Seguridad de teléfonos y dispositivos: formas de proteger su negocio
Anterior

Las políticas de trabajo remoto y "traiga su propio dispositivo" han cambiado la forma en la que trabajamos —y representan nuevos riesgos para los datos y las operaciones de su negocio.

Las empresas de todas las industrias se están adaptando a una nueva normalidad de trabajo híbrido y conectividad remota. Este cambio en la forma y el lugar donde trabajamos es posible gracias al creciente uso de dispositivos que pertenecen a los empleados o se han habilitado para ellos, más comúnmente teléfonos móviles, computadoras portátiles y tabletas. Las políticas "traiga su propio dispositivo" (BYOD) facilitan a los empleados trabajar desde cualquier lugar. Además, permiten a las empresas reducir costos, ya que no tienen que comprar, enviar, mantener y reemplazar dispositivos adquiridos para los empleados.

Sin embargo, la reducción de costos y la conveniencia conllevan riesgos de seguridad. Todo dispositivo, ya sea personal o comercial, representa un posible punto de vulneración que podría desencadenar un incidente cibernético que termine en un fraude, la pérdida de datos importantes o confidenciales o un daño en la reputación.

“Priorizar la conveniencia ante la seguridad está en la naturaleza humana”, dice Jeffrey A. Taylor, director de Investigación Forense de Fraude Comercial y Estrategia de Pago de Regions Bank en Birmingham, Alabama. “Si tenemos prisa, conducimos por encima del límite de velocidad y no pensamos en la seguridad. A menudo adoptamos un enfoque similar con la nueva tecnología y la seguridad”.

Para mayor seguridad, muchas empresas gestionan los riesgos presentados por las prácticas BYOD a través de una combinación de características de seguridad mejorada en los dispositivos, mensajes sistemáticos a los empleados sobre ciberseguridad y políticas que explican claramente los tipos de comportamiento permitidos. Sin embargo, a medida que el panorama digital se expande y los "malos" cambian sus tácticas, las prácticas BYOD no pueden permanecer estáticas, en especial si alguno de los protocolos de seguridad de la empresa necesita una actualización.

No existe una forma única de abordar la seguridad BYOD. Cada negocio necesita desarrollar una política BYOD que se base en su estructura comercial, entorno regulatorio y tolerancia de riesgo. Lo único que no funciona es no tener ninguna política. A continuación hay algunas pautas para evaluar el enfoque BYOD de su empresa y asegurarse de que estén sincronizadas con la forma en la que sus empleados trabajan.

Este gráfico se llama "Conocer los acrónimos" y define cuatro formas en que las empresas pueden abordar la administración de dispositivos. El primero es "Traiga su propio dispositivo: BYOD", que dice: "El empleado utiliza un dispositivo electrónico personal para las funciones de trabajo y el manejo de datos comerciales. La responsabilidad de la seguridad recae principalmente en el propietario del dispositivo". El segundo es "Elija su propio dispositivo: CYOD", que dice: "La empresa permite al empleado elegir un dispositivo propiedad de la empresa de una lista aprobada. El empleado puede personalizar el dispositivo, pero la empresa tiene privilegios de administrador". El tercero es "Propiedad corporativa y habilitada personalmente: COPE", que dice: "La empresa entrega el dispositivo, pero brinda al empleado cierta libertad para la configuración y el uso". El cuarto es "Propiedad corporativa que solo puede usarse con fines laborales: COBO", que dice: "La empresa entrega el dispositivo y mantiene el control sobre su uso. El uso personal es muy limitado o está prohibido".

Reconozca que "la identidad es el nuevo perímetro"

En la cultura de trabajo BYOD actual, el método para verificar la identidad de un empleado cuando inicia sesión en un dispositivo, ya sea personal o propiedad de la empresa, es clave para la seguridad. "Las empresas confían en la gestión de identidad y acceso para obtener información sobre lo que está haciendo cada empleado, qué dispositivos está utilizando para acceder a las redes empresariales y si está iniciando sesión desde donde se espera que lo haga, o no", dice Adam Perino, vicepresidente de Ciberseguridad de Regions Bank. "La tecnología mejorada en torno a la analítica basada en el usuario ha ayudado a las empresas a detectar si alguien hace algo sospechoso, o tal vez sea 'otro' quien está detrás de una acción".

Esto se debe a las mejoras constantes en los controles de seguridad en dispositivos comunes. "Solo piense en términos de biometría", dice Taylor. "El reconocimiento facial no existía en nuestros teléfonos hasta hace unos años. El dispositivo en sí es mucho más seguro".

Dicho esto, las empresas deberían dejar en claro que esperan que los empleados habiliten la biometría y la autenticación multifactor (MFA) en cada dispositivo que utilicen. Cuando se requieren políticas BYOD estrictas debido a la supervisión regulatoria o al acceso a datos confidenciales, es posible que las empresas deban implementar controles avanzados de reconocimiento facial en todos los dispositivos para garantizar que solo el empleado designado inicie sesión. "Es importante implementar otros factores de autenticación de identidad para acceder a los dispositivos", agrega Taylor. "Esto marca una gran diferencia en la seguridad BYOD".

Cree contenedores para aplicaciones y funciones empresariales

La función de las políticas BYOD es proteger los datos corporativos importantes sin limitar el control del empleado al punto que no pueda trabajar de manera efectiva y, como resultado, busque soluciones alternativas. Incluso en dispositivos entregados por la empresa, eso puede crear puntos ciegos de seguridad. "Las empresas pueden hacer poco con respecto a las aplicaciones instaladas en un dispositivo personal, o incluso en un dispositivo de propiedad empresarial, a menos que ejerzan una supervisión rigurosa", dice Perino. "Se corre un mayor riesgo por la instalación de una aplicación maliciosa u otra actividad similar, que están fuera de la capacidad de monitoreo de la organización".

Las empresas pueden mitigar estos riesgos al separar las aplicaciones laborales de las personales en los dispositivos de los empleados. En caso de que se detecte alguna actividad maliciosa, los equipos de seguridad pueden borrar las aplicaciones orientadas a la empresa para evitar una mayor intromisión. Además, pueden proteger los datos corporativos en caso de pérdida de un dispositivo haciéndolos accesibles solo con una identificación personal o contraseña.

Comunique claramente las políticas de administración de dispositivos

Para marcar el rumbo de una correcta higiene BYOD, cree una política para la seguridad del dispositivo y sea preciso sobre los comportamientos que son aceptables y los que no (como descargar aplicaciones para uso personal en un dispositivo entregado por la empresa). "El abogado de la empresa y el departamento de gestión de dispositivos deben ayudar a elaborar la política, además de los mensajes que se enviarán a los empleados respecto de las capacidades de detección existentes y las medidas que podrían tomarse si se detecta un comportamiento anómalo", dice Taylor.

Sea claro respecto de lo que los empleados deben hacer para proteger sus dispositivos. "Es necesario darles un empujón a los empleados", dice Taylor. "Recuérdeles que es su deber instalar todos los parches y actualizaciones, saber desde dónde es seguro conectarse a las redes empresariales y conocer los comportamientos que deben evitar, como usar wifi público para trabajar, especialmente si manejan datos confidenciales".

Refuerce los conceptos básicos de seguridad

Sin importar qué dispositivo utilicen los empleados para trabajar, las amenazas como los correos electrónicos de phishing, los enlaces y archivos adjuntos maliciosos y la suplantación de identidad siguen estando entre las fuentes más comunes de incidentes cibernéticos y vulnerabilidad de datos. Todo empleado debe tomar conciencia de su responsabilidad para proteger datos comerciales, además de su información y activos personales. En muchos casos, esto simplemente significa habilitar los controles de seguridad incluidos en el dispositivo.

"Si su dispositivo tiene identificación facial o MFA, úselos sin dudarlo", dice Taylor. "Si necesita un PIN de seis dígitos para desbloquear el dispositivo, no elija algo simple como 1-1-1-1-1-1. Lo mismo ocurre con las contraseñas. Lamentablemente, la mayoría de los equipos de seguridad tienen historias sobre usuarios que facilitaron el acceso a los malos".

Los conceptos básicos incluyen mejores prácticas para acceder a las redes empresariales. Si su organización utiliza una red privada virtual o VPN, los empleados deben seguir este paso adicional y asegurarse de que sus credenciales de inicio de sesión sean seguras.

"Debe haber un liderazgo claro en materia de lo que se espera de los empleados a la hora de proteger sus dispositivos y conectarse a la red", dice Taylor. "Pero aún así, cada persona tiene que asumir la responsabilidad de priorizar la seguridad en sus actividades diarias".

Cómo elaborar la política de la compañía

Al elaborar la política BYOD para usted y sus empleados, tenga en cuenta las siguientes sugerencias.

  • La empresa, marca o negocio necesita establecer expectativas. La seguridad es, en cierto modo, el trabajo de cada empleado. Pero los líderes y los equipos de seguridad deben establecer métodos y mejores prácticas en los que se basarán los empleados para proteger la empresa y su valor empresarial.
  • Implemente controles de seguridad que protejan los datos y las funciones empresariales más importantes. Los equipos de seguridad deben invertir en tecnología para BYOD y dispositivos pertenecientes a la empresa que segmente las funciones e información esenciales y sea capaz de borrar las aplicaciones infectadas cuando sea necesario.

Permanezca alerta y revise su plan BYOD

Recuerde que las cosas cambian rápidamente cuando se trata de seguridad y fraude. Si bien la seguridad de los dispositivos mejora de forma constante, los malos cambian las tácticas al mismo ritmo para robar contraseñas y hacer creer a los administradores que su acceso es legítimo. Los empleados deben usar todos los controles de acceso disponibles y mantener buenos hábitos en torno a la administración de contraseñas y la higiene cibernética en general. Además, su empresa debe revisar las políticas con frecuencia para tener la certeza de combatir las tácticas de fraude más recientes.


Tres cosas para hacer

  1. Lea más sobre cómo proteger su empresa del fraude.
  2. Puede combatir el fraude, pero su empresa también debe tener un plan de respuesta en caso de filtración de datos.
  3. A medida que los empleados cambian a puestos flexibles o totalmente remotos, considere lo que eso significa para su seguridad.

Siguiente

¿Busca más información?

Esta información es general y no pretende ofrecer asesoramiento legal, impositivo ni financiero. Aunque Regions considera que esta información es precisa, no puede garantizar que esté actualizada en todo momento. Las declaraciones u opiniones de personas a las que se hace referencia aquí pertenecen a dichas personas, no a Regions. Consulte con el profesional correspondiente respecto a su situación específica y visite irs.gov para conocer las normas tributarias actuales. Regions, el logotipo de Regions y la bicicleta de LifeGreen son marcas registradas de Regions Bank. El color de LifeGreen es una marca registrada de Regions Bank.