¿Tienes BYOD o no tienes BYOD?
BYOD es el fenómeno actual en los negocios, caracterizado por el uso de dispositivos personales en los procesos principales del negocio. BYOD por sus siglas Bring your own device que en español significa Trae tu propio dispositivo. El cual consiste en procesar información empresarial dentro de un smartphone, tablet o laptop personal (no perteneciente a la empresa). Esto es posible gracias a la diversidad de aplicaciones y plataformas existentes en el mercado para dispositivos móviles para distribución de información. Pero ¿Qué tan seguros estamos ante el uso de información empresarial en nuestros propios dispositivos del día a dia, tanto afuera como adentro de la organización?
Amenazas latentes
Mediante este pequeño ejemplo, creo que uno puede darse cuenta de las debilidades que uno está sujeto al usar el dispositivo móvil personal. En el área de tesorería, Juan Rodriguez, el jefe de la misma, Juan Pérez, tiene un celular Samsung S9 Pro que él mismo ha adquirido y con ello se comunica con los jefes de otras áreas, cómo Recursos Humanos, Gerencia, etc. Además, por un tema de movilidad gestiona su bandeja de correo corporativo a través de este celular, todo está bien, hasta que su hijo le pide el celular en la casa, para poder jugar "Plantas vs Zombies", el niño ingresa a otras carpetas del celular y por ahí se encuentra con un archivo PDF que le envió el Jefe de Recursos Humanos a través de WhatsApp, el niño toca la pantalla sin saber lo que está haciendo y le da en un enlace de Compartir por BlueMail (Aplicación de gestión de correos), y desafortunadamente se lo envía a todos los correos que figuran como contactos en su celular y en los contactos de correo. Este PDF contenía todos los sueldos de todos los trabajadores, incluidos bonificaciones. Esto generó incomodidad por varios trabajadores, los cuales pensaban que era muy injusto el sueldo de otras personas, además de generar el despido del Jefe de Tesorería.
Medidas de seguridad para un dispositivo móvil
Muchas empresas están aplicando políticas para el uso adecuado de un dispositivo propio, y dependiendo del impacto que tenga el acceso no autorizado por parte de terceros hacia el dispositivo, ya que una cosa es el dispositivo del asistente de tesorería y muy diferente el del gerente de tesorería, estos necesitarán diversos controles de seguridad, como instalación de antivirus, bloqueo de pantallas, cifrado del celular, etc. Es necesario saber que el dispositivo tiene una correcta configuración de acceso a la intranet, dentro o fuera de la oficina, ya que cuando hablamos de dispoisitivos móviles, estamos hablando de conexión inalámbrica, una de las conexiones más vulnerables en redes. Hay que tener en cuenta también, que al someterse un dispositivo móvil a una política de la organización donde se manejarán datos sensibles, éste debe respetar que la organización tiene la potestad de eliminar toda la información del celular si fuera necesario. Mucho ojo con esto.
Auditando BYOD
Para iniciar una auditoría BYOD, es necesario tener claro que BYOD tiene como objetivo incrementar la productividad y satisfacción del trabajador al utilizar su propio dispositivo, reducción de gastos en adquisición de dipositivos, e innovación en los procesos internos de la organización. Mientras que los objetivos de una auditoría está en gestionar la evaluación de políticas y procedimientos relacionados a BYOD, identificar deficiencias en los controles internos que podrían afectar a la organización, y así mismo determinar las debilidades en los controles de computación móvil.
Consejo audit
No confundir los dispositivos móviles de la organización (propiedad de la organización) con los dispositivos que son propiedad del trabajador pero que procesa información de la organización. En ambos casos el impacto es el mismo en caso ocurra alguna amenaza de alto impacto, pero mantienen políticas diferentes en cada caso. Es necesario que el área de TI tenga conocimientos de mantenimiento, control y seguridad de un dipositivo móvil.