Hemos hablado sobre el concepto de Bring Your Own Device, o BYOD,  en el blog anterior. BYOD es una política popular por la cual los empleados pueden traer dispositivos de propiedad personal, como computadoras portátiles, tabletas o teléfonos inteligentes, para trabajar y usarlos para acceder a datos y aplicaciones. Ayuda a reducir costos y puede aumentar la productividad, pero trae consigo muchas preocupaciones e implicaciones de seguridad.

Similar en teoría a BYOD es BYOS, o Traiga su propia seguridad. Este método permite a los empleados elegir qué solución de seguridad les gustaría ejecutar en sus dispositivos. ¿Es esta teoría una evolución natural de BYOD o conlleva más preocupaciones? ¿Importan esas preocupaciones si el dispositivo que se sumergirá en la red de la empresa tiene instalado su propio software de seguridad?

Preocupaciones de BYOS

Las diferencias en el software de seguridad que se ejecuta en los sistemas corporativos y los dispositivos BYOS pueden causarle un dolor de cabeza a su departamento de TI, especialmente si dichos dispositivos tienen acceso a los recursos de la empresa, como las unidades compartidas. ¿Hay algún conflicto entre el software en los dispositivos y las soluciones de seguridad que se ejecutan en el entorno corporativo ? Ciertamente es posible.

Podría haber brechas entre los programas de seguridad de los dispositivos y los sistemas corporativos que los atacantes podrían aprovechar. De hecho, agregar software de seguridad a una configuración existente no siempre mejora la seguridad, especialmente si son del mismo tipo, como dos grandes conjuntos de antivirus o dos herramientas de remediación gratuitas. Peor aún, podrías terminar más débil que antes.

Además, los conceptos erróneos pueden llevar a los propietarios de dispositivos a una falsa sensación de seguridad. Por ejemplo, algunos pueden creer que están protegidos por el firewall de la compañía tan pronto como se conectan al Wi-Fi corporativo, o incluso tan pronto como entran por la puerta. ¿Pero es eso cierto?

Veamos algunos escenarios que involucran tanto a BYOD como a BYOS, sus ventajas y desventajas, y las implicaciones de seguridad que conlleva cada escenario.

Los escenarios

Para comenzar a saltar a los siguientes escenarios, primero establezcamos el escenario presentando cuatro formas posibles en que se podría implementar la política de BYOS, ya sea que los dispositivos sean de propiedad personal o sean emitidos por la organización. Incluyen:

• El empleado es propietario del dispositivo y tiene instalado su propio software de seguridad.
• El empleado recibe un dispositivo de la empresa que también puede usar para fines personales. Puede elegir e instalar cualquier software de seguridad que desee.
• El empleado es el propietario del dispositivo, pero para que se le permita usarlo para asuntos de la empresa, debe instalar el software de seguridad que elija la empresa.
• La compañía emite un dispositivo que viene con su elección de software de seguridad instalado.

Antes de que hablemos de estos escenarios uno por uno, primero establezcamos una cosa por adelantado: un empleado que ejecute un software de seguridad que no eligió, ni está familiarizado con él, es probablemente una mala idea. A menos que se trate de un producto basado en la nube que pueda administrarse desde una ubicación central, el empleado debe recibir cierta capacitación sobre cómo utilizar la solución de manera óptima. No hay seguridad más fuerte para los lugares de trabajo que la conciencia del usuario. De hecho, nosotros lo haríamos , y lo haríamos, sin importar el escenario.

Escenario 1: Todo sobre el usuario

En el primer escenario, en el que el empleado utiliza su propio dispositivo y software de seguridad, podría decir que es bueno para la empresa mantenerse al margen y confiar en sus usuarios. Sin embargo, cuando se trata de cuestiones de seguridad para datos de propiedad exclusiva, nunca es una buena idea dejar que todo vuele al viento.

Es fácil decir que sería un problema para el empleado si algo le pasara a los datos en su dispositivo, pero ¿para qué serviría la compañía? La información ya estaría disponible, y la pérdida de datos, puntos finales, productividad y reputación costaría mucho más que un solo salario.

En cuanto al empleado: ¿Se daría cuenta de la filtración si la empresa no tuviera control sobre su dispositivo en primer lugar? Probablemente no. La compañía podría ser capaz de rastrear la infección hasta su dispositivo, pero ¿después de cuánto tiempo? ¿Durante cuánto tiempo permanecieron y se propagaron los programas maliciosos de robo de información en la red? ¿Qué tipo de secretos expondrá a quienes estén dispuestos a pagar el mejor precio en el mercado negro?

Este escenario sería la peor idea de BYOS si no fuera por …

Escenario 2: Un escenario raro

En este escenario, la organización emite un dispositivo a su empleado, pero espera que ella elija su propio programa de seguridad.

Este es un escenario raro por una buena razón. Quizás el propio departamento de TI de una empresa podría hacer que sus empleados prueben diferentes proveedores. Tal vez un usuario solo haga llamadas telefónicas o escriba documentos en su dispositivo, y no necesite Internet para hacer su trabajo. Sin embargo, en cualquier otro caso, tendría que tener una organización de confianza y una fuerza laboral extremadamente inteligente.

De lo contrario, los empleados pueden optar por la opción más barata si necesitan gastar su propio dinero o, en su lugar, utilizar una versión gratuita y limitada. O, si facturan a la empresa, pueden simplemente tomar el único nombre que saben sin investigar si es un buen ajuste para el dispositivo o el usuario. La única otra explicación es que la compañía se preocupa tan poco por la seguridad de sus dispositivos y redes, que están dispuestos a tirarles dinero.

Escenario 3: Sobre todo pro, un poco con

Esta situación requiere que el empleado seleccione el dispositivo, pero la compañía prescriba la configuración de seguridad.

En este caso, la empleada puede comprar o recibir un reembolso por el dispositivo que le gusta con la advertencia de que debe instalar un software de seguridad que cumpla con las pautas corporativas. Este es principalmente un escenario en el que todos ganan, ya que la empleada puede usar el dispositivo que ella prefiere, pero la compañía puede estar segura de que el dispositivo es seguro y de uso seguro en el entorno corporativo. En una situación ideal, el dispositivo puede incluso ser monitoreado por el SIEMcorporativo o la consola en la nube.

Una nota en este escenario: si bien es una configuración ideal para dispositivos suplementarios o empleados remotos, puede que no tenga más sentido para las máquinas primarias de los usuarios. Esto se debe a que la administración de una flota de diferentes dispositivos con diferentes sistemas operativos podría ser tediosa para los equipos de TI, incluso con los mismos protocolos de seguridad seguidos.

Escenario 4: La elección de la empresa.

El cuarto escenario, donde la compañía decide sobre el dispositivo y el software de seguridad, es la solución más fácil para las organizaciones, pero definitivamente no es BYOD ni BYOS. Esto suena más como lo que un trabajador de la sede central espera recibir del departamento de TI el primer día de empleo.

Aunque es más fácil de controlar, también es costoso, ya sea que la compañía ofrezca una sola computadora portátil o un teléfono inteligente suplementario. En este caso, las empresas deben estar preparadas para defenderse contra las amenazas encontradas por los empleados que realizan un trabajo legítimo u ocasionalmente usan el dispositivo por motivos personales, como compras en línea o redes sociales. Las compañías esencialmente deben tratar esto más o menos como cuando un empleado ocasionalmente lleva un portátil de la empresa a casa para hacer algún trabajo.

Instalación de software de seguridad en una máquina corporativa.

Un escenario completamente diferente es aquel en el que ningún dispositivo externo desempeña un papel. En cambio, los empleados aportan su propia seguridad al entorno laboral. Esto sucede a veces: las personas instalan su software de seguridad preferido en las computadoras de su trabajo por iniciativa propia. Por ejemplo, nuestra telemetría nos dice que nuestro producto gratuito de remediación para el consumidor se descarga y se ejecuta en muchas máquinas corporativas, que se utiliza para limpiar el malware que se ha escapado de las grietas de la configuración de seguridad oficial de su lugar de trabajo.

Lo que no podemos ver en nuestra telemetría es si esto lo hacen los propios usuarios o alguien del equipo de TI como un método improvisado para tratar una infección. Aunque el uso de un producto de consumo gratuito en un entorno empresarial es técnicamente contra las reglas, no representa un riesgo directo para la seguridad. Sin embargo, plantea una pregunta para el departamento de TI de la empresa, a quién le gustaría saber qué amenaza logró sortear su red y cómo.

En cualquier caso, existe una diferencia entre los empleados que instalan herramientas de reparación gratuitas solo con fines de limpieza y los que instalan una protección activa y de pago por encima de la seguridad de la red. En este último caso, la seguridad activa del punto final entra en conflicto con el software de red activo que controla el entorno corporativo. Como dos perros peleando por un hueso, y nadie gana, porque el hueso (malware) se escapa.

Consideraciones importantes

La forma más segura y eficiente de implementar la seguridad en el lugar de trabajo tanto para la empresa como para sus empleados es crear una política corporativa . Cuando se trata de decidir sobre una política de seguridad de BYOD, hay algunos puntos que al menos deben considerarse. Incluyen:

• ¿Qué sistemas operativos permitirá? No todos los programas pueden cubrir todos los sistemas operativos, y si desea optar por la uniformidad o la administración central, este es un tema importante.
• ¿Qué software permitirás? Y si va a utilizar restricciones, ¿usará una lista negra o una lista blanca?
• ¿Qué tan detallado desea que sea su política de seguridad? ¿Le va a dar a sus empleados un resumen general o realmente va a profundizar en detalles como los requisitos mínimos para contraseñas o cómo identificar correos electrónicos de phishing?
• ¿Desea poder monitorear dispositivos que se encuentran en la configuración de BYOD desde su consola de administración central? ¿Y eso requiere que los dispositivos cumplan ciertas especificaciones?
• ¿Qué pasa con los dispositivos cuando el empleado abandona la empresa? O mejor aún, ¿qué sucede con la información, el software y otros datos relacionados con la compañía en el dispositivo?

Mejores prácticas

La lista de las mejores prácticas para convertir cualquier traer su propia configuración de seguridad en un esfuerzo exitoso y seguro se parece mucho a la lista de las directrices de seguridad, pero queremos repetir el consejo de todos modos:

• Capacite a su personal sobre higiene básica de computadoras, como evitar fraudes de soporte técnico, evitar enlaces a fuentes desconocidas y nunca abrir archivos adjuntos de correos electrónicos sospechosos. Además, asegúrese de que saben qué hacer y qué no hacer en caso de una infracción.
• Cree una política justa que se haya comunicado claramente para que los empleados entiendan qué es aceptable y cuáles podrían ser las consecuencias si no cumplen.
• Cifre el almacenamiento de archivos y las comunicaciones para disminuir las posibilidades de que información o datos vitales caigan en las manos equivocadas.
• Asegurar actualizaciones de software oportunas para todos. ¿Cuál es el uso de un administrador del sistema que se apresura a verificar, verificar e instalar actualizaciones cuando hay algunos dispositivos en itinerancia con algunos parches detrás?
• Use una VPN para las comunicaciones fuera del sitio para descartar los ataques ocultos y los  ataques de intermediarios .

La mayoría de los escenarios BYOS y BYOD tienen ventajas y desventajas; sin embargo, si el equipo de TI de la empresa y la fuerza laboral están preparados, muchas de estas situaciones tienen una buena oportunidad de trabajar en el mejor interés de todos los involucrados.

La conciencia de las posibles implicaciones es siempre un buen punto de partida. La vigilancia es la mejor mitad de la seguridad.