BYOD, siglas en inglés para “Bring Your Own Device”, es un fenómeno que poco a poco ha ido llegando a Europa, y aunque cuenta con una serie de beneficios para trabajadores y empresa, no son pocos los riesgos que entraña respecto a la protección de datos y la ciberseguridad. Por lo que antes de lanzarte a aplicar esta política en tu empresa, no dejes de leer esta entrada para comprender estos riesgos y sopesarlos respecto a las posibles ventajas.
En este artículo hablamos de:
¿Qué es el BYOD?
Muy extendido en EE.UU. y entrando en Europa, BYOD significa en español “Trae tu propio dispositivo”, es decir, que los trabajadores pueden utilizar sus dispositivos portátiles o móviles privados en la oficina, en vez de trabajar con el ordenador de la empresa.
Los trabajadores pueden usar sus portátiles, tablets o smartphones para trabajar tanto en el centro de trabajo como fuera de él, si bien, se trata de una decisión voluntaria, ya que el empresario no puede obligar a sus empleados a trabajar con sus equipos privados. Y aunque en este artículo nos vamos a centrar en su uso en la empresa, BYOD también es utilizado en otros ámbitos no profesionales (escuelas, universidades, bibliotecas, etc.).
Así, BYOD es una política que fomenta el uso de esta práctica, que entre sus ventajas, puede ayudar a reducir costes a la empresa, aumentar el teletrabajo o la productividad y eficiencia del empleado. Pero su implementación también requiere llevar a cabo una política BYOD; se trata de unas directrices claras que definan cómo pueden los trabajadores usar sus propios dispositivos en la red de la compañía, los requisitos de seguridad y las normas de conducta que deben contemplarse. Porque junto a esas ventajas también hay riesgos que tener en cuenta.
Estas directrices se suelen elaborar en colaboración con el empleado y el comité de empresa, pudiendo establecerse en una cláusula adicional incluida en el contrato de trabajo. Esto se debe a que los programas BYOD están asociados a temas complejos que requieren aclaraciones precisas, como pueden serlo los derechos de control y acceso, la privacidad de los empleados y la protección de datos en la empresa.
Aplicación del BYOD en las empresas
La introducción del concepto BYOD en las empresas tiene para los empleados una primera ventaja: más comodidad en su día a día en el trabajo. Principalmente porque en vez de usar equipos que suelen estar algo anticuados, el empleado puede utilizar un dispositivo más actual o de última generación. Además, en viajes de negocio no se hace necesario viajar con el equipo de la empresa y el personal. De esto podemos colegir que la aplicación del principio BYOD ha venido propiciada por los empleados más jóvenes, es decir, aquellos que han crecido con los dispositivos móviles y su uso cotidiano.
Para las empresas, adoptar la política BYOD puede venir acompañada de varias ventajas, como por ejemplo, un aumento en la productividad de los empleados que usan sus equipos privados en el trabajo, porque se trata de dispositivos que conocen perfectamente y con los que se manejan con velocidad. También fomenta el teletrabajo y el trabajo flexible. Y de cara a la economía, se pueden ahorrar costes en la adquisición de nuevos equipos de oficina.
Sin embargo, hay otros aspectos menos positivos respecto a la implementación del BYOD. Por un lado tiene altos costes de implementación y mantenimiento, además de que puede suponer una mayor complejidad en el funcionamiento de la empresa, puesto que supone el abandono de la una estrategia generalizada de estandarización de la infraestructura de IT. Por lo que la empresa deberá enfrentar los desafíos técnicos y organizativos que trae consigo esta política de uso de dispositivos privados en el trabajo.
Para los empleados tampoco está exento de inconvenientes; no solo implica instalar una serie de servicios y aplicaciones necesarias en los equipos y dispositivos privados, también puede suponer aceptar cierto control sobre dichos equipos y dispositivos por parte de la empresa, para garantizar la seguridad de los datos y de la red interna. Esto a su vez puede implicar que el empleado contribuya con los costes que puede generar. Y siempre está la posibilidad de que la línea que separa el trabajo y la vida familiar y privada se difumine cuando se puede acceder al trabajo las 24 horas del día los 7 días de la semana o cuando resulte más fácil caer en las distracciones que incluye nuestro propio dispositivo.
BYOD y protección de datos
A través de lo que ya hemos visto, podemos prever que implementar una política BYOD en la empresa va a traer consigo riesgos en la seguridad y la protección de datos que no se pueden obviar. Datos sensibles de clientes, empleados y empresas quedarán almacenados en un dispositivo externo que no se podrá controlar totalmente, cuyas medidas de seguridad pueden ser más débiles que las de un entorno IT corporativo, o simplemente el empleado puede tener menos cuidado a la hora de entrar en enlaces sospechosos y aumentar el riesgo del acceso de malware a la red de la empresa.
Por otro lado, dado que la empresa es la única responsable de la aplicación de las políticas y medidas de protección de datos de acuerdo a lo previsto en el RGPD y la LOPD, incluyendo los dispositivos privados que se usen para trabajar, es evidente que se enfrentará a retos técnicos, administrativos y legislativos importantes, especialmente teniendo en cuenta los diferentes sistemas operativos y programas que deberán integrarse en la misma red.
Ante este escenario, es indudable que la empresa deberá ejercer cierto control sobre los equipos privados que sus empleados usen para trabajar y poder aplicar las medidas de protección de datos necesarias, garantizar la estricta separación de los datos empresariales y privados y hasta poder realizar una eliminación remota de dichos datos, en caso de duda o amenaza. Esto debe conciliarse con el derecho del usuario a la autodeterminación informativa en el marco del RGPD, una cuestión compleja y conflictiva.
Así, es importante que todas las posibles preguntas que surjan del empleo del BYOD tengan una respuesta clara y que no deje lugar a ambigüedades (por ejemplo, ¿pueden terceros, como un familiar del empleado, usar el dispositivo?, ¿qué ocurre en caso de que el empleado dimita con esos datos?). La política BYOD debe publicarse de forma abierta y transparente al personal, de manera que se reduzcan todo lo posible las fugas de datos e infracciones de las leyes de protección de datos. Pero hay que tener en cuenta que siempre quedará un riesgo residual, porque al final del día, el empresario habrá perdido una parte del control y confiado en la responsabilidad de sus empleados.
Riesgos del BYOD
Pero, ¿cuáles son los principales riesgos asociados al del BYOD en las empresas?:
- Robo, pérdida o daño del dispositivo; los móviles y portátiles tienen un valor económico alto y eso les hace susceptibles de sufrir esas posibilidades.
- Seguridad desactualizada; si no se cuenta con la última versión de un sistema operativo y aplicaciones de seguridad, el dispositivo queda expuesto a fallos de seguridad conocidos.
- Eliminar controles de seguridad en el sistema operativo; hay algunos usuarios que deciden eliminar estos sistemas de seguridad que vienen por defecto en los equipos para poder añadir ciertas funcionalidades, que pueden poner en riesgo la seguridad de los dispositivos.
- Conexiones inalámbricas no seguras; utilizar redes WiFi públicas o con poca seguridad pueden poner en riesgo al dispositivo y a la información que almacena. Lo mimos ocurre con el uso de Bluetooth o NFC, ya que cualquier atacante que se encuentre dentro del radio de acción, puede aprovecharse de las vulnerabilidades o de una mala configuración para interceptar datos e información.
- La falta de cifrado en los dispositivo puede suponer un riego considerable, ya que un atacante podría acceder a toda la información almacenada en él. Android e iOS cuenta con un sistema de cifrado por defecto, pero otros sistemas operativos no lo tienen. Este cifrado, además, debería extenderse a los dispositivos de almacenamiento extraíbles, como memorias USB o discos duros externos.
- Controles de acceso al dispositivo insuficientes o inexistentes; no tener un sistema de control de acceso sólido puede dejar la puerta abierta a que cualquiera pueda entrar en el dispositivo. Por ejemplo, el patrón de desbloqueo por si solo sería insuficiente.
- Instalar aplicaciones no confiables; puede suponer el riesgo de que accedan a demasiada información o incluso instalen algún “extra” no deseado en el dispositivo o hasta malware.
- Uso del dispositivo por terceros; dado que es un equipo personal, puede que en alguna ocasión el empleado lo preste a una tercera persona que podría acceder a información confidencial de la empresa.
- Final de la relación laboral del empleado con la empresa; puede que se queden datos confidenciales descargados en el dispositivo del empleado, que podría llegar a hacer un uso indebido de los mismos.
Enfoques técnicos para la seguridad en la implementación del BYOD
Desde el punto de vista técnico, estos son los diferentes enfoques que usan los departamentos de informática para hacer frente a los retos de seguridad que supone la implementación del BYOD en la empresa:
- Uso de conexiones cifradas a través de redes privadas virtuales o VPN, servicios restringidos y la autenticación de dos factores.
- Uso de contenedores cifrados, mediante esos sistemas se crean particiones aisladas y restringidas en el disco duro local, donde se almacenarán los datos relacionados con el trabajo y la empresa y desde donde se establecerá la conexión a la red de la empresa.
- Uso de software MDM o de gestión de dispositivos móviles (Mobile device Management), que permite la integración y administración central de dispositivos privados en las empresas. Estas interfaces profesionales pueden gestionar datos, instalar actualizaciones y configurar bloqueos para conexiones WLAN no seguras y aplicaciones de proveedores externos desconocidos, todo ello de forma remota. Hay que tener en cuenta que suponen un mayor control por parte del empresario sobre el dispositivo privado.
- Soluciones sandbox como los escritorios virtuales o las aplicaciones web, que permiten a los trabajadores acceder de manera remota desde su equipo privado al ordenador de la empresa, de manera que no se almacenan datos confidenciales en dispositivos externos.
Recomendaciones para la utilización segura de BYOD
Vistos los riesgos que lleva aparejado la implementación del BYOD en la empresa, aquellas compañías que aún así decidan optar por su uso, deberán llevar a cabo una serie de buenas prácticas, que deberán informar a sus empleados, para que la información de la empresa y los datos sensibles que se manejan no corran peligro de ser filtrados o perdidos.
Estas son algunas recomendaciones que se deben tener en cuenta a la hora de implementar una política BYOD:
- Crear una normativa clara para regular el uso del BYOD a la que tendrán acceso todos los empleados. Deberá contener un listado de dispositivos autorizados, condiciones en las que se permite su uso, cómo acceder a la información, las configuraciones de seguridad necesarias para utilizarlos, etc.
- Implementar una política de formación y concienciación para los trabajadores que vayan a hacer uso del BYOD.
- En caso de robo o pérdida, se contará con medidas que permitan la localización por GPS del dispositivo, así como la posibilidad de realizar un borrado remoto.
- Los medios de almacenamiento externos (memorias USB, discos duros externos, tarjetas SD) estarán cifrados.
- Dispositivos, sistemas operativos y aplicaciones instaladas estarán actualizados a la última versión disponible.
- Elaborar una lista con las aplicaciones permitidas y las prohibidas.
- Se prohibirá el uso de dispositivos rooteados o que cuenten con un jailbreak.
- Evitar el uso de redes WiFi abiertas y fomentar el uso de datos. Para dispositivos sin conexión a Internet, se usará un modem USB o se compartirá la conexión de datos del móvil. Si se tiene que utilizar una WiFi pública, la conexión se hará siempre por canales donde la información esté cifrada, como una VPN.
- Los dispositivos deben contar con mecanismos de acceso robustos, como contraseñas o mecanismos de control biométricos (como la huella dactilar). Se establecerá un tiempo máximo de inactividad para que el dispositivo se bloquee automáticamente.
- Evitar ceder el dispositivo a terceros y mantenerlo siempre bajo custodia.
- Tener una base datos de usuarios y dispositivos, de manera que se pueda saber en todo momento la relación de dispositivos que acceden a los recursos de la empresa, los usuarios que los manejan y los privilegios de seguridad que tienen.
- Es preferible almacenar datos en la nube para intercambiar archivos que hacerlo de forma real, utilizando preferiblemente sistemas de almacenamiento corporativos y no públicos, ya que la empresa tendrá mayor control sobre la seguridad y el acceso a los datos allí almacenados.