La firma de seguridad Sophos se hace eco del informe sobre las consecuencias del fenómeno BYOD (bring your own device) en el ejército de EE.UU, bastante negativo en términos de seguridad. Y si en un cuerpo tan reglamentado el fenómeno de usar ‘dispositivos personales en el trabajo’ es preocupante, desde Sophos se preguntan por las dificultades de las pequeñas y medianas empresas para afrontarlo.

Como ayuda, el CTO de Sophos, Gerhard Eschelbeck, ofrece una serie de consejos que reproducimos:

1. Identificar los riesgos que el BYOD representa. Mide como los riesgos pueden impactar en tu empresa y localiza los elementos que deben ser regulados.

2. Crear un comité para que estudie el BYOd y analice los riesgos, incluyendo a los accionistas, trabajadores y a los responsables de seguridad.

3. Decidir que directivas aplicar a todos los dispositivos que se conecten a la red de trabajo, incluyendo móviles, tabletas y portátiles.

4. Crear un plan que incluya estos puntos:

– Control remoto de dispositivos
– Control de aplicaciones
– Verificación del cumplimiento de las directrices y auditoría de informes
– Cifrado de datos y dispositivos
– Aumentar la seguridad de la nube
– Borrado de dispositivos
– Revocar el acceso cuando la relación del usuario pasa de empleado a invitado
– Revocar el acceso a los dispositivos que decida la empresa

5. Evaluar soluciones. Considera el impacto en tu red actual y cómo mejorar las tecnologías existentes antes de dar el primer paso.

6. Implementar las soluciones. Comienza con un grupo de testeo en cada departamento. Continúa con las pruebas según tus criterios operacionales. Abre el BYOD a todos los usuarios.

7. Reevalúa periódicamente las soluciones. Incluye a los proveedores y consultores de confianza. Planifica tus actualizaciones y reevaluaciones.

El fenómeno Bring Your Own Device BYOD (traiga su dispositivo al trabajo) sigue al alza y según consultoras como Forrester, no es una moda pasajera y en tres años se convertirá en una política estándar e incluso en un requisito para las nuevas contrataciones.

Sin embargo, el fenómeno provoca una serie de problemas de seguridad no menores, que algunas grandes compañías como IBM han cortado por lo sano, bloqueando en su red interna una buena cantidad de servicios principalmente de almacenamiento y servicios de correo al considerarlos una amenaza corporativa.

A pesar de ello, dispositivos móviles como los teléfonos inteligentes y las tabletas electrónicas se están adoptando a un ritmo tan alto que las compañías están casi obligadas a apoyarlos y de ahí la obligatoriedad de contar con políticas de seguridad como las propuestas en este decálogo.

1. Revise sus políticas de seguridad actuales para aplicaciones web (CRM, correo electrónico, portales), VPN y acceso remoto. La mayoría aplicable a dispositivos móviles.
2. Determine los dispositivos que está dispuestos a soportar. No todos los dispositivos cumplirán con los requisitos de seguridad. Además, debe inspeccionar físicamente cada dispositivo y asegurarse que no han sido rooteados o con jailbreak.
3. Establezca expectativas claramente. Puede tener que cambiar radicalmente la mentalidad de la gente corriente.
4. Escriba políticas claras y concisas para todos los empleados que quieran utilizar su dispositivo personal. Cualquier persona que participe en BYOD defe firmar sus condiciones de uso. Aquellos que optan por no seguir sus políticas no deben utilizar sus dispositivos.
5. Debe ser obligatorio un número de identificación personal (PIN).
6. Forzar cifrado de datos. Cualquier aplicación o dato que almacene en el dispositivo debe estar protegido.
7. Determine qué tipo de aplicación está fuera de los límites. Hay ciento de miles de ellas en las principales plataformas.
8. Capacite a los empleados para asegurarse de que entienden cómo usar correctamente BYOD. Una vez que haya abrazado el fenómeno, promuévalo.
9. Busque aplicaciones que incluyan capacidad de auditoría, reporting y gestión centralizada. Muchas aplicaciones actuales no cumplen estos requisitos.
10. Considere la posibilidad de adquirir software de gestión de dispositivos móviles que puedan ofrecer aplicaciones seguras como cliente de correo electrónico y navegadores web, o la capacidad de borrado remoto.