Trabajando con tu propio dispositivo (BYOD) durante la pandemia.

Esta pandemia ha disparado el número de gente que utiliza sus propios dispositivos para trabajar en su empresa y realizar el #teletrabajo que tanto está dando que hablar. No obstante, no todas las empresas (o no siempre) están preparadas para trabajar en un contexto BYOD (Bring your own device). Dejar que la seguridad de tu empresa dependa del uso que le den a su propio dispositivo requiere de tomar una serie de pasos y medidas en lo que a la seguridad (y organización de tu empresa) puede suponer.

El BYOD ( Bring your own device ) es el trabajo corporativo desde tu propio terminal. Muchas empresas que practican el teletrabajo hoy en día no han tenido la suficiente fuerza, recursos o agilidad para proporcionar equipos de trabajo a todos sus empleados. Debido a esto, y a  que esto ha cogido a mucha gente por sorpresa, un número elevado de gente está utilizando sus propios dispositivos desde casa para trabajar de manera remota.

Esto es una apuesta muy cómoda para la empresa, ya que el ahorro en nuevos dispositivos, o tener que ceder los dispositivos de trabajo  a los empleados de manera remota puede no ser siempre posible. No obstante, este tipo de prácticas lleva apareada un riesgo , ya que a menudo pueden mezclarse la información corporativa con la personal o la vida privada de nuestros empleados.

Repasamos un rápido listado de consejos para trabajar con tu propio dispositivo sin comprometer la seguridad de tu empresa. El INCIBE ( Instituto Nacional de Ciberseguridad) da algunas recomendaciones  que desde Hamro queremos recordar. Este pequeño manual de buenas prácticas reduce los problemas que pueden surgir por trabajar con tu propio dispositivo (o que tus usuarios trabajen con su propio dispositivo).

Deshabilitar la sincronización con la nube

Generalmente, todos los PCs de Windows y Mac cuentan con algún tipo de systema de sincronización en la nube por defecto (como One Drive o iCloud).  Es recomendable que mientras se trabaja, se desactiven estos servicios. La mayoría de programas tienen un botón que permite activar o desactivar esta opción. 

Además, hay ciertas carpetas que funcionan con las cuentas propias de los usuarios de este tipo de servicios, como Dropbox o Google Drive. Nunca se debe de utilizar una nube personal para guardar cosas del trabajo.

Navegadores sin credenciales guardadas.

No se debe permitir que el navegador del ordenador almacene  y recuerde las credenciales de acceso a aplicaciones corporativas.  Tampoco se debe de activar la función de autocompletado de formularios, ya que mediante esta opción siempre se da información adicional a los sitios web a los que se accede. Se puede abrir la puerta de la empresa a posibles ataques.

Utilizar una conexión segura VPN

 Una conexión VPN es un añadido de segridada a las comunicaciones y a la red de la empresa. Es algo similar a abrir un túnel directo ,seguro y cifrado entre la casa dónde se está #teletrabajando y la red corporativa.

Encriptar las conexiones

Toda la comunicación entre la casa y la red corporativa tiene que estar encriptada, bien mediante protocolos de comunicación web HTTPS (que llevan la mayoría de páginas web actualmente) o bien mediante una VPN como hemos comentado anteriormente.

Bloquear los dispositivos.

Es recomendable establecer una contraseña en el ordenador personal o dispositivo móvil personal al iniciar el sistema. También es recomendable introducir un cierre de sesión automático para que si dejamos el pc desatendido un cierto tiempo, el sistema automáticamente se bloquee y requiera reintroducir la contraseña.

Navegar en modo incógnito

Otra idea fantástica es utilizar el modo incógnito de nuestro navegador para que nadie pueda rastrear los datos del historial de navegación en el pc compartido.

Diferenciar entre el correo electrónico personal y el correo electrónico corporativo.

​Es otro aspecto fundamental. Utilizar programas de gestión de correo electrónico diferenciados o que permitan diferenciar el correo personal y el corporativo. Ayuda tener apps diferentes para cada uno de ellos, aunque muchos servicios en la nube, como GSUITE, ya permiten este tipo de distinción de forma relativamente sencilla.

Utilizar gestores de contraseñas

Esta siempre es una idea estupenda para añadir a este tipo de situaciones, pero un gestor de contraseñas, como Dashlane puede ser una estupenda forma de gestionar las contraseñas corporativas para cada usuario.

Ofrecer soporte antivirus

Una forma común de birlar la seguridad de una empresa es mediante la instalación tanto de softwares troyanos así como espias de teclado. Este tipo de programas pueden ,por ejemplo, captar toda la información de lo que se está escribiendo y enviarla a un receptor sin que se sepa. De esta manera se puede por ejemplo, descubrir la contraseña empleada para acceder a tu cuenta corporativa.

En el caso de que seas empleador, es importante ofrecer soporte antivirus a tus usuarios (especialmente, los menos avanzados). No hay que esperar a que el usuario instale su propio antivirus, sino ser proactivo . Este servicio debe ser ofrecido siempre al trabajador por parte de la empresa.

Pensar antes de actuar

La situación actual es conocida tanto por empresas como ciberdelincuentes.  La emergencia del COVID-19 está siendo utilizada para crear campañas de phishing con pretextos de mostrar información y mapas de infección, así como comunicaciones fraudulentas a correos corporativos con el único fin de robar información y obtener beneficio a costa de ello.  Antes de aceptar o enviar información de cualquier empresa  o link, hay que fijarse muy bien en el nombre de dominio que estamos utilizando. ¿es el mismo? ¿hay algo raro? Si algo no cuadra ,es mejor no introducir ningún dato en esa web o correo hasta que tengamos verificada que esa es la url correcta donde hay que introducir los datos.

Es más, se espera un aumento en los ataques de phishing durante los próximos años sin precedencia, por lo que hay que extremar las precauciones.

Utilizar SAAS siempre que sea posible

​Tener documentos de word o archivos sueltos por el ordenador de un trabajador pueden provocar fugas de datos a terceros. Es una buena estrategia acudir a SAAS para que este tipo de ficheros no se fuguen por un descuido. Los archivos de contabilidad por ejemplo, no pertenecen en la carpeta de Mis Documentos del ordenador personal de un empleado. Deben encontrarse en un SAAS (como Holded) o mediante algún sistema online de nube como Google Drive.

En definitiva, hay que extremar las precauciones, dado que fomentando el BYOB, estamos volcando información (o parte de la información de nuestra empresa) de forma no intencionada a discos duros (ordenadores) que no pertenecen a nuestra empresa, sino a sus empleados. Estos pueden ser puntos más vulnerables para la fuga de datos o de propiedad intelectual de nuestra empresa.

Finalizamos este artículo recordándote que Hamro Dev proporciona las mejores soluciones de seguridad para dispositivos de aquellos trabajadores que desarrollan sus funciones laborales en remoto. ¿Necesitas un partner para digitalizar tu empresa? Hamro ofrece soluciones 360º, no lo dudes, haz click en "contactar" y déjanos tu duda.