miércoles, 25 de abril de 2018

Uso de los móviles privados en el trabajo

Ayer me remitió el Registro de Expertos en Cumplimiento Normativo y Digitalización, ECN-CGE, en el que me encuentro integrado, perteneciente al Consejo General de Economistas de España, link al Instituto Nacional de Ciberseguridad, INCIBE, con unos consejos con buenas prácticas de uso del móvil en el trabajo. Por su interés, me tomo la libertad de transcribirte algunas de las reflexiones.  Según el instituto, el uso de dispositivos de propiedad privada en el ámbito corporativo, como por ejemplo, ordenadores portátiles, tablets, smartphones, etc., se ha convertido en una práctica muy habitual y extendida entre trabajadores y trabajadores, situación que implica un mayor grado de atención, tanto por parte del empleador como del empleado, ya que un uso indebido podría comprometer la seguridad e integridad de la información de la empresa y también de la personal. Hacer uso de dispositivos personales en el ámbito corporativo se conoce como BYOD por sus siglas en inglés (Bring Your Own Device). 

El INCIBE se pregunta por el riesgo que supone el uso por parte de los colaboradores de sus dispositivos personales en el ámbito laboral. Hay que tener en cuenta que al ser personales, no tienen la configuración de seguridad que la empresa ha decidido implementar, provocando que exista una falta total de control sobre ese dispositivo. El Instituto inventaria algunos de los riesgos. Un dispositivo personal con documentos de la empresa cuando se conecta a una red externa no segura podría dar acceso a terceras personas a la información corporativa almacenada en el mismo. Instalar aplicaciones con permisos de acceso a diferentes partes del dispositivo (contactos, fotos, archivos,..) donde podría haber información sensible de la organización. Dispositivos sin medidas de seguridad, por ejemplo si no tienen contraseña, patrón o huella para acceder o si no han cifrado su contenido, podrían permitir a cualquiera que se hiciera con él acceder a todo su contenido, etc.

Si la empresa decide integrar estos dispositivos en sus sistemas, debe definir una política que indique los requisitos que se tienen que cumplir a la hora de utilizar los dispositivos personales en el ámbito laboral. Para ello, hay que tener en cuenta, además de la concienciación, aspectos organizativos y normativos, y aspectos técnicos. Las cuestiones organizativas y normativas prioritarias para el INCIBE son: definición de normas y procedimientos en cuanto al uso de BYOD, especificando las condiciones en las que se permite su uso, cómo se accede a la información, configuración mínima de seguridad necesaria, etc. ; limitación de las instalaciones de aplicaciones, estableciendo una lista de las que no se podrá hacer uso, así como la prohibición de uso de dispositivos manipulados (jailbreak o ruteado), que permiten la instalación de aplicaciones que no provienen de repositorios oficiales; restricción en el acceso a redes desconocidas, indicando que preferentemente se conecten a través de las redes 3G o 4G. En ningún caso se permitirán conexiones a través de redes wifi abiertas y el establecimiento del proceso que hay que seguir para entregar o eliminar la información de estos dispositivos cuando el empleado abandona la organización.

Otro aspecto que el Instituto considera importante es la concienciación y formación a empleados. Hacer todo lo necesario (cursos, charlas…) para que los empleados sean conscientes de la importancia para la empresa de la correcta protección y el uso adecuado de estos dispositivos. Establecer una política de formación sobre su uso seguro, incidiendo sobre temas de importancia transversal como la configuración de parámetros básicos de seguridad, actualizaciones tanto de sistema operativo como de aplicaciones, etc. Hacer uso de dispositivos personales en el ámbito laboral es una situación que deberá contemplarse por parte de la organización. Para esta gestión, se deberá contar con una política de seguridad a la cual tendrá que acogerse el trabajador. Este tipo de medidas serán de vital importancia para garantizar la integridad de la información que se maneje que este tipo de dispositivos. Pero el empleado también tendrá que ser consciente de los riesgos existentes y deberá estar concienciado en llevar a la práctica las medidas propuestas por la empresa (Fuente de la información: INCIBE. Fuente de la imagen: pixabay).