¿Tus empleados usan su móvil para trabajar?

Consejos para evitar poner en riesgo la seguridad e integridad de la información de la empresa

 

 

¿Dejas que tus empleados utilicen su móvil personal para trabajar? Hoy desde Protege tu Empresa nos dan pautas sobre los riesgos que van asociados a esta práctica que es bastante habitual y algunas pautas para evitar poner en riesgo la seguridad e integridad de la información de la empresa y también la personal.

Los dispositivos a los que nos estamos refiriendo son personales y por esto no tienen  la configuración de seguridad que la empresa ha decidido implementar, lo que hace que el dispositivo no esté controlado y por tanto que tenga riesgos.

Estos son algunos:

 

  • Un dispositivo personal con documentos de la empresa cuando se conecta a una red externa no segura podría dar acceso a terceras personas a la información corporativa almacenada en el mismo.

 

  • Instalar aplicaciones con permisos de acceso a diferentes partes del dispositivo (contactos, fotos, archivos,..) donde podría haber información sensible de la organización.

 

  • Dispositivos sin medidas de seguridad, por ejemplo si no tienen contraseña, patrón o huella para acceder o si no han cifrado su contenido, podrían permitir a cualquiera que se hiciera con él, acceder a todo su contenido.

 

  • En el caso que un dispositivo personal carezca de antivirus o política de actualizaciones del mismo, podría infectarse y convertirse en víctima de ataques y accesos no autorizados.

 

  • Hacer uso indiscriminado de las opciones de «recordar contraseñas» puede provocar que cualquiera que se haga con el dispositivo, tenga acceso a todas las credenciales almacenadas.

 

Si los empleados de tu negocio van a poder utilizar sus dispositivo móviles es recomendable que indiques los requisitos que han de cumplir a la hora de usarlos en el ámbito laboral.

 

Para ello, hay que tener en cuenta, además de la concienciación, aspectos organizativos y normativos, y aspectos técnicos. En este listado desde Protege tu Empresa te ofrecen tips para que no te olvides de nada al elaborar la política BYOD de tu empresa:

 

Cuestiones organizativas y normativas:

 

Define normas y procedimientos en cuanto al uso de BYOD, especificando las condiciones en las que se permite su uso, cómo se accede a la información, configuración mínima de seguridad necesaria, etc.

Limita las instalaciones de aplicaciones, estableciendo una lista de las que no se podrá hacer uso, así como la prohibición de uso de dispositivos manipulados (jailbreak o ruteado), que permiten la instalación de aplicaciones que no provienen de repositorios oficiales.

Limita el acceso a redes desconocidas, indicando que preferentemente se conecten a través de las redes 3G o 4G. En ningún caso se permitirán conexiones a través de redes wifi abiertas.

Establece el proceso que hay que seguir para entregar o eliminar la información de estos dispositivos cuando el empleado abandona la organización.

 

Aspectos técnicos sobre los sistemas de tu empresa:

 

  • Establece las medidas de control necesarias para poder acceder a la red corporativa (autenticación, doble factor, etc.). En este caso se podría proveer a los empleados de acceso mediante VPN (red privada virtual, en inglés Virtual Private Network), que garantiza un cifrado de las comunicaciones.

 

  • Controla de almacenamiento de datos en la nube, permitiendo consultas de datos pero no la actualización desde dispositivos personales ya que las medidas de protección en sistemas cloud pública no son siempre tan seguras como las medidas que se pueden tomar en el ámbito empresarial.

 

  • Controla usuarios y dispositivos a los que permites el acceso, mediante un registro de usuarios y dispositivos que tendrán acceso a los datos y aplicaciones corporativas.

 

  • Dota a la empresa, mediante acuerdos con los empleados, de cierta capacidad de administración sobre estos terminales.

 

Aspectos técnicos sobre los dispositivos de tus empleados:

 

  • Implanta medidas técnicas que garanticen el almacenamiento seguro de la información en dispositivos móviles, como por ejemplo mecanismos de cifrado de documentos o autenticación.

 

  • Establece una política de contraseñas robustas, haciendo que se compongan al menos de ocho caracteres, combinando mayúsculas, minúsculas, números y caracteres especiales.

 

  • Asegúrate de que los dispositivos cuenten con antivirus correctamente actualizado, y con una política de actualizaciones tanto del sistema operativo como de las aplicaciones contenidas.

 

  • Impide que los usuarios guarden automáticamente las credenciales de las herramientas corporativas en este tipo de dispositivos

 

  • También puedes hacer uso de soluciones de gestión de movilidad para empresas, como MDM (Mobile Device Management), utilizado para prevenir el acceso no autorizado a las aplicaciones de la compañía y a la información corporativa en estos dispositivos; MAM (Mobile Applications Management), utilizado para la provisión y control del acceso a aplicaciones móviles; MCM (Mobile Content Management), sistema que garantiza la seguridad de los datos corporativos almacenados en los dispositivos móviles; o EMM (Enterprise Mobility Management), sistema de gestión de dispositivos móviles, redes inalámbricas.

 

Concienciación y formación a empleados:

 

  • Haz todo lo necesario (cursos, charlas,…) para que los empleados sean conscientes de la importancia para la empresa de la correcta protección y el uso adecuado de estos dispositivos.

 

  • Establece una política de formación sobre su uso seguro, incidiendo sobre temas de importancia transversal como la configuración de parámetros básicos de seguridad, actualizaciones tanto de sistema operativo como de aplicaciones, etc.

 

Fuente: Incibe