BAQUIA

BYOD: el sueño del usuario, la pesadilla del CIO

Manuel Arrevola, Ingeniero de Telecomunicaciones experto en seguridad TI

La explosión de los smartphones y últimamente de las tabletas es un hecho incuestionable para el usuario particular. Pero, ¿qué ocurre con el uso de estos dispositivos en las empresas? Nuestra experiencia nos dice que su uso en las empresas viene empujado por los altos directivos, que tras recibir el correspondiente regalo por su onomástica o evento similar, piensan: "¿Por qué no uso este dispositivo personal para acceder a mis aplicaciones y correo electrónico corporativos?".

Esta es la base del denominado BYOD (Bring Your Own Device). Pero aquí es donde viene el problema para los responsables de TI (CIOs, CISOs, etc.). El puesto de trabajo de las empresas está sujeto a unas rígidas políticas de TI y de seguridad; las aplicaciones y controles de seguridad y de acceso están bastante definidos. Pero en cambio, para estos dispositivos no es lo habitual.

Estos dispositivos tienen una gran capacidad de conectividad (3G, Wi-Fi, etc.), y una gran capacidad de proceso y de memoria (hasta 64 Gigabytes), más que suficiente para poder sustraer la información más confidencial de las empresas. Los riesgos adicionales por el uso de estos dispositivos son múltiples: acceso a información corporativa, pérdida y robo de los mismos, aplicaciones maliciosas (que pueden contener virus y troyanos), etc. No conozco a nadie que no haya perdido, olvidado o sido objeto de robo, alguna vez en su vida, de un móvil y, hoy en día, de smartphones y tabletas.

Por tanto, los requisitos que ha de plantearse cualquier organización antes de incorporar este tipo de dispositivos son evidentes: protegerse frente a la pérdida o el robo, poder gestionarlos, controlar el acceso a las redes y aplicaciones corporativas, cifrar los datos almacenados, controlar el acceso al correo electrónico corporativo y controlar las aplicaciones que tengan instalados estos dispositivos, que se pueden descargar de los repositorios de aplicaciones tipo Apple Store, Android Market, etc. La lista es interminable, incluso más extensa que la de un PC de escritorio (que normalmente no perdemos en el taxi o en el avión).

Cuando hablamos de conectividad y acceso, además de los aspectos ya mencionados, y dada la posible proliferación de su uso ubicuo en las empresas a través de redes inalámbricas, los mecanismos de seguridad para los puntos de acceso, los controles de acceso a red (NAC), la optimización del ancho de banda y el bloqueo de determinadas comunicaciones WLAN o WAN (no olvidemos el Bluetooth y el puerto de infrarrojos) en el dispositivo, se antojan como imprescindibles. La lista puede ser interminable al incluir las funcionalidades y herramientas más o menos habituales en PC’s, como antimalware, VPN, DLP, DRM, VDI, distribución de software, acceso a recursos de almacenamiento compartido, etc.

En definitiva, las organizaciones que decidan adoptar estos dispositivos para el uso por parte de sus empleados van a encontrar innumerables ventajas en el aumento de la productividad, y los empleados ver cumplido su “sueño”. El problema lo tienen los CIOs y CISOs. Muy pocas organizaciones tienen pergeñado un plan de gestión de sistemas de la información que contemple el uso masivo de estos dispositivos y, menos aún, un plan director de seguridad. Por no hablar de otros aspectos como el cumplimiento normativo o la gestión de riesgos. Aquí es donde puede comenzar la “pesadilla” para estos directivos, que en tiempo record tienen que adaptarse al concepto BYOD.

No obstante, desde el punto de vista de herramientas tecnológicas, ya se han hecho grandes progresos. Desde hace tiempo ya contamos con herramientas tecnológicas MDM (Mobile Device Management), MAM (Mobile Application Management) y MDP (Mobile Data Protection) que ayudarán en gran medida los departamentos de sistemas de la información y seguridad lógica a gestionar estos dispositivos.

La oferta de herramientas es variada y en algunos casos, con aceptables grados de madurez. Ahora toca conseguir la suficiente experiencia y conocimiento de las mismas para que se adopten de forma generalizada por todas las organizaciones. Aun así, quedaría por contemplar su inclusión en los procesos corporativos de gobierno y gestión, pero esa es otra historia.


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios