LOS EXPERTOS OPINAN: `Creación de un programa de implantación de la estrategia BYOD en las empresas´ - JOSÉ ANTONIO PEREA

Publicado el 22-01-2018      Notícia sobre:
 

 

     

José Antonio Perea

Jefe de la Unidad de Innovación, Gestión Tecnológica y Movilidad - SGAD Secretario General de Administración Digital.

Miembro del Centro de Estudios en Movilidad e IoT de ISMS Forum.

Los modelos BYOD permiten a los usuarios acceder a servicios, recursos o datos corporativos (tales como correo electrónico, servidores de archivos, bases de datos, aplicaciones…) desde sus dispositivos personales (teléfonos móviles, tablets…).

Existen numerosas amenazas y vulnerabilidades asociadas a las políticas de BYOD que pueden poner en riesgo la seguridad, tanto del propio dispositivo, como de la información que gestiona y los sistemas a los que se accede. En este sentido, el último Informe de Ciberamenazas y Tendencias publicado por el CCN-CERT señala el crecimiento constante de vulnerabilidades en dispositivos móviles de las que más de un tercio podría derivar potencialmente en una violación completa de los aspectos de seguridad de una organización: hacer que el sistema completo quede fuera de servicio (ataque a la disponibilidad), realizar alteraciones en los ficheros del sistema (ataque a la integridad), acceder a los ficheros del sistema (ataque a la confidencialidad) y suplantar la identidad del usuario del dispositivo (autenticación).

 

El reto máximo para cualquier programa BYOD no consiste solo en administrar la seguridad de los datos y optimizar la productividad del usuario final, sino que se trata de mantener un equilibrio constante entre seguridad, cumplimiento, responsabilidad legal, iteración con el pliego del concurso (soporte, formación…)y una experiencia de usuario positiva. No se trata solo de realizar una estrategia integral de prácticas recomendadas o condiciones de uso para asegurar y habilitar los dispositivos personales en el entorno laboral, sino de cómo preparar a la organización para preparar, crear, lanzar y mantener un programa de BYOD:

1.     Preparar a la organización.

  • Determinando la tolerancia a los riesgos que un programa de BYOD trae consigo.
  • Involucrar a las unidades implicadas en cada entidad: usuarios, seguridad, sistemas, dirección… para garantizar el impulso adecuado del programa.
  • Identificar si se cuenta con el personal técnico adecuado, tanto a nivel de recursos como de capacitación.

2.     Creación del programa:

  • Creación del equipo de trabajo. Se debe contar con el personal suficiente que cuente con los conocimientos adecuados en función de los perfiles aplicados a la movilidad.
  • El programa debe ser sostenible en el tiempo garantizando su usabilidad frente al reto de los cambios tecnológicos que en la movilidad se producen muy rápidamente.
  • Generar modelos de confianza que no comprometa la seguridad de los datos, evaluando los riesgos de seguridad, indicando las medidas para remediarlos y estableciendo políticas de seguridad por niveles de acceso y aplicación.
  • Seleccionar los dispositivos:

·Deben Incluir todas las plataformas móviles deseadas en el programa que cumplan con los requisitos de seguridad y asistencia técnica de la organización.

· Desarrollar un plan de certificación.

· Identificar claramente qué dispositivos están, o no, permitidos y por qué.

·Asegurarse de que el equipo técnico mantiene los conocimientos y experiencia sobre los dispositivos móviles y sistemas operativos en constante evolución para evitar que el programa BYOD quede obsoleto rápidamente.

  • Creación de políticas y procedimientos claros que prevean los límites y condiciones a los que deben someterse los empleados.
  • Implantación de las políticas a adoptar en el sistema de gestión de la movilidad corporativa adecuando los perfiles, restricciones y acciones a realizar ante cualquier incidencia o problema dado. Mantener un enfoque integrado de la seguridad BYOD a tres niveles:

·Seguridad en el dispositivo.

·Protección de los datos y el tráfico.

·Protección de la red.

3.     Implementación del programa (previamente se realizará un proyecto piloto):

  • Formación.
  • Instalación del agente en el dispositivo BYOD.
  • Enrolamiento del dispositivo en la plataforma.
  • Aceptación de las condiciones de uso.

4.     Mantenimiento del programa.

  • Cambio en el modelo de gestión del soporte técnico al no ser dispositivos corporativos no tienen soporte por parte del operador.
  • La gestión de las incidencias se circunscribe a la línea de comunicaciones y a las acciones que sobre ella realice el operador (roaming, alta, baja…), no al dispositivo.
  • Procedimientos operativos y de mantenimiento que se deben realizar de forma continuada, para garantizar que la solución se mantiene en todo momento operativa y conforme con los niveles de seguridad exigido.

              

En definitiva, para que un programa BYOD tenga éxito debemos tener en cuenta la gestión de los dispositivos, el acceso a la información y a las diferentes tareas, las buenas prácticas, la racionalización de los recursos móviles, la seguridad de los datos y la administración de redes, todo esto son cuestiones que hay que contemplar, buscando siempre el equilibrio entre adaptabilidad y seguridad y enmarcarlo todo dentro de la política de seguridad BYOD de la organización.

Existen numerosas amenazas y vulnerabilidades asociadas a las políticas de BYOD que pueden poner en riesgo la seguridad, tanto del propio dispositivo, como de la información que gestiona y los sistemas a los que se accede. En este sentido, el último Informe de Ciberamenazas y Tendencias publicado por el CCN-CERT señala el crecimiento constante de vulnerabilidades en dispositivos móviles de las que más de un tercio podría derivar potencialmente en una violación completa de los aspectos de seguridad de una organización: hacer que el sistema completo quede fuera de servicio (ataque a la disponibilidad), realizar alteraciones en los ficheros del sistema (ataque a la integridad), acceder a los ficheros del sistema (ataque a la confidencialidad) y suplantar la identidad del usuario del dispositivo (autenticación).

 

Global Gold Sponsor