Consejos para un modelo BYOD seguro

La irrupción del teletrabajo durante la pandemia ha consolidado en muchas empresas un modelo de trabajo híbrido, en el que las fronteras entre el ámbito laboral y el doméstico se difuminan. Una de las consecuencias de esto es la generalización del uso de dispositivos personales para realizar tareas laborales y para acceder a datos corporativos, siguiendo el denominado modelo ‘Bring Your Own Device’ o BYOD, por sus siglas en inglés.

Sin embargo, esta práctica conlleva riesgos significativos para la ciberseguridad de la empresa, especialmente si no se tienen en cuenta las necesarias medidas de protección, como ya hemos contado en alguna ocasión.

“A pesar de que las preocupaciones relacionadas con los protocolos para integrar dispositivos personales en el trabajo no son precisamente nuevas, la creciente popularidad de esta práctica ha revitalizado la conversación sobre los desafíos en torno a la seguridad de los datos corporativos. Esto exige revisar y ajustar las normativas vigentes para que estén en sintonía con las dinámicas actuales del mundo laboral”, apunta Josep Albors, director de investigación y concienciación de ESET España.

“Adoptar una postura demasiado laxa hacia las políticas de seguridad BYOD puede acarrear grandes riesgos para las empresas, ya que la presencia de dispositivos personales dentro de las redes corporativas crea una mezcla potencialmente explosiva”, añade.

BYOD sin riesgos

Así pues, la compañía de ciberseguridad ofrece algunas recomendaciones para mitigar los riesgos asociados al empleo de dispositivos personales en el trabajo, esenciales para proteger los datos corporativos en la práctica de políticas BYOD.

El primero es reducir la superficie de ataque corporativo. ESET indica que es esencial realizar un inventario completo de los dispositivos que acceden a las redes corporativas y establecer estándares de seguridad para garantizar una protección mínima. Además, remarca que las aplicaciones no autorizadas y el software no controlado en estos dispositivos suponen riesgos significativos para la seguridad de los datos.

Con el fin de reducir este riesgo, aconseja instaurar medidas como listas negras, que prohíben el uso de aplicaciones o software específicos considerados peligrosos; o listas blancas, que permiten únicamente el uso de aplicaciones o software aprobados. También es importante explorar soluciones de gestión de dispositivos móviles que ayuden a mantener la seguridad de la red corporativa sin invadir la privacidad de los empleados.

Actualizar el software y los sistemas operativos es su segundo consejo, ya que el objetivo de estas actualizaciones suele ser la corrección de vulnerabilidades. En caso de que sean los propios empleados los responsables de actualizar su software, ESET recomienda que les recuerden la disponibilidad de parches, proporcionen guías y monitoricen su aplicación. Además, la compañía recuerda que el uso de software de gestión de dispositivos ayuda a reforzar la seguridad, al facilitar la instalación de actualizaciones y supervisar el cumplimiento de los empleados.

Establecer una conexión segura también es esencial. En este sentido, las organizaciones deben proteger a los empleados remotos y los datos corporativos mediante medidas de seguridad robustas, como el uso de redes privadas virtuales (VPN) correctamente configuradas que permitan un acceso seguro a los recursos empresariales, minimizando la vulnerabilidad ante posibles ciberataques.

Por otra parte, ESET advierte que el aumento del trabajo remoto ha elevado el uso y los ataques al Protocolo de Escritorio Remoto (RDP), explotando las configuraciones inseguras de RDP o las contraseñas débiles para infiltrarse en las redes empresariales. Para contrarrestar esto, recomienda asegurar el acceso RDP con medidas como desactivar el RDP accesible desde internet y exigir contraseñas fuertes y complejas para todas las cuentas susceptibles de acceder.

La compañía hace hincapié en que almacenar información confidencial de la empresa en dispositivos personales bajo un modelo BYOD conlleva grandes riesgos, especialmente si el dispositivo se extravía o es sustraído y carece de protección mediante contraseña o cifrado de disco duro.

Además, advierte que permitir el uso de estos dispositivos por parte de otras personas, incluidos miembros de la familia, puede exponer aún más los datos críticos de la empresa, ya sea almacenados localmente o en la nube.

Así pues, insiste en la importancia de proteger los datos ante actores maliciosos, mediante la puesta en marcha de medidas básicas como la obligatoriedad de contraseñas seguras, el uso del bloqueo automático y la educación a los empleados sobre la importancia de restringir el acceso a sus dispositivos.

Adicionalmente, para minimizar el acceso no autorizado a datos sensibles, aconseja que las empresas cifren los datos, tanto cuando éstos se encuentran en tránsito como en local, además de aplicar la autenticación multifactor y asegurar las conexiones de red.

En el caso de las videoconferencias, ESET incide en que es crucial elegir software que ofrezca fuertes medidas de seguridad, como cifrado de extremo a extremo y contraseñas para las llamadas, con el fin de mantener la información lejos de accesos no autorizados. Además, recomienda actualizar regularmente el software de videoconferencia para evitar vulnerabilidades y mantener seguras las comunicaciones empresariales.

Finalmente, aconseja contar con un software de ciberseguridad robusto y multicapa, con funciones adaptadas para salvaguardar las transacciones en línea, bloquear y localizar dispositivos en caso de pérdida o robo, gestionar contraseñas, proteger servidores, cifrar datos confidenciales y contrarrestar estafas de phishing, etc.

Asimismo, recomienda complementar esta tecnología con copias de seguridad regulares, verificando su estado periódicamente, además de ofrecer concienciación en materia de ciberseguridad al personal.