BYOD: Amenazas externas vs. Amenazas internas
Cuando se habla sobre seguridad informática, pensamos en un hacker o cibecriminal adentrándose en la red de una organización para robar información confidencial. La entidad Clearswift encargó un estudio que muestra una visión holística de los incidentes de seguridad, revelando que el 83% de las organizaciones encuestadas han sufrido una brecha de seguridad en los últimos 12 meses. Sin embargo, el 58% de dichos incidentes se originan dentro de las organizaciones; por culpa de los empleados, antiguos trabajadores o socios de confianza.
El estudio descubrió que el 72% de las entidades intentan mantenerse al día sobre los cambios en seguridad y sobre aquellas políticas necesarias para adaptarse a las formas actuales de comunicación y gestión de negocios. Uno de los mayores cambios ha sido el auge del BYOD (utilizar dispositivos personales para fines profesionales).
Las tres principales amenazas del BYOD son:
- El uso de USB o dispositivos de almacenamiento.
- Los errores humanos involuntarios.
- El envío de emails profesionales a través de dispositivos personales.
Sin embargo, no es justo culpar a los empleados de estos posibles riesgos ya que las propias empresas les animan a que usen sus dispositivos personales. Un tercio (31%) de las empresas utiliza este sistema, mientras que solo el 11% lo rechaza. Además, estas últimas tienen más posibilidades de enfrentarse a amenazas internas (el 37% frente al 18% de las empresas que apoyan el BYOD). En la encuesta, el 53% afirmó que los empleados seguirían utilizando sus dispositivos personales para acceder a la red profesional aunque fuesen sancionados. En realidad, la empresa es la responsable de gestionar su uso en vez de esconder la cabeza y fingir que no sucede nada.
Así, las entidades deben ser conscientes de que las amenazas internas son tan importantes como las externas y deben planificar su seguridad de acuerdo a esto. En relación al BYOD, es necesario establecer una política específica cuanto antes. Además, es imprescindible educar a los empleados sobre los riesgos que conlleva y cómo se pueden mitigar sus efectos, ayudándoles a usar su dispositivo personal de forma segura.
Si tu empresa no dispone de una normativa sobre el BYOD, tú, como empleado, puedes seguir nuestras recomendaciones:
- No pongas en riesgo a tu empresa utilizando tu dispositivo personal (inclusive USB) para usos profesionales sin consultar, previamente, al administrador de sistemas o a la persona responsable de la seguridad informática.
- Si necesitas un USB, usa uno con sistema de cifrado (preferiblemente proporcionado por tu empresa). Existen multitud de modelos y su precio es muy similar a los USB no cifrados. Por unos cuantos euros puedes proteger la reputación de tu empresa.
- Sucede lo mismo con las cuentas de email. Si necesitas imperiosamente usar el email personal (por ejemplo, tu correo profesional no funciona), crea una cuenta específica que tenga configurados los máximos ajustes de seguridad posibles como el sistema de doble verificación de Gmail.
- Envía los documentos en formato cifrado. Existen varios métodos para hacerlo: desde establecer una clave de acceso para un documento MS Office o crear un archivo ZIP con una contraseña robusta. Por supuesto, no envíes las claves cifradas en el mismo email que contiene los documentos.
- No configures tu cuenta de email profesional en tu dispositivo personal sin haberlo consultado, anteriormente, con el administrador de sistemas. Hay clientes especiales para hacerlo de forma segura.