 |
| Fuente de la imagen: mvc archivo propio |
El INCIBE se pregunta por el riesgo que supone el uso por parte de los colaboradores de sus dispositivos personales en el ámbito laboral. Hay que tener en cuenta que al ser personales, no tienen la configuración de seguridad que la empresa ha decidido implementar, provocando que exista una falta total de control sobre ese dispositivo. El Instituto inventaría algunos de los riesgos. Un dispositivo personal con documentos de la empresa cuando se conecta a una red externa no segura podría dar acceso a terceras personas a la información corporativa almacenada en el mismo. Instalar aplicaciones con permisos de acceso a diferentes partes del dispositivo[2] donde podría haber información sensible de la organización. Dispositivos sin medidas de seguridad, por ejemplo si no tienen contraseña, patrón o huella para acceder o si no han cifrado su contenido, podrían permitir a cualquiera que se hiciera con él acceder a todo su contenido, etc. Si la empresa decide integrar estos dispositivos en sus sistemas, debe definir una política que indique los requisitos que se tienen que cumplir a la hora de utilizar los dispositivos personales en el ámbito laboral.
Para ello, hay que tener en cuenta, además de la concienciación, aspectos organizativos y normativos, y aspectos técnicos. Las cuestiones organizativas y normativas prioritarias para el INCIBE son: definición de normas y procedimientos en cuanto al uso de BYOD, especificando las condiciones en las que se permite su uso, cómo se accede a la información, configuración mínima de seguridad necesaria, etc. ; limitación de las instalaciones de aplicaciones, estableciendo una lista de las que no se podrá hacer uso, así como la prohibición de uso de dispositivos manipulados (jailbreak o ruteado), que permiten la instalación de aplicaciones que no provienen de repositorios oficiales; restricción en el acceso a redes desconocidas, indicando que preferentemente se conecten a través de las redes 3G o 4G. En ningún caso se permitirán conexiones a través de redes wifi abiertas y el establecimiento del proceso que hay que seguir para entregar o eliminar la información de estos dispositivos cuando el empleado abandona la organización.
Otro aspecto que el Instituto considera importante es la concienciación y formación a empleados. Hacer todo lo necesario[3] para que los empleados sean conscientes de la importancia para la empresa de la correcta protección y el uso adecuado de estos dispositivos. Establecer una política de formación sobre su uso seguro, incidiendo sobre temas de importancia transversal como la configuración de parámetros básicos de seguridad, actualizaciones tanto de sistema operativo como de aplicaciones, etc. Hacer uso de dispositivos personales en el ámbito laboral es una situación que deberá contemplarse por parte de la organización. Para esta gestión, se deberá contar con una política de seguridad a la cual tendrá que acogerse el trabajador. Este tipo de medidas serán de vital importancia para garantizar la integridad de la información que se maneje que este tipo de dispositivos. Pero el empleado también tendrá que ser consciente de los riesgos existentes y deberá estar concienciado en llevar a la práctica las medidas propuestas por la empresa (Fuente de la información: INCIBE. Fuente de la imagen: mvc archivo propio).
__________________
[1] Bring Your Own Device.
[2] Contactos, fotos, archivos...
[3] Cursos, charlas…