“Seguridad en tiempos de BYOD” / Por: Christian Hisas Business Development Manager Logicalis Southern Cone

En la actualidad, las instituciones bancarias se enfrentan a una serie de problemáticas relacionadas con la confianza y responsabilidad. En este sentido, resulta fundamental la implementación de un programa para que los empleados puedan llevar sus propios dispositivos.

La nueva tendencia denominada “Bring Your Own Device” (BYOD) resulta uno de los desafíos más Importantes que las empresas y los consumidores de TI deben afrontar. Así, la adopción de Tecnologías en el ámbito corporativo ahora está impulsada por las preferencias del usuario y ya no por una iniciativa empresarial.

Si bien muchas organizaciones financieras perciben a esta tendencia como una posible manera de reducir los costos, también un programa de “Bring Your Own Device” bien diseñado aumenta la satisfacción del empleado y acelera la tasa de adopción de tecnología en la empresa. Sin embargo, BYOD para estas empresas implica más que el traslado de la propiedad del dispositivo hacia el empleado, pudiendo tener complejas consecuencias. En este sentido, resulta fundamental definir la estrategia antes de su implementación.

Preparando el terreno

Antes de pensar en la implementación de una política de BYOD, existen una serie de etapas que deben ser consideradas para lograr cumplir las expectativas de los colaboradores y la organización.

La red corporativa puede convertirse en un instrumento clave para la aplicación de la política de seguridad, es decir que la red puede detectar características de los dispositivos, el usuario al que pertenece, su ubicación física o lógica, la ejecución de antivirus y herramientas anti-malware, etc. Esta información es de suma utilidad en tanto permite a la empresa definir los criterios de acceso a la información y su uso.

Una apuesta por la virtualización y la movilidad

Una de las mayores preocupaciones en lo que respecta a la seguridad es que los empleados utilizan sus propios dispositivos para los negocios, pudiendo almacenar los datos a nivel local. Sin embargo, este no es el único factor a tener en cuenta. Así, y si una computadora portátil es vista como una propiedad personal bajo un programa de BYOD, los usuarios pueden no cumplir con las políticas de seguridad corporativas. En consecuencia, las empresas deben prestar especial atención al cumplimiento de ciertas reglas, tales como las relativas a compartir un dispositivo.

La opción más segura es la de permitir el acceso a los datos solo a través de aplicaciones virtuales, móviles o basadas en la Web en los servidores centrales y/o en una red segura. De esta manera, la computadora portátil, Tablet o Smartphone actúan simplemente como una interfaz que posibilita trabajar con información corporativa. Posteriormente, los usuarios también deberían comprometerse a no almacenar los datos en sus dispositivos.

Por otro lado, y antes que el CIO considere la implementación de BYOD, la arquitectura ya debe estar incorporada. Es decir que no tiene sentido implementar BYOD sin antes haber creado las aplicaciones empresariales, para que puedan ser accedidas fácilmente a través de dispositivos móviles.

Esto incluye crear versiones Web, interfaces Web para sistemas back-end o aplicaciones de carácter exclusivamente móvil. El éxito de cualquier programa de BYOD dependerá de la temprana preparación y la comprensión de los matices de estos complejos temas. De esta forma, establecer un modelo de confianza y comprender la responsabilidad legal de BYOD resultan dos puntos centrales para tener en cuenta en las etapas iniciales de planificación.

Crear un modelo de confianza

La confianza es la base para la seguridad de la empresa. En este sentido, algunos de los interrogantes que surgen son: ¿En que usuarios puedo confiar, con qué información y bajo qué circunstancias?

Todas las importantes organizaciones financieras han tenido que realizar la clasificación de datos para establecer esta base de apoyo para sus políticas de seguridad. Sin embargo, los modelos de confianza para móviles agregan un nuevo nivel de complejidad. El nivel de confianza de un dispositivo móvil resulta dinámico, en tanto puede ir variando a lo largo del tiempo. Por ejemplo, el CFO de una empresa puede confiar en tener datos financieros en su tableta, pero no así en que el dispositivo desactiva el cifrado o descarga una aplicación. Así, y dado que no se encuentran bloqueados tan rigurosamente como la PC, los dispositivos móviles muchas veces no cumplen con las políticas de seguridad.

Asimismo, BYOD complejiza aún más el modelo de confianza ya que la seguridad que los empleados le dan a sus propios dispositivos suele ser diferente a la adoptada por las empresas. En este sentido, las políticas de privacidad pueden variar y, en consecuencia, también las expectativas del usuario.

Por ejemplo, los colaboradores pueden aceptar no estar habilitados para el uso de las redes sociales pero no así en los propios dispositivos. Las organizaciones financieras requieren la construcción de un modelo de confianza que permita:

ü  Definir opciones que posibiliten el control de acceso, la cuarentena, la eliminación selectiva de la información y la notificación. Estas opciones pueden variar su rigidez, según sean dispositivos personales o corporativos. Por ejemplo, frente a un dispositivo corporativo, que presente riesgo moderado respecto a la política de uso, la solución podría ser el borrado total; sin embargo en un dispositivo personal puede ser una acción inicialmente más leve, como el bloqueo en el acceso a la información de la empresa, seguido por un selectivo borrado de datos corporativos.

ü  Establecer una política escalonada. Actualmente, la propiedad es una dimensión clave sobre la que se deben establecer directivas. Así, los dispositivos personales y corporativos tienen diferentes conjuntos de políticas para la seguridad, la privacidad y la distribución de aplicaciones.

ü  Establecer la identidad de cada usuario y el dispositivo. En tanto la elección del dispositivo se torna más dinámica, resulta más relevante la utilización de certificados para determinar la identidad del usuario y el dispositivo.

ü  Poseer una mirada crítica respecto cumplimiento de la política de seguridad exigida. ¿Cuál es el impacto de dicha política en la experiencia del usuario? ¿Los usuarios lo aceptan en el largo plazo? Si el nivel de confianza del dispositivo personal es tan bajo que la seguridad requiere de importantes restricciones de uso, la experiencia de movilidad del empleado se daña.

En consecuencia, la política y el programa BYOD no serán viables.

Comprender la responsabilidad

En las empresas tiene “larga data” el enfoque de la evaluación del riesgo de acciones de los empleados y la responsabilidad asociada. Estas acciones comprenden el uso no seguro de los datos de la empresa y el acceso a aplicaciones o sitios Web inapropiados. En este punto, BYOD introduce un nuevo matiz: el dispositivo, en el que es posible desarrollar estas acciones, ya no es propiedad de la empresa. Por lo tanto, la empresa debe averiguar si la propiedad del dispositivo móvil aumenta o disminuye la responsabilidad corporativa.

A continuación, presentamos algunas consideraciones acerca de la responsabilidad que BYOD introduce, las cuales deben ser abordadas por estas empresas:

ü  Definición de los elementos de protección base para los datos empresariales en los dispositivos: Todas las empresas deben proteger los datos corporativos en el dispositivo móvil, sin embargo las protecciones necesarias pueden variar para los diferentes dispositivos. Por ejemplo, la protección contra las aplicaciones de consumo podrían ser más necesarias en el sistema operativo Android, en comparación con iOS o viceversa.

ü  Evaluación de la responsabilidad por el uso personal del dispositivo: Los empleados esperan utilizar sus dispositivos personales como deseen.

ü  Evaluación de la responsabilidad por el uso del dispositivo dentro de la empresa y fuera de la misma; durante el horario laboral y no laboral: ¿Cuando y donde el uso del dispositivo móvil debe ser controlado, en el marco de un programa BYOD? La transformación que sufre el horario laboral y la falta de definición del tiempo personal dificultan el análisis e imposibilitan la medición de los resultados.

ü  Cuantificación de los costos de supervisión, ejecución y auditoria de la política de cumplimiento BYOD: Si la responsabilidad es menor entonces los costos de cumplimiento correspondientes también deberían ser menor, lo cual podría generar un significativo ahorro de costos. Además, se espera mejorar la productividad tanto del personal de TI, liberado ahora de algunas tareas, como de otros colaboradores que, al utilizar los mismos dispositivos en casa y en el trabajo, requieren menos formación técnica.

ü  Evaluación del riesgo y la responsabilidad resultante de acceso y daños en los datos personales: ¿Qué pasaría si accidentalmente se borran los datos personales de un usuario, en vez de datos de la empresa?

En este sentido, la mayoría de las organizaciones se protegen legalmente, a través de un contrato, con el usuario; sin embargo este tipo de situaciones pueden crear frustraciones en los empleados. Muchas organizaciones, incluidas las instituciones financieras, deciden que su responsabilidad en los dispositivos personales se limita a la protección de los datos corporativos, no siendo responsables por la navegación personal, aplicaciones u otra actividad del individuo en estos dispositivos. En otras palabras, la responsabilidad de muchas empresas disminuye cuando se “mudan” a BYOD, sin embargo existen otras organizaciones que no sufren modificaciones en su responsabilidad corporativa. En este punto, se sugiere que cada organización busque su propio asesoramiento jurídico acerca de cómo evaluar y elegir entre los diferentes programas de responsabilidad BYOD móviles y tradicionales.