conocimiento, del departamento de IT que son usadas para tareas corporativas. Estos productos informáticos pueden ser inseguros y poner en riesgo los datos corporativos.
  • Oportunidades para el robo o filtraciones de datos. El hecho de que los empleados usen dispositivos potencialmente mal asegurados para descargar datos corporativos es un potencial peligro, ya que quedarán almacenados en equipos desprotegidos y que pueden ser comprometidos en ataques de malware.
  • Pérdida o robo del dispositivo. El riesgo de que los dispositivos sufran algún tipo de daño dentro o fuera de la oficina es alto. Para evitar las graves consecuencias que esto puede causar, el cifrado es vital, y los dispositivos personales no suelen tener este tipo de medidas.

Guía para securizar BYOD

A pesar de que la mayoría de las empresas cuentan con algún tipo de medida o restricción en este sentido, dos de cada tres empleados usan sus dispositivos en el lugar de trabajo. Es decir, que los usan para acceder a recursos corporativos aunque no esté permitido. La falta de comunicación de las buenas prácticas en este sentido puede ser uno de los problemas.

En este sentido, el primer paso es crear unas políticas claras al respecto de las prácticas BYOD, y comunicarlas a todos los miembros de la empresa. Entre ellas, el hecho de establecer contraseñas robustas, aplicar las actualizaciones de seguridad o el uso de VPN, entre otras.

Se pueden elaborar guías de qué tipo de dispositivos se pueden usar y en qué condiciones, así como configuraciones de seguridad necesarias. Se puede incluso realizar un inventario de los dispositivos que pueden acceder o no a los recursos corporativos, y ofrecer permisos.

En línea con la comunicación, es importante formar y concienciar a los empleados en buenas prácticas de ciberseguridad a nivel general y en términos de BYOD en particular, para que entiendan los riesgos a los que pueden exponerse tanto ellos como la empresa.

En cuanto a soluciones tecnológicas, es interesante establecer controles de gestión de acceso a los recursos corporativos. En este sentido, los modelos de seguridad Zero Trust pueden ser una buena opción para proteger los datos allá donde se encuentren.

Las soluciones cloud y de virtualización o escritorio remoto pueden ser una buena solución también para establecer políticas y controlar los accesos y la información.

Por otro lado, es vital el cifrado de todos los datos. Son interesantes también las soluciones que permiten bloquear o incluso eliminar los datos de los dispositivos de forma remota.

En importante asimismo realizar auditorías periódicas de las políticas de seguridad en general y las de BYOD en particular.

A la hora de establecer las políticas de Bring Your Own Device hay que tener en cuenta también las propias características de la compañía. De su buena implementación dependerá no solo la seguridad sino también la productividad de la propia empresa.

NOTA: hemos preparado esta infografía en la que te resumimos todo esto de manera más visual ;-).