BYOD: de lo extraordinario a lo cotidiano

En 2013 comenzamos a escuchar un término, BYOD (Bring Your Own Device), acuñado para una tendencia que cada vez cobraba más importancia: incorporar a la vida empresarial, normalmente a iniciativa de los propios trabajadores, los dispositivos personales de tal forma que se integraran en la red corporativa.

El origen es sencillo: la evolución tecnológica – como sigue sucediendo hoy en día – era más rápida en la vida personal que en la empresarial. Lo que llevó a muchas empresas a integrar en sus sistemas los terminales más avanzados de sus empleados (ya fueran portátiles, tablets o smartphones), dando así respuesta a los deseos de sus propietarios. Con el tiempo, el hype en torno a BYOD se redujo y dejó su lugar a otras tecnologías más disruptivas como la Automatización, la IA o el ML.

Siete años después y, con motivo de la crisis provocada por la COVID-19, algo que por aquél entonces ocupaba titulares y análisis con sus ventajas e inconvenientes hoy es algo habitual. Tanto, que se ha convertido en los últimos meses en un auténtico reto de seguridad para los responsables de sistemas y los equipos de IT.

En el momento en que en marzo se decreta el confinamiento de la población y las empresas solo pueden continuar su negocio con el teletrabajo de sus empleados, las opciones son varias:

  • Utilizar los dispositivos corporativos móviles – a los que habrá que ampliar el perímetro hasta el hogar con sistemas de comunicaciones seguros y gestión de la identidad.
  • Trasladar los equipos empresariales a los domicilios – más de una persona se ha llevado bajo el brazo su CPU, pantalla y teclado.
  • Hacer uso de los dispositivos personales ya existentes en el domicilio del usuario. Esta ha sido una de las opciones más utilizadas por empresas que no contaban con despliegues móviles o no habían contemplado el trabajo en remoto con anterioridad.

Sin embargo, más de la mitad de las organizaciones en todo el mundo aún no han implantado ninguna política BYOD, teniendo en cuenta el crecimiento en los últimos meses. Y, peor, hasta un 13% de las que ya tienen estrategias BYOD, no hacen uso de autenticación multifactorial (datos The Global CTO Survey 2020).

Cómo controlar el descontrol

El BYOD no está exento de riesgos. De hecho, su descontrol supone una puerta abierta a los ciberataques (cada vez más sofisticados, dirigidos y dañinos). Los dispositivos cliente no se controlan por parte de la empresa:

  • ¿Tienen antivirus?
  • ¿Acceden a lugares inseguros o peligrosos?
  • ¿Qué personas los utlizan?
  • ¿Sus SS.OO. están actualizados y parcheados?
  • Cuando el dispositivo se conecta a los sistemas corporativos, ¿quién es el usuario que lo está haciendo? ¿El trabajador o cualquier otra persona con acceso a ese dispositivo?

Es conveniente evitar abrir VPN’s a la red corporativa, limitar el uso de protocolos vulnerables (RDP) y no mapear nunca unidades/dispositivos locales. Estas acciones abren de par en par una puerta para la entrada de malware a la empresa.

Al contrario:

  • Hay que asegurar que quien se conecta es quien dice ser. Olvidémonos del usuario y contraseña, que no es un método fiable. Apostemos por 2FA o SSO. Ya lo están haciendo las compañías de servicio en nube y la banca on line.
  • Establezcamos protocolos de navegación segura y dejemos solo para nuestra red la navegación estrictamente productiva.
  • Pongamos en marcha políticas de transferencia de ficheros mediante pasarelas con distintos niveles de filtrado. Se deben aplicar cuarentenas a las descargas de navegación, incluso destruyendo el entorno tras cada fin de sesión.
  • Debemos estar preparados ante los ataques de ransomware. Pueden suponer la extinción de la empresa.

En definitiva, tengamos en cuenta políticas de seguridad para entornos de teletrabajo donde hayamos optado por BYOD. Una vez pasada la urgencia, reflexionemos sobre lo que a nuestra empresa le puede suponer no contemplar los múltiples aspectos que rodean al teletrabajo.