Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?
1. Los dispositivos personales en el trabajo son una fuente de preocupación para las empresas
desde el punto de vista de la seguridad.
Buena parte de la información de la empresa reside ahora en dispositivos que son propiedad de
sus empleados.
Los atacantes persiguen fines económicos concretos, porque en los dispositivos móviles hay
información valiosa.
La información personal se mezcló con la corporativa.
Robo de fotos y documentos, utilización de crédito y acceso a cuentas bancarias son los riesgos
más importantes.
El 82% de las personas usa sus dispositivos personales con fines laborales.
Los usuarios utilizan sus dispositivos para conectarse a la red interna, el más riesgoso de los
usos. La segunda más común es el acceso a correos corporativos. La más grave de todas es el
alojamiento de información sensible.
La solución no es sencilla, y no se reduce a dejar usar los dispositivos personales o no.
La prohibición sin control no tiene sentido. La autorización para usar dispositivos personales sin
gestión, tampoco.
Gerente de Educación y Servicios para Latinoamérica de la empresa ESET, dedicada al desarrollo, investigación y
comercialización de soluciones de protección antivirus y seguridad informática.
Anteriormente, se desempeñó como Jefe de Sistemas en una empresa de telecomunicaciones y posteriormente fue
consultor y especialista de seguridad de una empresa dedicada a infraestructura y sistemas informáticos.
Posee la certificación CISM (Certified Information Security Manager) otorgada por ISACA además de especializaciones en
redes (CISCO CCNA) y seguridad de la información.
El ejecutivo tiene bajo su responsabilidad supervisar el trabajo de investigación realizado por el Laboratorio de la
compañía, para conocer las tendencias sobre seguridad y ataques informáticos. Además, tiene la labor de llevar adelante
la concientización en seguridad informática que la empresa desarrolla.
LAS IDEAS PRINCIPALES
LAS IDEAS PRINCIPALES
ACERCA DEL DISERTANTE
BRING YOUR OWN DESTRUCTION:
¿QUÉ HACEMOS CON LOS DISPOSITIVOS PERSONALES?
Sebastián Bortnik
Gerente de Educación y Servicios
de ESET Latinoamérica
Gentileza de
2. Hoy quiero compartir el resultado de las experiencias que hemos atravesado en
los últimos años en el área de Educación y Servicios de ESET Latinoamérica. A partir
del ingreso de las nuevas tecnologías móviles en diferentes ámbitos de nuestra vida,
hemos podido verificar una preocupación creciente en varias empresas a partir del
uso de los dispositivos personales de empleados en el trabajo.
En términos de seguridad, nos preguntamos entonces: ¿qué hacemos con los
teléfonos personales en el trabajo?Tenemos que partir de la base que existen riesgos
y amenazas en este tipo de usos. Constantemente, surgen incidentes de seguridad y
se realizan ataques contra las tecnologías que usamos.
¿Por qué nos atacan? En los últimos cinco años, ha cambiado mucho la forma en la
que utilizamos nuestros dispositivos móviles. Ahora, allí hay más información valiosa
para los atacantes. De aquí que el atacante no ataque porque sí o por mero placer. Lo
que motoriza el ataque es una intención de lucro.
A partir de esto, la primera pregunta que nos tenemos que hacer es la siguiente:
¿en los dispositivos personales de los empleados, hay información que nos interese
proteger?
El problema surge cuando la información personal de los móviles de nuestros
empleados se mezcla con la información corporativa. Ahí se inicia el problema.
de información. Es un problema grave que preocupa mucho a la gente de seguridad.
¿Cuáles son los riesgos de mezclar información personal y corporativa? En primer
lugar,elrobodeinformaciónquetengavalorparalaorganización,yaseanfotografías,
prototipos, diseños o documentos. Si los empleados se llevan esta información a sus
casas, puede haber un mayor riesgo de robo de propiedad intelectual. En segundo
lugar,lautilizacióndelcréditoydecredencialesdeacceso,esdecir,elaccesoacuentas
bancarias y de contraseñas.
Es un hecho que el 82% de los empleados utiliza sus dispositivos personales con fines
laborales, es decir, 8 de cada 10 usuarios no utiliza los recursos de la empresa. ¿Por
qué ocurre esto? La primera respuesta señala un factor: la comodidad. Si tenemos dos
teléfonos, vamos a usar el que nos sea más cómodo. Éste es el punto de partida del
problema: es más factible atacar el sistema personal que el corporativo, y el atacante
sabe esto.
Entonces, tenemos tres focos de conflicto: a) que el usuario utilice la red interna con
un dispositivo que está afectado y contagie a los demás; b) la utilización de correos
corporativos por parte del usuario en lugares fuera del trabajo. c) La utilización de
información sensible que puede ser atacada. Ésta es la más grave y aquí se puede
resumir todo el conflicto.
Entre las amenazas se cuentan el robo de información, el acceso a la red corporativa y
los robos. El 58% de las personas que encuestamos aseguraron que en los últimos dos
años les robaron al menos una vez un dispositivo personal. El 47% de las que se guían
por la lógica del“bring your own device”tuvieron fugas de información.
¿Qué podemos hacer? La seguridad de la información tiene una parte tecnológica
y otra humana. Yo no puedo garantizar con la tecnología que no va a haber un
incidente.
A la hora de decidir qué hacer hay tres pasos: análisis de riesgo, definir posturas y
ordenar procesos. La más complicada es la del medio: yo puedo decidir que se puede
o no usar la notebook personal, pero la forma en que lo comunico a los empleados.
Empecemos con el análisis de riesgo. Pirmero tenemos que clasificar información
para valorar qué hay que proteger, qué es grave y qué no. Mucho más práctico que
perseguir al usuario es perseguir a la información que no queremos que se filtre. No
tiene sentido proteger todo, si sólo hay tres cosas que quiero proteger. Luego viene la
aplicación de medidas de control.
A partir del análisis de riesgo, tenemos que definir una postura. El
problema es cuando esa postura se reduce a permitir o no permitir el
“En los últimos
años empezó
a crecer la
preocupación
de los CIO’s
respecto al uso de
los dispositivos
personales en el
trabajo”.
“Todos los días
nos encontramos
con nuevos
ataques de
seguridad a los
dispositivos
móviles”.
“La primera
pregunta que
nos tenemos que
hacer es si en
los dispositivos
de nuestros
empleados hay
información
que deseamos
proteger”.
Lunes, 24 de Junio de 2013BRING YOUR OWN DESTRUCTION
3. bring your own device. Cuando lo permitimos, tenemos que acompañar
ese permiso con una gestión y cuando no lo permitimos, debe haber un
control de esa prohibición.
No se trata de una cuestión de gustos o simplemente de negar o afirmar
un uso. Cuando tomamos la decisión, ya sea por sí o por no, luego, esa
decisión debe ser acompañada y sostenida. Y, sobre todo, no debemos
tener miedo de la decisión que tomemos.
La gente del área de información suele solucionar las cosas con
tecnología, pero muchas veces esto no es suficiente. Es importante
ordenar los procesos dentro de la empresa, es decir, cuáles serán las
políticas de uso de los dispositivos, cómo será la conectividad dentro de
la empresa (¿todos los dispositivos se conectan a la red corporativa?) , el
mantenimiento y la seguridad. Podemos decirle al empleado que puede
utilizar ciertos dispositivos, pero tal vez no todos. Por supuesto, todo
depende del contexto y de las necesidades y objetivos de la empresa.
Luego, respecto del mantenimiento, si se permite la utilización del
software personal, hay que hacer un seguimiento. Es importante hacerse
cargo del problema. La mala noticia es que no podemos negar esta
situación.Parael2015,seestimaquehabrá1300millonesdetrabajadores
móviles. Son trabajadores que no van a venir a la empresa. Otro dato:
en 2016, la mitad de los dispositivos móviles en las empresas serán de
los empleados. Entonces, si no cambiamos la mentalidad, más adelante
vamos a llegar muy tarde a un proceso inexorable.
A veces la mejor forma de controlar, hasta de obtener el compromiso
de tu usuario, es ayudar al usuario a cumplir con las normas. Hay que
tomar decisiones acordes con la realidad y acompañar las decisiones con
gestión. La línea que separa bring your own device de bring your own
destruction depende de nosotros.
“Tenemos
enormes
dispositivos de
control para
proteger nuestros
datos y cualquier
empleado se
conecta a nuestra
red sin ninguna
posibilidad de
control”.
“Hicimos una
encuesta en la
que el 82% de
las personas
confirma que usa
sus dispositivos
personales con
fines laborales.”
“Lo primero uqe
hay que hacer es
dejar de leer notas
sobre bring your
own device si, o
no. No importa si
sepermite o no,
importa como
se gestiona la
decisión que se
toma”.
Lunes, 24 de Junio de 2013BRING YOUR OWN DESTRUCTION