Protéjase y proteja su empresa con dispositivos seguros.
Los entornos de trabajo híbridos y las políticas de "traiga su propio dispositivo" cambiaron la forma de hacer negocios e introdujeron nuevos riesgos potenciales para los datos y las operaciones de su empresa.
Las empresas de todo el país adoptan el trabajo híbrido y la conectividad remota. La forma y el lugar en que trabajamos es posible gracias a que cada vez dependemos más de los dispositivos que pertenecen a los empleados o que están habilitados para ellos, más comúnmente teléfonos móviles, laptops y tabletas. Las políticas de "traiga su propio dispositivo" o BYOD permiten que muchos trabajadores realicen su trabajo desde cualquier lugar. Además, suponen un recorte de gastos para las empresas, que ya no tienen que comprar, enviar, mantener ni reemplazar los dispositivos de los empleados facilitados por la empresa.
Sin embargo, la reducción de costos y la conveniencia conllevan riesgos de seguridad. Todo dispositivo, ya sea personal o facilitado por la empresa, representa un posible punto de vulneración que podría desencadenar un incidente cibernético que termine en un fraude, la pérdida de datos importantes o confidenciales o un daño en la reputación.
“Priorizar la conveniencia ante la seguridad está en la naturaleza humana”, dice Jeffrey A. Taylor, director de Investigación Forense de Fraude Comercial y Estrategia de Pago de Regions Bank en Birmingham, Alabama. “Si tenemos prisa, conducimos por encima del límite de velocidad y no pensamos en la seguridad. A menudo adoptamos un enfoque similar con la nueva tecnología y la seguridad”.
Para mayor seguridad, muchas empresas gestionan los riesgos presentados por las prácticas de "traiga su propio dispositivo" a través de una combinación de características de seguridad mejorada en los dispositivos, mensajes sistemáticos y capacitación a los empleados sobre ciberseguridad y políticas que explican claramente los tipos de comportamiento permitidos. Sin embargo, a medida que el panorama digital se expande y los "malos" cambian sus tácticas, las prácticas de "traiga su propio dispositivo" no pueden permanecer estáticas, en especial si alguno de los protocolos de seguridad de la empresa necesita una actualización.
No existe una forma única de abordar la seguridad BYOD. Cada negocio necesita desarrollar una política BYOD que se base en su estructura comercial, entorno regulatorio y tolerancia de riesgo. Lo único que no funciona es no tener ninguna política. A continuación hay algunas pautas para evaluar el enfoque BYOD de su empresa y asegurarse de que estén sincronizadas con la forma en la que sus empleados trabajan.
Reconozca que "la identidad es el nuevo perímetro"
En la cultura de trabajo BYOD actual, el método para verificar la identidad de un empleado cuando inicia sesión en un dispositivo, ya sea personal o propiedad de la empresa, es clave para la seguridad. "Las empresas confían en la gestión de identidad y acceso para obtener información sobre lo que está haciendo cada empleado, qué dispositivos está utilizando para acceder a las redes empresariales y si está iniciando sesión desde donde se espera que lo haga, o no", dice Adam Perino, vicepresidente de Ciberseguridad de Regions Bank. "La tecnología mejorada en torno a la analítica basada en el usuario ha ayudado a las empresas a detectar si alguien hace algo sospechoso, o tal vez sea 'otro' quien está detrás de una acción".
Esto se debe a las mejoras constantes en los controles de seguridad en dispositivos comunes. "Solo piense en términos de biometría", dice Taylor. "El reconocimiento facial no existía en nuestros teléfonos hasta la década pasada. El dispositivo en sí es mucho más seguro".
Dicho esto, las empresas deberían dejar en claro que esperan que los empleados habiliten la biometría y la autenticación multifactor (MFA) en cada dispositivo que utilicen. Cuando se requieren políticas BYOD estrictas debido a la supervisión regulatoria o al acceso a datos confidenciales, es posible que las empresas deban implementar controles avanzados de reconocimiento facial en todos los dispositivos para garantizar que solo el empleado designado inicie sesión. "Es importante implementar otros factores de autenticación de identidad para acceder a los dispositivos", agrega Taylor. "Esto marca una gran diferencia en la seguridad BYOD".
Cree contenedores para aplicaciones y funciones empresariales
La función de las políticas BYOD es proteger los datos corporativos importantes sin limitar el control del empleado al punto que no pueda trabajar de manera efectiva y, como resultado, busque soluciones alternativas. Incluso en dispositivos entregados por la empresa, eso puede crear puntos ciegos de seguridad. "Las empresas pueden hacer poco con respecto a las aplicaciones instaladas en un dispositivo personal, o incluso en un dispositivo de propiedad empresarial, a menos que ejerzan una supervisión rigurosa", dice Perino. "Se corre un mayor riesgo por la instalación de una aplicación maliciosa u otra actividad similar, que están fuera de la capacidad de monitoreo de la organización".
Las empresas pueden mitigar estos riesgos al separar las aplicaciones laborales de las personales en los dispositivos de los empleados. En caso de que se detecte alguna actividad maliciosa, los equipos de seguridad pueden borrar las aplicaciones orientadas a la empresa para evitar una mayor intromisión. Además, pueden proteger los datos corporativos en caso de pérdida de un dispositivo haciéndolos accesibles solo con una identificación personal o contraseña.
Comunique claramente las políticas de administración de dispositivos
Para marcar el rumbo de una correcta higiene BYOD, cree una política para la seguridad del dispositivo y sea preciso sobre los comportamientos que son aceptables y los que no (como descargar aplicaciones para uso personal en un dispositivo entregado por la empresa). "El abogado de la empresa y el departamento de gestión de dispositivos deben ayudar a elaborar la política, además de los mensajes que se enviarán a los empleados respecto de las capacidades de detección existentes y las medidas que podrían tomarse si se detecta un comportamiento anómalo", dice Taylor.
Sea claro respecto de lo que los empleados deben hacer para proteger sus dispositivos. "Es necesario darles un empujón a los empleados", dice Taylor. "Recuérdeles que es su deber instalar todos los parches y actualizaciones, saber desde dónde es seguro conectarse a las redes empresariales y conocer los comportamientos que deben evitar, como usar wifi público para trabajar, especialmente si manejan datos confidenciales".
Refuerce los conceptos básicos de seguridad
Sin importar qué dispositivo utilicen los empleados para trabajar, las amenazas como los correos electrónicos de phishing, los enlaces y archivos adjuntos maliciosos y la suplantación de identidad siguen estando entre las fuentes más comunes de incidentes cibernéticos y vulnerabilidad de datos. Todo empleado debe tomar conciencia de su responsabilidad para proteger datos comerciales, además de su información y activos personales. En muchos casos, esto simplemente significa habilitar los controles de seguridad incluidos en el dispositivo.
"Si su dispositivo tiene identificación facial o MFA, úselos sin dudarlo", dice Taylor. "Si necesita un PIN de seis dígitos para desbloquear el dispositivo, no elija algo simple como 1-1-1-1-1-1. Lo mismo ocurre con las contraseñas. Lamentablemente, la mayoría de los equipos de seguridad tienen historias sobre usuarios que facilitaron el acceso a los malos".
Los conceptos básicos incluyen mejores prácticas para acceder a las redes empresariales. Si su organización utiliza una red privada virtual o VPN, los empleados deben seguir este paso adicional y asegurarse de que sus credenciales de inicio de sesión sean seguras.
"Debe haber un liderazgo claro en materia de lo que se espera de los empleados a la hora de proteger sus dispositivos y conectarse a la red", dice Taylor. "Pero aún así, cada persona tiene que asumir la responsabilidad de priorizar la seguridad en sus actividades diarias".
Cómo elaborar la política de la compañía
Al elaborar la política BYOD para usted y sus empleados, tenga en cuenta las siguientes sugerencias.
- La empresa, marca o negocio necesita establecer expectativas. La seguridad es, en cierto modo, el trabajo de cada empleado. Pero los líderes y los equipos de seguridad deben establecer métodos y mejores prácticas en los que se basarán los empleados para proteger la empresa y su valor empresarial.
- Implemente controles de seguridad que protejan los datos y las funciones empresariales más importantes. Los equipos de seguridad deben invertir en tecnología para BYOD y dispositivos pertenecientes a la empresa que segmente las funciones e información esenciales y sea capaz de borrar las aplicaciones infectadas cuando sea necesario.
Esté atento y revise su plan de "traiga su propio dispositivo"
Recuerde que las cosas cambian rápidamente cuando se trata de seguridad y fraude. Si bien la seguridad de los dispositivos mejora de forma constante, los malos cambian las tácticas al mismo ritmo para robar contraseñas y hacer creer a los administradores que su acceso es legítimo. Los empleados deben usar todos los controles de acceso disponibles y mantener buenos hábitos en torno a la administración de contraseñas y la higiene cibernética en general. Además, su empresa debe revisar las políticas con frecuencia para tener la certeza de combatir las tácticas de fraude más recientes.
Tres cosas para hacer
- Lea más sobre cómo proteger su empresa del fraude.
- Puede combatir el fraude, pero su empresa también debe tener un plan de respuesta en caso de filtración de datos.
- En un entorno híbrido que puede ser flexible o totalmente remoto, considere lo que eso significa para su seguridad.
