¿Qué es el BYOD?

El concepto trae tu propio dispositivo (BYOD, Bring Your Own Device) hace referencia a las directivas empresariales que permiten a los empleados usar dispositivos de su propiedad para trabajar. El BYOD se popularizó antes de la era del COVID y ahora forma parte de la normalidad, incluso en empresas que antes desconfiaban de los riesgos de seguridad que pudiera presentar dicha directiva. Los dispositivos personales que se suelen usar son smartphones, portátiles, tablets y memorias USB.

El BYOD adopta muchas formas en el entorno corporativo según quién use el dispositivo y cómo se pueda usar.

• El concepto trae tu propio dispositivo (BYOD) implica que el dispositivo es propiedad de un empleado, quien lo usa para cuestiones personales y tareas empresariales.
• El concepto elige tu propio dispositivo (CYOD, Choose Your Own Device) representa el caso en el que la organización permite a los usuarios elegir uno de los dispositivos de una selección concreta. Estos pueden ser propiedad de la empresa o del empleado, pero en cualquier caso es el departamento de TI el que se encarga de personalizarlos.
• Los dispositivos propiedad de la empresa que admiten el uso personal (COPE, Corporate Owned Personally Enabled) son de la empresa, la cual los ofrece a los usuarios, quienes pueden usarlos también para asuntos personales.
• La categoría de dispositivos propiedad de la empresa y solo para uso empresarial (COBO, Corporate-Owned/Business-Only) es la más restrictiva, pues estos son propiedad de la empresa y el empleado solo puede usarlos para realizar tareas en el marco de dicha empresa.

¿Por qué es importante el BYOD?

Los empleados accederán a datos confidenciales de la empresa desde dispositivos personales, independientemente de que lo hagan en contra de las normas o de que tengan otro dispositivo propiedad de la empresa por motivos de eficiencia o negligencia. Las organizaciones deben dedicar tiempo a valorar la implementación de una directiva de BYOD por su propio bien y el de sus empleados. Las principales ventajas que ofrece son las siguientes:

• Mayor productividad: los usuarios ya han seleccionado dispositivos que encajan con su forma de interactuar con la tecnología y se sienten cómodos con ellos. No tienen que recibir formación, así que pueden ponerse a trabajar directamente sin tener que usar tecnología instructiva. Como conocen las capacidades de sus dispositivos, pueden usarlos con fluidez para realizar sus tareas rápidamente. No sufren la frustración de tener que usar un dispositivo que no entienden o que no les gusta. Esto mejora su estado de ánimo y su rendimiento.
• Ahorro de costes: según la revista Wired, la mayoría de las organizaciones ahorran al año en torno a 300 $ por cada usuario que se beneficia del BYOD. Esta cifra es insignificante para una empresa pequeña, pero nada desdeñable para una mediana o que tenga cientos de miles de empleados.
• Tecnología actualizada: dependiendo del trabajo, los empleados tienden a estar a la última en tecnología. Esto libera al departamento de TI de la tarea de reemplazar tecnologías, el gasto que conllevan el hardware o las licencias de software y la labor de actualizar los dispositivos.

¿Qué riesgos conlleva el BYOD?

Aunque el BYOD aporta muchas ventajas, las organizaciones también deben tener en cuenta los riesgos que entrañan las directivas de este tipo.

Gestión de vulnerabilidades más compleja

Como saben todos los profesionales de la seguridad, los usuarios constituyen la mayor vulnerabilidad de una organización. Cada dispositivo entraña sus propias vulnerabilidades. Es arriesgado permitir a los usuarios que se conecten a la red corporativa con dispositivos personales ajenos al control de la organización y en los que se mezclan datos personales del empleado con datos de la empresa. Además, no hay manera de controlar un dispositivo propiedad de un empleado si se extravía o lo roban, y tampoco hay forma de saber si el usuario que ha iniciado sesión en él es el empleado que posee las credenciales o un amigo o pariente suyo. Las organizaciones se ven obligadas a elaborar protocolos complejos de gestión de vulnerabilidades para garantizar la seguridad de cada dispositivo.

Más riesgos de ciberseguridad

Que los dispositivos propiedad de los empleados formen parte de la red de una organización aumenta el riesgo de sufrir ciberataques derivados de lo siguiente:

• Código abierto: las aplicaciones de este tipo son un gran quebradero de cabeza porque el equipo de TI no puede averiguar qué aplicaciones tiene instaladas un dispositivo de tipo BYOD. Casi todas las aplicaciones incluyen algo de código abierto. Esto no es peligroso en sí mismo, pero si los desarrolladores de dichas aplicaciones no están al tanto de las nuevas vulnerabilidades detectadas en el código abierto y no toman medidas para proteger su aplicación, sí tenemos un problema. Y esto es lo más habitual. Los desarrolladores suelen incorporar el código abierto en su momento y se olvidan de él para dedicarse a añadir otras funciones.
• Concesión de permisos innecesarios: muchas aplicaciones también solicitan más permisos de los que necesitan. Esto puede deberse a que los desarrolladores se adelantan a alguna función que planean incorporar en un futuro próximo, a que no saben lo que están pidiendo o a que tienen intenciones maliciosas. Aunque no hay forma de saber cuál es el motivo, todos los casos plantean el mismo riesgo: una posible brecha de datos corporativos. Los usuarios deben ser conscientes del nivel de acceso que conceden a las aplicaciones que descargan, y asegurarse de que las personas a las que presten sus dispositivos personales también conozcan dichos niveles de acceso. Si el usuario deja su dispositivo a un niño, no podemos tener la seguridad de que ese niño rechace las solicitudes de permisos inadecuadas.
• Desprotección de redes: las redes en las que se utilizan dispositivos de tipo BYOD pueden conllevar riesgos. Las redes Wi-Fi domésticas no disponen de los mismos controles de seguridad que las corporativas. Y lo mismo ocurre con las redes públicas de las cafeterías, las tiendas y otros lugares desde los que es probable que los teletrabajadores accedan a la red corporativa. Las empresas deben dar por sentado que los empleados accederán a datos confidenciales desde redes públicas o domésticas que no son seguras, y tomar las medidas necesarias para detectar activamente las intrusiones procedentes de muchos más puntos de entrada.
• Robo de dispositivos: cuando se avisa de la pérdida o el robo de un dispositivo corporativo, el departamento de TI puede bloquearlo para que no pueda utilizarse. Sin embargo, esto no es posible cuando se pierde o roba un dispositivo personal. Aunque el departamento de TI puede bloquear el acceso a la VPN o las aplicaciones corporativas, eso no impide que un ciberdelincuente se aproveche de las vulnerabilidades del propio dispositivo, como una aplicación no segura, para obtener información con la que acceder a la red corporativa. Tampoco se puede comprobar que un usuario instale todas las actualizaciones del sistema operativo y que no almacene archivos corporativos en el dispositivo. Además, si un empleado renuncia o se le despide, no hay forma de borrar los datos corporativos que haya descargado en el dispositivo.

Pérdida de privacidad

Tanto el usuario que hace uso del BYOD como la organización pierden privacidad cuando se implementa una directiva de BYOD. Por un lado, la red de la organización puede ver fácilmente toda la información personal del usuario. Esto incluye mensajes, información sobre cuentas bancarias, datos de inicio de sesión de redes sociales, etc. Por otro lado, los usuarios tienen acceso a información confidencial de la empresa que se podría compartir de forma negligente o explotarse intencionadamente.

Aunque existen muchos argumentos sólidos a favor de implementar directivas de BYOD en la empresa, hay que evitar que estas obstaculicen la innovación. Si una empresa se abstiene de probar tecnología revolucionaria porque no tiene la certeza de poder hacerlo en un entorno de BYOD sin perder datos o sin perjudicar la interoperabilidad, estará perdiendo una oportunidad de oro para evolucionar.

Seis recomendaciones para implementar directivas de BYOD

Ningún modelo de directiva de BYOD sirve para todas las empresas. Aunque cada organización en particular debe elaborar la suya propia, las siguientes recomendaciones de implementación pueden servirles de guía.

1. Consultar a los departamentos

Empieza por pedir información a diversos departamentos sobre la forma en que trabajarán los distintos grupos de usuarios en sus dispositivos móviles y extrapola tus conclusiones al ámbito de aplicación de la directiva. Deberás implementar la directiva por fases y aplicar prácticas de mejora continua cuyo objetivo sea ofrecer flexibilidad, seguridad y asistencia a los empleados.

2. Elaborar una directiva genérica para todos los endpoints

La directiva de seguridad de BYOD debe ser independiente del endpoint para poder aplicarse a las plataformas y los dispositivos nuevos y emergentes. Si no es así, el equipo de seguridad se verá obligado a revisarla constantemente, con lo cual será más difícil aplicarla. En la mayoría de los casos deberá implementarse una directiva de BYOD diferente para los empleados a tiempo completo, los empleados temporales y los contratistas.

3. Especificar los dispositivos admitidos

Hay dispositivos que no tienen cabida en un programa de BYOD, como los que están obsoletos o los que tienen un sistema operativo desfasado. Especifica los dispositivos admitidos y, en términos de mantenimiento, indica de cuáles se encargará la empresa y de cuáles los usuarios.

4. Promover la autenticación multifactor

Promueve expresamente la autenticación multifactor (MFA). Aunque en los smartphones modernos esta función de seguridad es obligatoria por defecto, es mejor que se incluya en la directiva de seguridad para que los usuarios que hayan desactivado el bloqueo de pantalla o estén evitando la autenticación MFA sepan que usarla es una condición para beneficiarse del BYOD.

5. Comprobar que la directiva define con claridad las autorizaciones

La directiva debe dejar claro quién es el propietario de qué datos contenidos en el dispositivo y a qué número de teléfono están asociados los datos. Indica qué ocurrirá con los datos si el usuario del dispositivo móvil deja la empresa.

6. Aplicar una directiva de privacidad

Por último, debes contar con una directiva de privacidad exhaustiva y de conformidad con los reglamentos de privacidad de datos de Estados Unidos. Esta directiva no debe proteger solo a la empresa, sino también al usuario que se beneficia del BYOD.

BYOD y CrowdStrike

Los equipos de TI deben priorizar el uso de las herramientas y soluciones adecuadas para que sus organizaciones sean lo más seguras posibles al implementar una directiva de BYOD.

CrowdStrike ofrece una amplia gama de soluciones que pueden ayudar a mantener la visibilidad y la higiene de los dispositivos gestionados y no gestionado que las partes interesadas incorporen a tu organización.