10 Consejos de Seguridad BYOD Esenciales para PYMES
La política de traer su propio dispositivo (BYOD) permite a las empresas grandes y pequeñas equipar a sus empleados con las herramientas que necesitan para ser más productivos, eficientes y flexibles.
Sin embargo, permitir que el personal use sus dispositivos personales para fines de trabajo también conlleva algunos riesgos de seguridad inherentes que podrían comprometer los datos confidenciales de la empresa. Los desafíos tanto para las empresas como para las PYMES radican en identificar y mitigar estos riesgos de una manera que proteja los activos de la empresa sin infringir la privacidad de los empleados.
En la publicación del blog de hoy, resaltaremos las principales preocupaciones de seguridad asociadas con BYOD y qué deben hacer las PYMES para resolverlas.
¿Qué es BYOD?
Como sugiere su nombre, BYOD es la práctica de permitir que los empleados usen sus propios dispositivos para fines de trabajo. En años pasados, muchas empresas solo permitían que el personal usara dispositivos emitidos por la empresa, pero la rápida adopción de teléfonos inteligentes y tabletas en el mercado de consumo significa que, ya sea que las empresas lo quieran o no, casi todos los empleados ahora traen un dispositivo (o dos, o tres ...) con ellos para trabajar. Y es casi inevitable que, en algún momento, estos dispositivos personales se utilicen para fines relacionados con el trabajo o estén conectados a la red de la empresa.
Hoy en día, BYOD no solo se tolera en el lugar de trabajo, sino que se recibe con los brazos abiertos. De hecho, para muchas compañías, los dispositivos de propiedad de los empleados son críticos para las operaciones diarias. De hecho, casi 9 de cada 10 (87 por ciento) empresas dependen de la capacidad de sus empleados para acceder a aplicaciones empresariales móviles desde sus teléfonos inteligentes personales, según un estudio de Syntonic. Además, la tendencia muestra pequeñas señales de desaceleración, ya que Global Market Insights pronosticó que el mercado BYOD podría alcanzar los 366.95 mil millones de dólares en 2022, frente a los 94.15 mil millones de dólares de 2014
Una gran parte del éxito de BYOD es el hecho de que todas las partes se benefician. Al permitir que el personal traiga sus propios dispositivos, las empresas pueden reducir los gastos de TI e impulsar el compromiso de los empleados fuera de la oficina. Mientras tanto, los empleados son libres de hacer su trabajo en el dispositivo de su elección, lo que puede aumentar la satisfacción de los trabajadores y mejorar la productividad. Es una situación de ganar-ganar para todos los involucrados, excepto, quizás, para quien esté a cargo de la seguridad de TI.
BYOD y Los Riesgos de Seguridad de Datos
BYOD ofrece una gama de beneficios, pero no deja de tener sus defectos. Para muchas PYMES, los mayores riesgos giran en torno a perder el control de sus datos. Las empresas son menos capaces de aplicar políticas de seguridad en los dispositivos BYOD, lo que presenta todo tipo de desafíos desde una perspectiva de seguridad.
Por ejemplo, muchas organizaciones han implementado estrictamente políticas con respecto al uso de contraseñas, VPN y software de seguridad y recuperación. Sin embargo, con BYOD, es un desafío tanto desde el punto de vista logístico como técnico garantizar que todos los dispositivos que se traen al lugar de trabajo se adhieran a estas reglas. Como puede imaginar, esto puede aumentar considerablemente el riesgo de una violación de datos o una infección de malware.
Estos son algunos de los riesgos de seguridad clave de BYOD a tener en cuenta:
Pérdida o Robo de Dispositivos: mientras que los dispositivos emitidos por la empresa tienen más probabilidades de ser utilizados en la oficina (o en algún otro lugar de trabajo), los dispositivos personales a menudo acompañan al empleado donde sea que vayan. Esto significa que hay una mayor probabilidad de que el dispositivo se pierda o sea robado, y un mayor riesgo de que los datos de la empresa que están almacenados o accedidos en el dispositivo se vean comprometidos.
Comunicarse en Dispositivos No Protegidos: casi 1 de cada 3 (28 por ciento) propietarios de teléfonos inteligentes en los Estados Unidos no usan un bloqueo de pantalla u otra función de seguridad, según las cifras recopiladas por Pew Research Center (el enlace abre un archivo PDF). Si uno de sus empleados forma parte de esta estadística, existe un alto riesgo de una fuga de datos si el dispositivo cae en las manos equivocadas.
Pérdida de Datos: en caso de pérdida, robo o daño del dispositivo, los datos almacenados localmente pueden perderse si no se realiza una copia de seguridad en tiempo real.
Ataques del Hombre en el Medio: los puntos públicos de Wi-Fi son excelentes para hacer un poco de trabajo, pero también son lugares de caza populares para los delincuentes, quienes comúnmente usan los ataques del hombre en el medio para interceptar los datos que se transmiten a través de las redes públicas. De acuerdo con el estudio del Centro de Investigación Pew mencionado anteriormente, más de la mitad de los adultos en línea utilizan redes de wifi públicas potencialmente no seguras, y 1 de cada 5 de estos usuarios admite el uso de estas redes para enviar información confidencial.
Dispositivos Desbloqueados: popular entre los usuarios avanzados, el jailbreak es el proceso de eliminar las restricciones impuestas por el fabricante de un dispositivo, generalmente para permitir la instalación de software no autorizado. Esto aumenta el riesgo de que un empleado instale inadvertidamente software malicioso en un dispositivo personal. En 2015, KeyRaider robó las credenciales de inicio de sesión de más de 225,000 personas que usaban un dispositivo iOS con jailbreak.
Vulnerabilidades de Seguridad del Software: tradicionalmente, la mayoría de las empresas operaban dentro de un solo ecosistema de software (generalmente un marco de Microsoft / Windows). Ahora, no es raro ver una combinación de Windows, iOS, Android, MacOS y Linux que se utilizan en el lugar de trabajo. Cada sistema operativo (y el software que se ejecuta en él) tiene su propio conjunto único de fallas y vulnerabilidades de seguridad, lo que significa que permitir que el personal use cualquier dispositivo y sistema operativo aumenta el riesgo de una violación de datos o una infección de malware.
Malware: ¿Qué tan diligentes son sus empleados cuando se trata de la protección contra malware? Un dispositivo personal que ha sido infectado con malware puede provocar pérdida de datos, tiempo de inactividad, ransomware o la propagación de malware a otros dispositivos que se conectan a la red de la empresa.
¿Qué podría incluir una política de seguridad de BYOD?
Para mitigar los riesgos descritos anteriormente, es importante tomarse el tiempo para diseñar una política de seguridad BYOD que funcione para las necesidades de su negocio, así como para las de sus empleados. Los detalles de la política variarán de un negocio a otro, pero pueden incluir:
1. Hacer contraseñas obligatorias en todos los dispositivos BYOD
Evite el acceso no autorizado a los datos de la empresa mediante el uso de contraseñas en todos los dispositivos BYOD. Las contraseñas deben ser largas, únicas y aleatorias. Para obtener más información, consulte la publicación de nuestro blog sobre cómo crear y almacenar contraseñas de forma segura.
2. Creando una lista negra de aplicaciones prohibidas
La inclusión en listas negras es el acto de prohibir la instalación de ciertas aplicaciones en dispositivos BYOD que se utilizan para fines de trabajo. Esto generalmente incluye aplicaciones que se consideran riesgos de alta seguridad, como compartir archivos y aplicaciones de redes sociales. Según Appthority, las tres aplicaciones principales que figuran en la lista negra de empresas son Facebook Messenger, WickR Me y WhatsApp Messenger en Android; y Facebook Messenger, WhatsApp Messenger y Tinder en iOS.
La forma más sencilla de incluir en la lista negra las aplicaciones es utilizar una plataforma de administración de dispositivos móviles como VMware o AirWatch, que permite a los administradores de TI proteger y aplicar políticas fácilmente en los dispositivos inscritos. Sin embargo, se puede considerar que una lista negra infringe el uso del propietario de su propio dispositivo, por lo que deberá considerar dónde dibuja la línea con respecto a la privacidad antes de incorporar esto a su política de seguridad BYOD.
3. Restricción al acceso de datos.
Una de las formas más efectivas de administrar los riesgos de seguridad de TI es adoptar el principio de privilegio mínimo tanto en los dispositivos BYOD como en los de la empresa. Este principio significa esencialmente que un usuario puede acceder solo a los datos y al software necesarios para realizar su trabajo. Por ejemplo, un miembro de su equipo de servicio al cliente probablemente no debería tener el poder de instalar nuevo software en su computadora. La restricción del acceso puede reducir los efectos de ciertos tipos de malware y limitar las consecuencias en caso de una violación de datos.
4. Invertir en software antivirus confiable para PC y dispositivos móviles
Como hemos discutido en el pasado, a los autores de malware les encanta dirigirse a las PYMES. Dado que los programas maliciosos cuestan a las pymes un promedio de $ 68,000 en 2017, es esencial que las empresas de todos los tamaños se aseguren de que los dispositivos BYOD estén protegidos con un software antivirus confiable. Tener una solución que pueda identificar y detener las amenazas de malware antes de que puedan realizar cambios en el dispositivo es vital para proteger los datos de misión crítica y evitar el tiempo de inactividad. Si está buscando una solución antivirus probada y un equipo de servicio al cliente que se comprometa a proporcionar la mejor asistencia, no dude en probar Emsisoft Anti-Malware o Emsisoft Mobile Security.
5. Copia de seguridad de los datos del dispositivo
Una política BYOD bien pensada puede ayudar mucho a minimizar el riesgo de una brecha de seguridad, pero en el caso de que algo logre escapar de sus defensas, debe implementar un proceso para restaurar sus datos a su estado anterior. Una estrategia de copia de seguridad integral garantiza que cualquier dato almacenado localmente en un dispositivo BYOD pueda recuperarse rápidamente, incluso si el dispositivo es robado o perdido, o si la información está dañada.
6. Mantener todo el software actualizado.
Como se señaló, muchos ataques se basan en explotar vulnerabilidades de seguridad en una pieza de software. Para mitigar este riesgo, las pequeñas y medianas empresas deben asegurarse de que el sistema operativo y las aplicaciones instaladas en los dispositivos de sus empleados estén actualizados. Siempre instale el último parche cuando reciba una alerta y habilite las actualizaciones automáticas siempre que sea posible.
7. Hacer cumplir el uso de la aplicación de limpieza remota
Como su nombre lo indica, una limpieza remota es una función de seguridad que permite a una persona autorizada eliminar datos de forma remota desde un dispositivo. Dependiendo del software utilizado, un borrado remoto puede devolver el dispositivo a la configuración de fábrica, eliminar todos los datos o sobrescribir repetidamente todos los datos almacenados para evitar la recuperación forense. Hacer cumplir el uso de aplicaciones de borrado remoto en dispositivos BYOD le brinda una solución de último recurso para prevenir el robo de datos en caso de pérdida o robo del dispositivo personal de un empleado.
8. Monitoreo de dispositivos BYOD
Muchas empresas optan por implementar el monitoreo como parte de su política de seguridad BYOD. Esto implica la instalación de aplicaciones que permiten a los administradores controlar las ubicaciones de GPS y / o el tráfico de Internet de los dispositivos BYOD. Estos sistemas pueden ser muy útiles para identificar actividades sospechosas, pero definitivamente tienen el potencial de ser demasiado intrusivos. Es importante encontrar el equilibrio entre mantener la seguridad y respetar la privacidad de sus empleados.
9. Prohibir la transmisión de datos confidenciales a través de redes no seguras.
Su política de seguridad BYOD también puede establecer expectativas con respecto al uso de redes no seguras, como puntos de acceso público a Wi-Fi. Los empleados solo deben conectar dispositivos a redes de confianza para fines de trabajo e, idealmente, utilizarían una VPN para cifrar los datos transmitidos y evitar las fugas de datos. Tenga cuidado con el uso de VPN gratuitas; un estudio de CSIRO descubrió que el 38% de las VPN de Android gratuitas contienen algún tipo de malware.
10. Requerir cifrado del dispositivo
Por último, pero no menos importante, considere aplicar el cifrado del dispositivo. Con el cifrado del dispositivo, todo lo que se almacena localmente en el dispositivo se cifra para que los datos no puedan ser extraídos fácilmente por personas no autorizadas. Los dispositivos iOS y Android modernos están encriptados de manera predeterminada, mientras que los dispositivos con Windows pueden ser encriptados con BitLocker de Microsoft (disponible en Windows 10 Pro, Enterprise y Education, pero NO en Windows 10 Home) o software de terceros como el código abierto de código abierto VeraCrypt.
Encontrar el equilibrio entre Flexibilidad, Privacidad y Seguridad.
La seguridad de BYOD es un juego de equilibrio. Por un lado, las PYMES deben tener una estrategia que administre los riesgos potenciales asociados con permitir que el personal use sus dispositivos personales para fines de trabajo. Al mismo tiempo, sin embargo, las PYMES también deben ser conscientes de la privacidad de sus empleados y garantizar que su política de seguridad BYOD no cruce la línea y se vuelva intrusiva.
Para muchas empresas, el mejor camino a seguir es un enfoque semi-colaborativo. Hable con los empleados sobre sus necesidades, intente ofrecer soporte para una gama de los dispositivos más utilizados y recuerde que es difícil revocar BYOD una vez que los empleados lo prueban. Tómese el tiempo para desarrollar una política de BYOD sólida y realice ajustes a medida que obtenga más información sobre las necesidades y usos únicos de los dispositivos BYOD de su organización.
¿Quiere dar a su personal la libertad de hacer que sus dispositivos funcionen sin comprometer la seguridad de TI? Proteja todos sus dispositivos BYOD de Windows y Android invirtiendo en Emsisoft Anti-Malware.
¡Tenga un gran día (libre de malware)!
