SlideShare una empresa de Scribd logo
Retos de seguridad para las
empresas a partir de BYOD
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Octubre 2012
Algunas cifras sobre BYOD .................................................... 4

Cambio de paradig ma en la infraest ruc t u ra ....................... 7




Gestión de riesgos ................................................................... 8

Ho me working .......................................................................... 9

Disposición de la infor mación ............................................... 9

Gestión de aplicaciones ......................................................... 9
El fenó meno de que los em pleados de una empresa utilicen sus propios dispositivos para
cu mplir con las tareas diarias del trabajo se ha consolidado en los úl ti mos meses y h oy se
conoce co mo la tendencia           (por las palabras en inglés                      ). La gran
dependencia que se ha desarrollado por la conec tividad y el acceso a la infor m ación en
cualquier lugar y mo men t o, co mbinado con los cada vez más livianos y por tables
disposi tivos personales, ha dado un gran i mpulso a este fenó meno.

Pero estas nuevas tendencias traen asociados riesgos para la seguridad de la infor mación
corpora tiva; lo cual lleva a que las áreas enca rgadas de estos te mas plan teen soluciones
de acuerdo a la realidad de la empresa y procurando evi tar conflic tos con el desarrollo
tecnológico.

El obje tivo de este ar tículo es presen tar cuáles son las principales carac terís ticas de la
tendencia          . Se tra tará la realidad del fenó meno en la región y el re to que represen ta
este fenó meno para la gest ión de la seguridad en las empresas. Final men te se enunciarán
una serie de consejos que debería seguir una empresa que esté iniciando o revisando la
i mple men tación de polí ticas de BYOD en su co mpañía, garan tizando siempre la seguridad
de su infor mación.




Una de las carac terís ticas principales que aprovechan los usuarios de sus disposi tivos
m ó viles, además de su por tabilidad, es la facilidad que ofrecen para el trabajo
colabora tivo. Esto lo hacen, mayori taria men te, apoyados en el creci mien t o y las
innovaciones que brindan las redes sociales y las tecnologías de conec tividad.

Precisamen te la convergencia en el uso y aprovecha mien t o de todas estas carac terísticas
ha hecho que se consolide lo que se conoce co mo tendencia BYOD: la incorporación de
disposi tivos tecnológicos de los empleados en el ámbi t o laboral para cu mplir con las
t a reas propias del quehacer profesional . Sin lugar a dudas, este fenó meno plan tea una
serie de riesgos y opor t u nidades para las empresas.

En este escenario, las compañías deberían aprovechar las ven tajas que ofrece adop tar
esta tendencia, y a su vez t o mar todas las medidas preven tivas para garan tizar l a
pro tección de su infor mación. Por ejemplo, las empresas mejorarían la product i vidad si
consideraran que para los empleados puede ser mucho más có modo t rabajar en sus
propios disposi tivos, pudiendo llevarlos consigo y de esta for ma responder rápida men te a
las novedades que se presen ten . De igual manera, en ese con tex to es esencial que las
corporaciones cuiden la exposición de infor mación sensible para evi tar la pérdida o fuga
de la mis ma. .




En agosto 2012, ESET Latinoa mérica realizó una encuesta sobre esta te má tica.
Participaron en ella personas, en su mayoría, en t re los 21 y 30 años (43.9%) y en t re los 31 y
50 años (32.8%). De los par t icipan tes, la mi tad trabaja en pequeñas empresas, el 20% en
organizaciones medianas y el 30% restan te en co mpañías más grandes, con más de 100
empleados.

Algunos de los resul tados dan cuen ta los disposi tivo s personales que más se ut ilizan en el
lugar de trabajo son las com p u tadoras por tá tiles y los teléfonos in teligen tes, ade más de
las table tas que tienen una par ticipación al ta den t r o de estos disposi tivos. A pesar que los
disposi tivos USB para al macenar da tos no están incluidos estric ta men te en la
ca tegorización de BYOD, en la encuesta han sido elegidos por el 83.3% de los consul tados
co mo disposi t ivos para manejar infor mación corpora tiva.
En relación al acceso de infor mación corpora tiva, cerca de la mi tad de los encuestados
afir mó u tilizar redes WiFi, mien t ras que un poco más de la tercera par te accede a través
de una red cableada provista por la organización. Co mo se mencionó los disposi tivos
personales se convier ten en una herra mien ta para desarrollar las tareas laborales, al
pun t o que el 58,3% de los encuestados indicó que su u tilización facili ta sus labores.

Como par te de las tareas más relevan tes que se realizan con los disposi tivos personales se
encuen t ra la revisión del correo elect rónico corporat i vo y el apoyo a las tareas del trabajo.
De las personas que u tilizan los disposi tivos personales en la oficina, el 55% los usa
única men te para ac tividades personales que no están relacionadas con el trabajo. Queda
claro que este tipo de usos ta mbién tiene co mo cont rapar tida la distracción por par te del
empleado.
Respec to al uso de la información del trabajo, más de la mi tad de los encues tados la
al macena en su disposi tivo personal y cerca de un 20% la revisa remo ta men t e sin
guardarla en su disposi tivo; apenas una quin ta par t e dice eli minarla una vez ter minado el
t rabajo. Estas cifras evidencian una tendencia que debería ser a tendida por las empresas,
y es que los usuarios u tilizan sus disposi tivos personales para guardar infor mación
corpora tiva.

Uno de los da tos más in teresan tes tiene que ver con que cerca de la mi tad de los
encuestados no maneja la infor mación de la empresa de for ma cifrada en su disposi tivo
personal y el 15,6% dice no saber có mo se maneja la infor mación. Sola men te la tercera
par te reconoce manejar la infor mación cifrada. Tan t o la decisión de u tilizar la infor mación
cifrada co mo el conoci mien t o por par te de los usuarios den t ro de la red corpora tiva, son
cuestiones de impor tancia a tener en cuen ta por par te de quienes se encargan de
gestionar la seguridad de la infor mación de una co mpañía.

Final men te, en menos de la mi tad de las empresas los encuestados reconocieron que
existen polí ticas claras para el manejo de la infor mación , mien t ras que una tercera par te
de los encuestados reconoció lo con t rario . La cuar t a par te restan te no conoce si existen
polí ticas de este tipo.
Al revisar los resul tados mencionados an terior men te se puede inferir que se está n dando
ca mbios en la for ma en que se maneja la infor mación corpora ti va. Estas nuevas
tendencias en las organizaciones lleva n a que los depar ta men t os de TI deban ca mbiar la
concepción del manejo de sus recursos para garan ti zar la seguridad de los da t os de la
empresa.

Estas nuevas for mas de ma nejar la infor mación hacen que las organizaciones pres ten
m ucha más atención a la for ma en que los usuarios se conec tan a las redes de la empresa
para manipular la infor mación. Es decir, buscan garan tizar la seguridad, los alt os niveles
de rendi mien to y el con t r ol adecuado para los diferen tes tipos de disposi tiv os que se
podrían conec tar para com par t ir infor mación.

Esta nueva concepción alrededor del có mo se accede a la infor mación hace que las áreas
de TI se preocupen cada vez menos por la inf raes tru ctura física a la vez que se reducen los
cos tos relacionados a la adquisición de disposi tivos co mo teléfonos celulares y por tá tiles .
Sin embargo, ta mbién plan tea nuevas preocupaciones ya que se generan nuevos riesgos
que deben ser gestionados adecuada men te para garan tizar la seguridad de la
infor mación.

Debido a que en este momen t o la tendencia se está consolidando y para muchas
organizaciones aún puede ser un te ma que consideren ajeno, se encuen t ra poca claridad
en las empresas para el manejo de la infor mación. De esta manera, se dan casos en los
que no hay ninguna posición respec to de la u tilización de disposi tivos personales en el
lugar de trabajo, y en muchos casos op tan por cerrar cualquier for ma de in teracción o
simple men te lo dejan abier t o.

Todo este ca mbio de concepción i mplica que las polít icas de seguridad de las co mpañías se
empiecen a enfocar en mayor medida en la efec tividad de la seguridad de las redes, con
con t roles o segui mien t os sobre los empleados y las aplicaciones que se u tilizan y no
exclusiva men te sobre los disposi tivos.




Como se ha mencionado, la adopción de BYOD i mplica para las organizaciones un cambio
en la for ma de gestionar la seguridad de la infor mación en una amplia variedad de
disposi tivos, aplicaciones y siste mas opera tivos. A con tin uación se mencionan algu nos de
estos re tos.




Lo pri mero para garan tizar la seguridad de la infor m ación es una adecuada gestión de
riesgos la cual par te del conoci mien t o de los ac tivos de infor mación con los que cuen ta la
empresa. Los análisis de riesgos deben pa r ti r de la clasificación de la infor mació n con el
obje tivo de establecer, por eje mplo, cuáles son los da tos más sensibles que requieren
mayores niveles de pro tección, qué infor mación se puede acceder desde disposi tivos
personales, qué infor mación puede accederse por fuera de la red de la empresa y a qué
infor mación se debe restringir el acceso.

A par tir de este análisis se llega a establecer cuáles son las medidas de con t rol más
adecuadas para garan tizar la seguridad de infor mación, que van desde disposit i vos o
medidas de carác ter tecnológico (soluciones an tivirus, DLP, VPN, Fire wall, IDS, IPS, etc.)
has ta el estableci mien t o de polí ticas para la gestión de disposi tivos, donde se de ter mina
qué tipo de disposi tivos y aplicaciones es posible u tilizar. Además, medidas com o los
con t roles de acceso a la red (NAC) pueden ser de gran ayuda para tener un moni t o reo de
có mo se u tilizan los recursos de red co mpar tidos por los empleados.

Toda esta gestión de riesgos, debe estar co mple ment ada con un adecuado plan de
educación y concien tización que involucre a todos los niveles de la organización para que
conozcan las implicaciones del uso de sus disposi tivos personales, los riesgos a los que
están expues tos y las medidas de seguridad que deben tener en cuen ta.




Al ser posible el manejo de infor mación laboral en disposi tivos personales, o t ras
tendencias co mo la posibilidad de trabajar desde la casa (               tienen un i mpulso
i mpor tan te. Este tipo de tendencias pro mueven que las empresas incluyan en sus análisis
o t ro tipo de riesgos y que consideren algunas implicaciones legales que pueden llegar a
tener. Por eje mplo, a par tir de la manipulación de infor mación laboral en disposi tivos con
siste mas opera tivos o aplicaciones               Es necesario en to nces que las empresas
asignen licencias en los disposi tivos de los empleados o consideren al terna ti vas, co mo por
eje mplo el uso de sof t w are libre en estos casos.




Si el empleado manipula infor mación de la empresa en su disposi tivo, debe est a r claro
cuál será la disposición de la mis ma una vez ter min ada la relación con t rac t ual. Ya que es
m u y co mplicado tener la seguridad que está infor m ación será eli minada. Una vez más es
necesario tener claro qué t ipo de infor mación se puede descargar y manipular desde
disposi tivos personales. Ade más, aspectos con t rac t uales co mo la fir ma de acuerdos de
confidencialidad pueden ser co mple men t os que brinden a la empresa herra mien tas
adicionales para ac tuar en caso de que la infor mación sea expues ta.




Ya se mencionó que uno de los principales re tos para las empresas es la gestión de la gran
diversidad de aplicaciones que un empleado puede tener ins talado en su dispositivo. El
re to para las organizaciones se vuelca en tonces en garan tizar que los disposi tivos , a
t ravés de los cuales se accede a la infor mación , cuen ten con aplicaciones seguras que no
pongan en peligro la in tegridad de la infor mación.
En esta mis ma línea es necesario que la empresa diferencie el uso que los empleados
puedan tener de los recursos de la mis ma a través de sus disposi tivos personales. Es así
co mo segura men te muchos de los empleados solamen te u tilizarán sus disposi tivos para
ma nipular infor mación personal. En estos casos la gestión de los recursos de red se vuelve
sensible para i mpedir la int r usión ilegal a los siste m as de la co mpañía.




Has ta este pun t o se han mencionado los re tos y las ven tajas que esta tendencia tiene
para las empresas. De esta for ma, la pregun ta que surge es: ¿Se debe permi ti r o prohibir el
uso de disposi tivos personales en el lugar de trabajo para manipular la información de la
empresa?

La respuesta en este caso t iene que estar precedida de un j uicioso análisis de riesgo. El
resul tado de este análisis le da a las organizaciones el panora ma co mple to de qu é
infor mación maneja y cuáles son las carac terísticas más adecuadas para garan tizar su
seguridad.

Más allá de si final men te se adop te o no el BYOD en la organización, lo más coheren te es
que las organizaciones se preocupen por to mar una pos tura ya que este te ma es una
realidad y lo más peligroso para la infor mación es adop tar una posición indiferen te.




Independien te men te de la posición que adop te la em p resa alrededor del BYOD, es
necesario que se to men algunos recaudos para garan tizar la seguridad de su infor mación:

       Analizar la capacidad y la cober t u ra que tienen las redes corpora tivas para
        per mi ti r el acceso de disposi tiv os diferen tes a los de la empresa. El acceso a estos
        recursos debería estar protegido con credenciales que per mi tan individualizar
        quién accede y qué tipo de infor mación manipula.
       La gestión debe estar basada en roles. El acceso a la infor mación debe ser
        res tringido de for ma que se garan tice que sola men t e podrá n acceder a la
        infor mación aquellas personas que real men te lo necesi ten. Esta gestión debe ser
        precedida de una adecuada clasificación de la información que le permi ta a la
        empresa conocer todos sus activos de infor mación.
   Teniendo en cuen ta que son muchos los disposi tivos en el mercado, es pruden te
        hacer un análisis de qué tipo de disposi tivos son los más adecuados para manejar
        la infor mación de la empresa.
       Según la diversidad de disposi tivos y aplicaciones que se pueden manejar, se debe
        redac tar la polí tica que aclaré qué disposi tivos pueden acceder a la infor mación
        corpora tiva. Ade más, para garan tizar que códigos maliciosos no afec ten los da tos,
        t o dos los disposi tivos deben con tar con soluciones de seguridad que de tec ten
        proac tiva men te este tipo de amenazas.
       El acceso a través de conexiones WiFi debe ser correcta men te configurado,
        u tilizando pro t ocolos de cifrado, para garan tizar la seguridad de la infor mación. El
        t ráfico de disposi tivos BYOD debería ser clara men t e iden tificable, además de
        tener un con t rol más estricto.
       Para permi t ir el acceso rem o t o, el uso de tecnologías como VPN garan tizan la
        pro tección de la infor mación que se manipul a. Además, debe llevarse un cont rol
        de quién accede y los cambios que se realiza.
       La educación debe ser un pilar i mpor tan te para que todos los usuarios sean
        conscien tes de los riesgos a los cuales pueden verse expues tos y cuáles son los
        cuidados que deben tener en cuen ta al manejar la infor mación de la empresa.
       Realizar con mayor periodicidad los análisis de riesgos y vulnerabilidades para
        de ter minar el estado de la empresa an te esta tendencia, ya que la aparición de
        nuevos disposi tivos o aplicaciones pueden beneficiar o afec tar a las
        organizaciones.




Cuando se habla de BYOD se hace referencia a una tendencia consolidada y an te la cual
las empresas deben hacer un análisis de riesgos para to mar una posición al respec to. La
adopción de esta tendencia por par te de las compañías puede traer grandes beneficios
relacionados con la disminución de gastos en infraestruc t ura, la co modidad de los
empleados para el manejo de la infor mación y por t an to el incre men t o de la
produc tividad. Pero a su vez, enfren ta a la empresa a nuevas amenazas que deben ser
gestionadas, las principales y quizás las más preocupan tes son la fuga y el acceso no
au t o rizado a la infor mación.

Es así como las empresas para enfren tar estos re tos deben establecer una mezcla en t re
polí ticas claras para el manejo de la infor mación y el uso de herra mien tas adecuadas que
per mi tan la gestión de la seguridad de la mis ma. Todo esto debería estar alineado con los
obje tivos del negocio, pues cualquier decisión que se to me debe estar enfocada en
au men tar la produc tividad y hacer más ágiles y seguros los procesos in ternos. Estas dos
medidas se deben co mplemen tar con un adecuado plan de divulgación y educación para
que a todos los niveles de la organización conozcan las restricciones alrededor del manejo
de la infor mación.

Más contenido relacionado

La actualidad más candente

Brandon trejo de la luz trabajo con la investigacion
Brandon trejo de la luz trabajo con la investigacionBrandon trejo de la luz trabajo con la investigacion
Brandon trejo de la luz trabajo con la investigacion
BrandonKennyTrejo
 
Módulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redMódulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la red
Jorge Arroyo
 
Revista Mundo Contact Junio 2016
Revista Mundo Contact Junio 2016Revista Mundo Contact Junio 2016
Revista Mundo Contact Junio 2016
Mundo Contact
 
Phishing06
Phishing06Phishing06
Phishing06
gustavoz2012
 
Los 10+ 2
Los 10+ 2Los 10+ 2
Los 10+ 2
PwC Argentina
 
Ley Fayad
Ley FayadLey Fayad
Ley Fayad
laecita
 
Revista Mundo Contact Febrero 2011
Revista Mundo Contact Febrero 2011Revista Mundo Contact Febrero 2011
Revista Mundo Contact Febrero 2011
Mundo Contact
 
Boletin compliance it news año 4 no 7 v2
Boletin compliance it news año 4 no 7 v2Boletin compliance it news año 4 no 7 v2
Boletin compliance it news año 4 no 7 v2
AnyhelpBrasil
 
Revista Mundo Contact Noviembre 2015
Revista Mundo Contact Noviembre 2015Revista Mundo Contact Noviembre 2015
Revista Mundo Contact Noviembre 2015
Mundo Contact
 
Presentación encuesta sobre confianza digital en las empresas (octubre 2017)
Presentación encuesta sobre confianza digital en las empresas  (octubre 2017)Presentación encuesta sobre confianza digital en las empresas  (octubre 2017)
Presentación encuesta sobre confianza digital en las empresas (octubre 2017)
Meritxell Vila
 
Revista Mundo Contact Marzo 2016
Revista Mundo Contact Marzo 2016Revista Mundo Contact Marzo 2016
Revista Mundo Contact Marzo 2016
Mundo Contact
 

La actualidad más candente (11)

Brandon trejo de la luz trabajo con la investigacion
Brandon trejo de la luz trabajo con la investigacionBrandon trejo de la luz trabajo con la investigacion
Brandon trejo de la luz trabajo con la investigacion
 
Módulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la redMódulo i lección 2 seguridad en la red
Módulo i lección 2 seguridad en la red
 
Revista Mundo Contact Junio 2016
Revista Mundo Contact Junio 2016Revista Mundo Contact Junio 2016
Revista Mundo Contact Junio 2016
 
Phishing06
Phishing06Phishing06
Phishing06
 
Los 10+ 2
Los 10+ 2Los 10+ 2
Los 10+ 2
 
Ley Fayad
Ley FayadLey Fayad
Ley Fayad
 
Revista Mundo Contact Febrero 2011
Revista Mundo Contact Febrero 2011Revista Mundo Contact Febrero 2011
Revista Mundo Contact Febrero 2011
 
Boletin compliance it news año 4 no 7 v2
Boletin compliance it news año 4 no 7 v2Boletin compliance it news año 4 no 7 v2
Boletin compliance it news año 4 no 7 v2
 
Revista Mundo Contact Noviembre 2015
Revista Mundo Contact Noviembre 2015Revista Mundo Contact Noviembre 2015
Revista Mundo Contact Noviembre 2015
 
Presentación encuesta sobre confianza digital en las empresas (octubre 2017)
Presentación encuesta sobre confianza digital en las empresas  (octubre 2017)Presentación encuesta sobre confianza digital en las empresas  (octubre 2017)
Presentación encuesta sobre confianza digital en las empresas (octubre 2017)
 
Revista Mundo Contact Marzo 2016
Revista Mundo Contact Marzo 2016Revista Mundo Contact Marzo 2016
Revista Mundo Contact Marzo 2016
 

Similar a Retos de seguridad para las empresas a partir de BYOD

Informe esr141
Informe esr141Informe esr141
Informe esr141
CAUCANITO
 
212026136-documento-guia-byod-w
 212026136-documento-guia-byod-w 212026136-documento-guia-byod-w
212026136-documento-guia-byod-w
xavazquez
 
BYOD - Retos de seguridad
BYOD - Retos de seguridadBYOD - Retos de seguridad
BYOD - Retos de seguridad
ESET Latinoamérica
 
BRING YOUR OWN DEVICE Oportunidades, retos y riesgos en las organizaciones
BRING YOUR OWN DEVICE Oportunidades, retos y riesgos en las organizacionesBRING YOUR OWN DEVICE Oportunidades, retos y riesgos en las organizaciones
BRING YOUR OWN DEVICE Oportunidades, retos y riesgos en las organizaciones
TELCON UNI
 
Actividad. sistema d información
Actividad. sistema d informaciónActividad. sistema d información
Actividad. sistema d información
MariaChirino
 
Qué es el byod
Qué es el byodQué es el byod
Qué es el byod
PRIXILA RUIZ ARMESTAR
 
Analisis pymes ajv
Analisis pymes ajvAnalisis pymes ajv
Analisis pymes ajv
ajv_86
 
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosInforme 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Marcel Castillo
 
Seguridad
SeguridadSeguridad
Sistemas de Seguridad Informática
Sistemas de Seguridad InformáticaSistemas de Seguridad Informática
Sistemas de Seguridad Informática
Soluciones Informáticas IMPULSO TECNICO E.I.R.L.
 
Revista Mundo Contact Junio 2015
Revista Mundo Contact Junio 2015Revista Mundo Contact Junio 2015
Revista Mundo Contact Junio 2015
Mundo Contact
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Marcelo Herrera
 
Actividad da la guia de seguridad
Actividad da la guia de seguridadActividad da la guia de seguridad
Actividad da la guia de seguridad
Maria Veronica Urdaneta Martinez
 
Tres consejos para una seguridad integral
Tres consejos para una seguridad integralTres consejos para una seguridad integral
Tres consejos para una seguridad integral
Cade Soluciones
 
Revista Mundo Contact Junio 2014
Revista Mundo Contact Junio 2014Revista Mundo Contact Junio 2014
Revista Mundo Contact Junio 2014
Mundo Contact
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)
Fabián Descalzo
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático -  Seguridad y legalidadRevista El Derecho Informático -  Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidad
Fabián Descalzo
 
Foro kodak
Foro kodakForo kodak
Foro kodak
Mao Sierra
 
La era de los controles
La era de los controlesLa era de los controles
La era de los controles
Fabián Descalzo
 
Las Tic y las Big Data
Las Tic y las Big DataLas Tic y las Big Data
Las Tic y las Big Data
keiner Roriguez herrera
 

Similar a Retos de seguridad para las empresas a partir de BYOD (20)

Informe esr141
Informe esr141Informe esr141
Informe esr141
 
212026136-documento-guia-byod-w
 212026136-documento-guia-byod-w 212026136-documento-guia-byod-w
212026136-documento-guia-byod-w
 
BYOD - Retos de seguridad
BYOD - Retos de seguridadBYOD - Retos de seguridad
BYOD - Retos de seguridad
 
BRING YOUR OWN DEVICE Oportunidades, retos y riesgos en las organizaciones
BRING YOUR OWN DEVICE Oportunidades, retos y riesgos en las organizacionesBRING YOUR OWN DEVICE Oportunidades, retos y riesgos en las organizaciones
BRING YOUR OWN DEVICE Oportunidades, retos y riesgos en las organizaciones
 
Actividad. sistema d información
Actividad. sistema d informaciónActividad. sistema d información
Actividad. sistema d información
 
Qué es el byod
Qué es el byodQué es el byod
Qué es el byod
 
Analisis pymes ajv
Analisis pymes ajvAnalisis pymes ajv
Analisis pymes ajv
 
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datosInforme 2018-ciberseguridad protegiendo-el-valor-de-los-datos
Informe 2018-ciberseguridad protegiendo-el-valor-de-los-datos
 
Seguridad
SeguridadSeguridad
Seguridad
 
Sistemas de Seguridad Informática
Sistemas de Seguridad InformáticaSistemas de Seguridad Informática
Sistemas de Seguridad Informática
 
Revista Mundo Contact Junio 2015
Revista Mundo Contact Junio 2015Revista Mundo Contact Junio 2015
Revista Mundo Contact Junio 2015
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Actividad da la guia de seguridad
Actividad da la guia de seguridadActividad da la guia de seguridad
Actividad da la guia de seguridad
 
Tres consejos para una seguridad integral
Tres consejos para una seguridad integralTres consejos para una seguridad integral
Tres consejos para una seguridad integral
 
Revista Mundo Contact Junio 2014
Revista Mundo Contact Junio 2014Revista Mundo Contact Junio 2014
Revista Mundo Contact Junio 2014
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático -  Seguridad y legalidadRevista El Derecho Informático -  Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidad
 
Foro kodak
Foro kodakForo kodak
Foro kodak
 
La era de los controles
La era de los controlesLa era de los controles
La era de los controles
 
Las Tic y las Big Data
Las Tic y las Big DataLas Tic y las Big Data
Las Tic y las Big Data
 

Más de ESET Latinoamérica

ESET-Dream-Team-2022-ES.pdf
ESET-Dream-Team-2022-ES.pdfESET-Dream-Team-2022-ES.pdf
ESET-Dream-Team-2022-ES.pdf
ESET Latinoamérica
 
5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware
ESET Latinoamérica
 
Ransomware y Backup
Ransomware y BackupRansomware y Backup
Ransomware y Backup
ESET Latinoamérica
 
Eset infografia-ransomware-v3 b
Eset infografia-ransomware-v3 bEset infografia-ransomware-v3 b
Eset infografia-ransomware-v3 b
ESET Latinoamérica
 
Eset infografia-evitarataque
Eset infografia-evitarataqueEset infografia-evitarataque
Eset infografia-evitarataque
ESET Latinoamérica
 
Eset infografia-comprasonline-v3
Eset infografia-comprasonline-v3Eset infografia-comprasonline-v3
Eset infografia-comprasonline-v3
ESET Latinoamérica
 
Eset infografia-teletrabajocovid-v4
Eset infografia-teletrabajocovid-v4Eset infografia-teletrabajocovid-v4
Eset infografia-teletrabajocovid-v4
ESET Latinoamérica
 
Eset infografia-ciberataquesfichas-v4
Eset infografia-ciberataquesfichas-v4Eset infografia-ciberataquesfichas-v4
Eset infografia-ciberataquesfichas-v4
ESET Latinoamérica
 
Eset infografia passwords
Eset infografia passwordsEset infografia passwords
Eset infografia passwords
ESET Latinoamérica
 
Eset infografia-incidentescovid-v3
Eset infografia-incidentescovid-v3Eset infografia-incidentescovid-v3
Eset infografia-incidentescovid-v3
ESET Latinoamérica
 
Eset infografia-backup
Eset infografia-backupEset infografia-backup
Eset infografia-backup
ESET Latinoamérica
 
Eset infografia-backup
Eset infografia-backupEset infografia-backup
Eset infografia-backup
ESET Latinoamérica
 
Eset infografia-ransomware
Eset infografia-ransomwareEset infografia-ransomware
Eset infografia-ransomware
ESET Latinoamérica
 
Eset infografia-teletrabajo-v2
Eset infografia-teletrabajo-v2Eset infografia-teletrabajo-v2
Eset infografia-teletrabajo-v2
ESET Latinoamérica
 
Eset infografia-dia del pirata
Eset infografia-dia del pirataEset infografia-dia del pirata
Eset infografia-dia del pirata
ESET Latinoamérica
 
Eset infografia-fintech-v3
Eset infografia-fintech-v3Eset infografia-fintech-v3
Eset infografia-fintech-v3
ESET Latinoamérica
 
Eset infografia-incidentes 2020
Eset infografia-incidentes 2020Eset infografia-incidentes 2020
Eset infografia-incidentes 2020
ESET Latinoamérica
 
Eset infografia-ransomware-es
Eset infografia-ransomware-esEset infografia-ransomware-es
Eset infografia-ransomware-es
ESET Latinoamérica
 
Eset infografia-covid-final
Eset infografia-covid-finalEset infografia-covid-final
Eset infografia-covid-final
ESET Latinoamérica
 
Eset infografia-educacion-ciberseguridad-es
Eset infografia-educacion-ciberseguridad-esEset infografia-educacion-ciberseguridad-es
Eset infografia-educacion-ciberseguridad-es
ESET Latinoamérica
 

Más de ESET Latinoamérica (20)

ESET-Dream-Team-2022-ES.pdf
ESET-Dream-Team-2022-ES.pdfESET-Dream-Team-2022-ES.pdf
ESET-Dream-Team-2022-ES.pdf
 
5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware5 Amenazas que no son Ransomware
5 Amenazas que no son Ransomware
 
Ransomware y Backup
Ransomware y BackupRansomware y Backup
Ransomware y Backup
 
Eset infografia-ransomware-v3 b
Eset infografia-ransomware-v3 bEset infografia-ransomware-v3 b
Eset infografia-ransomware-v3 b
 
Eset infografia-evitarataque
Eset infografia-evitarataqueEset infografia-evitarataque
Eset infografia-evitarataque
 
Eset infografia-comprasonline-v3
Eset infografia-comprasonline-v3Eset infografia-comprasonline-v3
Eset infografia-comprasonline-v3
 
Eset infografia-teletrabajocovid-v4
Eset infografia-teletrabajocovid-v4Eset infografia-teletrabajocovid-v4
Eset infografia-teletrabajocovid-v4
 
Eset infografia-ciberataquesfichas-v4
Eset infografia-ciberataquesfichas-v4Eset infografia-ciberataquesfichas-v4
Eset infografia-ciberataquesfichas-v4
 
Eset infografia passwords
Eset infografia passwordsEset infografia passwords
Eset infografia passwords
 
Eset infografia-incidentescovid-v3
Eset infografia-incidentescovid-v3Eset infografia-incidentescovid-v3
Eset infografia-incidentescovid-v3
 
Eset infografia-backup
Eset infografia-backupEset infografia-backup
Eset infografia-backup
 
Eset infografia-backup
Eset infografia-backupEset infografia-backup
Eset infografia-backup
 
Eset infografia-ransomware
Eset infografia-ransomwareEset infografia-ransomware
Eset infografia-ransomware
 
Eset infografia-teletrabajo-v2
Eset infografia-teletrabajo-v2Eset infografia-teletrabajo-v2
Eset infografia-teletrabajo-v2
 
Eset infografia-dia del pirata
Eset infografia-dia del pirataEset infografia-dia del pirata
Eset infografia-dia del pirata
 
Eset infografia-fintech-v3
Eset infografia-fintech-v3Eset infografia-fintech-v3
Eset infografia-fintech-v3
 
Eset infografia-incidentes 2020
Eset infografia-incidentes 2020Eset infografia-incidentes 2020
Eset infografia-incidentes 2020
 
Eset infografia-ransomware-es
Eset infografia-ransomware-esEset infografia-ransomware-es
Eset infografia-ransomware-es
 
Eset infografia-covid-final
Eset infografia-covid-finalEset infografia-covid-final
Eset infografia-covid-final
 
Eset infografia-educacion-ciberseguridad-es
Eset infografia-educacion-ciberseguridad-esEset infografia-educacion-ciberseguridad-es
Eset infografia-educacion-ciberseguridad-es
 

Retos de seguridad para las empresas a partir de BYOD

  • 1. Retos de seguridad para las empresas a partir de BYOD H. Camilo Gutiérrez Amaya Especialista de Awareness & Research Octubre 2012
  • 2. Algunas cifras sobre BYOD .................................................... 4 Cambio de paradig ma en la infraest ruc t u ra ....................... 7 Gestión de riesgos ................................................................... 8 Ho me working .......................................................................... 9 Disposición de la infor mación ............................................... 9 Gestión de aplicaciones ......................................................... 9
  • 3. El fenó meno de que los em pleados de una empresa utilicen sus propios dispositivos para cu mplir con las tareas diarias del trabajo se ha consolidado en los úl ti mos meses y h oy se conoce co mo la tendencia (por las palabras en inglés ). La gran dependencia que se ha desarrollado por la conec tividad y el acceso a la infor m ación en cualquier lugar y mo men t o, co mbinado con los cada vez más livianos y por tables disposi tivos personales, ha dado un gran i mpulso a este fenó meno. Pero estas nuevas tendencias traen asociados riesgos para la seguridad de la infor mación corpora tiva; lo cual lleva a que las áreas enca rgadas de estos te mas plan teen soluciones de acuerdo a la realidad de la empresa y procurando evi tar conflic tos con el desarrollo tecnológico. El obje tivo de este ar tículo es presen tar cuáles son las principales carac terís ticas de la tendencia . Se tra tará la realidad del fenó meno en la región y el re to que represen ta este fenó meno para la gest ión de la seguridad en las empresas. Final men te se enunciarán una serie de consejos que debería seguir una empresa que esté iniciando o revisando la i mple men tación de polí ticas de BYOD en su co mpañía, garan tizando siempre la seguridad de su infor mación. Una de las carac terís ticas principales que aprovechan los usuarios de sus disposi tivos m ó viles, además de su por tabilidad, es la facilidad que ofrecen para el trabajo colabora tivo. Esto lo hacen, mayori taria men te, apoyados en el creci mien t o y las innovaciones que brindan las redes sociales y las tecnologías de conec tividad. Precisamen te la convergencia en el uso y aprovecha mien t o de todas estas carac terísticas ha hecho que se consolide lo que se conoce co mo tendencia BYOD: la incorporación de disposi tivos tecnológicos de los empleados en el ámbi t o laboral para cu mplir con las t a reas propias del quehacer profesional . Sin lugar a dudas, este fenó meno plan tea una serie de riesgos y opor t u nidades para las empresas. En este escenario, las compañías deberían aprovechar las ven tajas que ofrece adop tar esta tendencia, y a su vez t o mar todas las medidas preven tivas para garan tizar l a pro tección de su infor mación. Por ejemplo, las empresas mejorarían la product i vidad si consideraran que para los empleados puede ser mucho más có modo t rabajar en sus
  • 4. propios disposi tivos, pudiendo llevarlos consigo y de esta for ma responder rápida men te a las novedades que se presen ten . De igual manera, en ese con tex to es esencial que las corporaciones cuiden la exposición de infor mación sensible para evi tar la pérdida o fuga de la mis ma. . En agosto 2012, ESET Latinoa mérica realizó una encuesta sobre esta te má tica. Participaron en ella personas, en su mayoría, en t re los 21 y 30 años (43.9%) y en t re los 31 y 50 años (32.8%). De los par t icipan tes, la mi tad trabaja en pequeñas empresas, el 20% en organizaciones medianas y el 30% restan te en co mpañías más grandes, con más de 100 empleados. Algunos de los resul tados dan cuen ta los disposi tivo s personales que más se ut ilizan en el lugar de trabajo son las com p u tadoras por tá tiles y los teléfonos in teligen tes, ade más de las table tas que tienen una par ticipación al ta den t r o de estos disposi tivos. A pesar que los disposi tivos USB para al macenar da tos no están incluidos estric ta men te en la ca tegorización de BYOD, en la encuesta han sido elegidos por el 83.3% de los consul tados co mo disposi t ivos para manejar infor mación corpora tiva.
  • 5. En relación al acceso de infor mación corpora tiva, cerca de la mi tad de los encuestados afir mó u tilizar redes WiFi, mien t ras que un poco más de la tercera par te accede a través de una red cableada provista por la organización. Co mo se mencionó los disposi tivos personales se convier ten en una herra mien ta para desarrollar las tareas laborales, al pun t o que el 58,3% de los encuestados indicó que su u tilización facili ta sus labores. Como par te de las tareas más relevan tes que se realizan con los disposi tivos personales se encuen t ra la revisión del correo elect rónico corporat i vo y el apoyo a las tareas del trabajo. De las personas que u tilizan los disposi tivos personales en la oficina, el 55% los usa única men te para ac tividades personales que no están relacionadas con el trabajo. Queda claro que este tipo de usos ta mbién tiene co mo cont rapar tida la distracción por par te del empleado.
  • 6. Respec to al uso de la información del trabajo, más de la mi tad de los encues tados la al macena en su disposi tivo personal y cerca de un 20% la revisa remo ta men t e sin guardarla en su disposi tivo; apenas una quin ta par t e dice eli minarla una vez ter minado el t rabajo. Estas cifras evidencian una tendencia que debería ser a tendida por las empresas, y es que los usuarios u tilizan sus disposi tivos personales para guardar infor mación corpora tiva. Uno de los da tos más in teresan tes tiene que ver con que cerca de la mi tad de los encuestados no maneja la infor mación de la empresa de for ma cifrada en su disposi tivo personal y el 15,6% dice no saber có mo se maneja la infor mación. Sola men te la tercera par te reconoce manejar la infor mación cifrada. Tan t o la decisión de u tilizar la infor mación cifrada co mo el conoci mien t o por par te de los usuarios den t ro de la red corpora tiva, son cuestiones de impor tancia a tener en cuen ta por par te de quienes se encargan de gestionar la seguridad de la infor mación de una co mpañía. Final men te, en menos de la mi tad de las empresas los encuestados reconocieron que existen polí ticas claras para el manejo de la infor mación , mien t ras que una tercera par te de los encuestados reconoció lo con t rario . La cuar t a par te restan te no conoce si existen polí ticas de este tipo.
  • 7. Al revisar los resul tados mencionados an terior men te se puede inferir que se está n dando ca mbios en la for ma en que se maneja la infor mación corpora ti va. Estas nuevas tendencias en las organizaciones lleva n a que los depar ta men t os de TI deban ca mbiar la concepción del manejo de sus recursos para garan ti zar la seguridad de los da t os de la empresa. Estas nuevas for mas de ma nejar la infor mación hacen que las organizaciones pres ten m ucha más atención a la for ma en que los usuarios se conec tan a las redes de la empresa para manipular la infor mación. Es decir, buscan garan tizar la seguridad, los alt os niveles de rendi mien to y el con t r ol adecuado para los diferen tes tipos de disposi tiv os que se podrían conec tar para com par t ir infor mación. Esta nueva concepción alrededor del có mo se accede a la infor mación hace que las áreas de TI se preocupen cada vez menos por la inf raes tru ctura física a la vez que se reducen los cos tos relacionados a la adquisición de disposi tivos co mo teléfonos celulares y por tá tiles . Sin embargo, ta mbién plan tea nuevas preocupaciones ya que se generan nuevos riesgos
  • 8. que deben ser gestionados adecuada men te para garan tizar la seguridad de la infor mación. Debido a que en este momen t o la tendencia se está consolidando y para muchas organizaciones aún puede ser un te ma que consideren ajeno, se encuen t ra poca claridad en las empresas para el manejo de la infor mación. De esta manera, se dan casos en los que no hay ninguna posición respec to de la u tilización de disposi tivos personales en el lugar de trabajo, y en muchos casos op tan por cerrar cualquier for ma de in teracción o simple men te lo dejan abier t o. Todo este ca mbio de concepción i mplica que las polít icas de seguridad de las co mpañías se empiecen a enfocar en mayor medida en la efec tividad de la seguridad de las redes, con con t roles o segui mien t os sobre los empleados y las aplicaciones que se u tilizan y no exclusiva men te sobre los disposi tivos. Como se ha mencionado, la adopción de BYOD i mplica para las organizaciones un cambio en la for ma de gestionar la seguridad de la infor mación en una amplia variedad de disposi tivos, aplicaciones y siste mas opera tivos. A con tin uación se mencionan algu nos de estos re tos. Lo pri mero para garan tizar la seguridad de la infor m ación es una adecuada gestión de riesgos la cual par te del conoci mien t o de los ac tivos de infor mación con los que cuen ta la empresa. Los análisis de riesgos deben pa r ti r de la clasificación de la infor mació n con el obje tivo de establecer, por eje mplo, cuáles son los da tos más sensibles que requieren mayores niveles de pro tección, qué infor mación se puede acceder desde disposi tivos personales, qué infor mación puede accederse por fuera de la red de la empresa y a qué infor mación se debe restringir el acceso. A par tir de este análisis se llega a establecer cuáles son las medidas de con t rol más adecuadas para garan tizar la seguridad de infor mación, que van desde disposit i vos o medidas de carác ter tecnológico (soluciones an tivirus, DLP, VPN, Fire wall, IDS, IPS, etc.) has ta el estableci mien t o de polí ticas para la gestión de disposi tivos, donde se de ter mina qué tipo de disposi tivos y aplicaciones es posible u tilizar. Además, medidas com o los
  • 9. con t roles de acceso a la red (NAC) pueden ser de gran ayuda para tener un moni t o reo de có mo se u tilizan los recursos de red co mpar tidos por los empleados. Toda esta gestión de riesgos, debe estar co mple ment ada con un adecuado plan de educación y concien tización que involucre a todos los niveles de la organización para que conozcan las implicaciones del uso de sus disposi tivos personales, los riesgos a los que están expues tos y las medidas de seguridad que deben tener en cuen ta. Al ser posible el manejo de infor mación laboral en disposi tivos personales, o t ras tendencias co mo la posibilidad de trabajar desde la casa ( tienen un i mpulso i mpor tan te. Este tipo de tendencias pro mueven que las empresas incluyan en sus análisis o t ro tipo de riesgos y que consideren algunas implicaciones legales que pueden llegar a tener. Por eje mplo, a par tir de la manipulación de infor mación laboral en disposi tivos con siste mas opera tivos o aplicaciones Es necesario en to nces que las empresas asignen licencias en los disposi tivos de los empleados o consideren al terna ti vas, co mo por eje mplo el uso de sof t w are libre en estos casos. Si el empleado manipula infor mación de la empresa en su disposi tivo, debe est a r claro cuál será la disposición de la mis ma una vez ter min ada la relación con t rac t ual. Ya que es m u y co mplicado tener la seguridad que está infor m ación será eli minada. Una vez más es necesario tener claro qué t ipo de infor mación se puede descargar y manipular desde disposi tivos personales. Ade más, aspectos con t rac t uales co mo la fir ma de acuerdos de confidencialidad pueden ser co mple men t os que brinden a la empresa herra mien tas adicionales para ac tuar en caso de que la infor mación sea expues ta. Ya se mencionó que uno de los principales re tos para las empresas es la gestión de la gran diversidad de aplicaciones que un empleado puede tener ins talado en su dispositivo. El re to para las organizaciones se vuelca en tonces en garan tizar que los disposi tivos , a t ravés de los cuales se accede a la infor mación , cuen ten con aplicaciones seguras que no pongan en peligro la in tegridad de la infor mación.
  • 10. En esta mis ma línea es necesario que la empresa diferencie el uso que los empleados puedan tener de los recursos de la mis ma a través de sus disposi tivos personales. Es así co mo segura men te muchos de los empleados solamen te u tilizarán sus disposi tivos para ma nipular infor mación personal. En estos casos la gestión de los recursos de red se vuelve sensible para i mpedir la int r usión ilegal a los siste m as de la co mpañía. Has ta este pun t o se han mencionado los re tos y las ven tajas que esta tendencia tiene para las empresas. De esta for ma, la pregun ta que surge es: ¿Se debe permi ti r o prohibir el uso de disposi tivos personales en el lugar de trabajo para manipular la información de la empresa? La respuesta en este caso t iene que estar precedida de un j uicioso análisis de riesgo. El resul tado de este análisis le da a las organizaciones el panora ma co mple to de qu é infor mación maneja y cuáles son las carac terísticas más adecuadas para garan tizar su seguridad. Más allá de si final men te se adop te o no el BYOD en la organización, lo más coheren te es que las organizaciones se preocupen por to mar una pos tura ya que este te ma es una realidad y lo más peligroso para la infor mación es adop tar una posición indiferen te. Independien te men te de la posición que adop te la em p resa alrededor del BYOD, es necesario que se to men algunos recaudos para garan tizar la seguridad de su infor mación:  Analizar la capacidad y la cober t u ra que tienen las redes corpora tivas para per mi ti r el acceso de disposi tiv os diferen tes a los de la empresa. El acceso a estos recursos debería estar protegido con credenciales que per mi tan individualizar quién accede y qué tipo de infor mación manipula.  La gestión debe estar basada en roles. El acceso a la infor mación debe ser res tringido de for ma que se garan tice que sola men t e podrá n acceder a la infor mación aquellas personas que real men te lo necesi ten. Esta gestión debe ser precedida de una adecuada clasificación de la información que le permi ta a la empresa conocer todos sus activos de infor mación.
  • 11. Teniendo en cuen ta que son muchos los disposi tivos en el mercado, es pruden te hacer un análisis de qué tipo de disposi tivos son los más adecuados para manejar la infor mación de la empresa.  Según la diversidad de disposi tivos y aplicaciones que se pueden manejar, se debe redac tar la polí tica que aclaré qué disposi tivos pueden acceder a la infor mación corpora tiva. Ade más, para garan tizar que códigos maliciosos no afec ten los da tos, t o dos los disposi tivos deben con tar con soluciones de seguridad que de tec ten proac tiva men te este tipo de amenazas.  El acceso a través de conexiones WiFi debe ser correcta men te configurado, u tilizando pro t ocolos de cifrado, para garan tizar la seguridad de la infor mación. El t ráfico de disposi tivos BYOD debería ser clara men t e iden tificable, además de tener un con t rol más estricto.  Para permi t ir el acceso rem o t o, el uso de tecnologías como VPN garan tizan la pro tección de la infor mación que se manipul a. Además, debe llevarse un cont rol de quién accede y los cambios que se realiza.  La educación debe ser un pilar i mpor tan te para que todos los usuarios sean conscien tes de los riesgos a los cuales pueden verse expues tos y cuáles son los cuidados que deben tener en cuen ta al manejar la infor mación de la empresa.  Realizar con mayor periodicidad los análisis de riesgos y vulnerabilidades para de ter minar el estado de la empresa an te esta tendencia, ya que la aparición de nuevos disposi tivos o aplicaciones pueden beneficiar o afec tar a las organizaciones. Cuando se habla de BYOD se hace referencia a una tendencia consolidada y an te la cual las empresas deben hacer un análisis de riesgos para to mar una posición al respec to. La adopción de esta tendencia por par te de las compañías puede traer grandes beneficios relacionados con la disminución de gastos en infraestruc t ura, la co modidad de los empleados para el manejo de la infor mación y por t an to el incre men t o de la produc tividad. Pero a su vez, enfren ta a la empresa a nuevas amenazas que deben ser gestionadas, las principales y quizás las más preocupan tes son la fuga y el acceso no au t o rizado a la infor mación. Es así como las empresas para enfren tar estos re tos deben establecer una mezcla en t re polí ticas claras para el manejo de la infor mación y el uso de herra mien tas adecuadas que per mi tan la gestión de la seguridad de la mis ma. Todo esto debería estar alineado con los obje tivos del negocio, pues cualquier decisión que se to me debe estar enfocada en
  • 12. au men tar la produc tividad y hacer más ágiles y seguros los procesos in ternos. Estas dos medidas se deben co mplemen tar con un adecuado plan de divulgación y educación para que a todos los niveles de la organización conozcan las restricciones alrededor del manejo de la infor mación.