Cada vez más profesionales utilizan sus dispositivos propios de cómputo personal –smartphones, laptops y tablets– en sus actividades de trabajo, tanto de manera independiente como en las grandes corporaciones. Esta tendencia, que viene desarrollándose en los últimos años, se conoce como “Trae Tu Propia Tecnología” al trabajo o BYOT, por sus siglas en inglés (Bring Your Own Technology).
Esta práctica tiene ventajas como mejorar la conectividad y satisfacción de los trabajadores en un 57% y 52% respectivamente. De acuerdo con un estudio de Citrix Systems, están haciendo que cada vez más organizaciones consideren aplicar políticas formales de BYOT para mediados del 2013, con el fin de retener a sus empleados más talentosos, aumentar la productividad de sus trabajadores, elevar su nivel de satisfacción y reducir costos de TI.
Sin embargo, para Andrés Velázquez, presidente y fundador de MaTTica, empresa dedicada a la realización de investigaciones digitales y experto en Delitos Informáticos, esta flexibilidad respecto a los dispositivos que los empleados pueden conectar a la red de la empresa trae consigo una serie de riesgos de seguridad que deben ser considerados en las políticas corporativas.
“Para empezar, creo que las empresas deben tener en cuenta que permitir que cualquier empleado pueda conectar sus propios dispositivos a la red corporativa, sean laptops, smartphones, tablets, memorias USB o discos duros externos, podría significar abrir la puerta a una potencial fuga masiva de datos e información sensible. Por eso, hay que empezar estableciendo niveles de acceso y herramientas de control, tanto en la red como en los dispositivos móviles, que permitan saber quién se conecta, desde dónde y con acceso a qué información”, comenta Andrés Velázquez.
De acuerdo con un estudio de McAfee y la Carnegie Mellon University sobre movilidad y seguridad, el 72% de los empleados que se conectan con sus propios dispositivos a la red de su empresa lo hacen con su computador portatil, mientras el 48% lo hace con su smartphone, el 46% con sus memorias USB y un 33% con un disco duro externo. A eso hay que sumarle las cada vez más generalizadas tablets.
“Hay que tener en cuenta que la información corporativa que un empleado se lleve consigo estará expuesta ya no solo a los riesgos informáticos clásicos, como virus y malware, sino también a peligros de robo de los dispositivos, pérdida de datos por mal uso de los mismos, fraudes, etc. Es bastante sencillo extraer información de un smartphone, y con uno solo de estos equipos se puede obtener grandes cantidades de información sensible, como listas de contactos, correos corporativos, clientes, planes de negocio, contraseñas, nombres de usuario de la red y más”, indica Velázquez.
Como recomendaciones, Andrés propone a quienes utilizan ya el BYOT o están en proceso de implementar esta práctica en su empresa, tomar en cuenta algunos consejos de seguridad:
1. A nivel empresarial, establezca una política clara de acceso y uso, tanto de la red como de la información corporativa, así como estrategias bien delimitadas para el funcionamiento interno de BYOT.
2.Los elementos de seguridad corporativa –desde la política hasta antivirus y herramientas de cifrado– deben ser integrados también en los dispositivos. Contraseñas seguras (con letras, números y símbolos), aplicaciones de recuperación contra robos (para ubicar remotamente el equipo, o en el peor de los casos poder borrar toda su información de manera remota) y herramientas de cifrado, entre otras, deben ser instaladas en todos ellos.
3. Hacia afuera, se debe establecer una serie de pautas para el buen uso y cuidado de los dispositivos, ya que a pesar de ser propiedad de los empleados, contienen datos corporativos sensibles. Por ejemplo, nunca se debe dejar el smartphones abandonado, pues hay más posibilidad de perderlo o de que sea robado. Cabe mencionar que, según McAfee, 40% de las empresas han sufrido el robo o la pérdida de dispositivos móviles, la mitad de los cuales contenía información confidencial.
4.Aunque sean dispositivos personales, no compartan aquellos en los que tienen información corporativa. Hay muchos casos, especialmente con los computadores portátiles, en los que datos sensibles han sido dañados o borrados sin querer, por un hijo al que se le prestó la computadora para sus trabajos o juegos.
“Finalmente, creo que la opción de BYOT debe ser aplicada solo con empleados de confianza, y aún así manteniendo la información sensible de la empresa únicamente disponible en línea, sin que pueda ser copiada o almacenada fuera de la red corporativa. Esto disminuye la responsabilidad del empleado, y aumenta el control que se tiene de la información, no solo previniendo los riesgos de pérdidas, sino también en el caso de que el empleado deje de laborar en la corporación. Como muchos temas de seguridad, requiere contar con un buen criterio y mucha prevención”, finaliza Andrés Velázquez.