¿Usas tu propia computadora portátil o teléfono para trabajar? Por qué es un peligro para la seguridad de las empresas

La próxima vez que trabaje en una cafetería o en un espacio público similar, tómese un momento para mirar a sus «compañeros de trabajo» del día, ocupados, como usted, con computadoras portátiles, teléfonos celulares y tabletas. ¿Cuántos de esos dispositivos pertenecen a las organizaciones que los emplean? ¿O ellos (y usted) están utilizando dispositivos personales para realizar negocios de la empresa?

Muchas empresas están adoptando la conveniencia de una práctica conocida como «trae tu propio dispositivo«. Esto permite a los empleados utilizar sus dispositivos personales o de propiedad privada, como teléfonos inteligentes, computadoras portátiles, unidades USB e incluso almacenamiento personal en la nube, para fines laborales. Un término más amplio, «traiga su propia tecnología», abarca el uso de software de propiedad privada. para actividades empresariales.

Según el Índice de preparación para la ciberseguridad 2024 de la empresa de tecnología Cisco, El 85% de las más de 8.000 empresas encuestadas En todo el mundo informaron que sus empleados accedían a las plataformas de la empresa mediante dispositivos no administrados.

Hay beneficios innegables en el enfoque de «traer su propio dispositivo». Entre ellos se incluyen menores costes de compra para las empresas y más flexibilidad para el personal. Pero la práctica también es arriesgada.

Los dispositivos de propiedad privada no siempre están bien configurados en materia de seguridad. A menudo carecen de controles de seguridad de terminales, como software antivirus y cifrado (que convierte datos de texto sin formato a un formato ilegible). Esto los deja vulnerables a filtraciones de datos y otras formas de ciberataques. Estos ataques son comunes y pueden resultar costosos. La empresa de ciberseguridad Kaspersky documentada casi 33,8 millones de ciberataques a móviles en todo el mundo en 2023, un aumento del 50 % con respecto a las cifras de 2022.

Entonces, ¿qué pueden hacer las organizaciones para reducir los riesgos asociados con «traiga su propio dispositivo»? Como profesional de la ciberseguridad que realiza investigaciones sobre y enseña temas de ciberseguridad, este es mi consejo para las empresas que desean mantener sus datos seguros y al mismo tiempo permitir que los empleados usen su propia tecnología.

¿Quién debería preocuparse?

Las organizaciones de todos los tamaños que utilizan Internet y tecnologías de la comunicación (TIC) para operaciones comerciales deben abordar los riesgos que conllevan los «propios dispositivos». Esto no es sólo un asunto de los departamentos de TI. Sin colaboración entre los equipos técnicos y la administración, es imposible equilibrar la eficiencia operativa y medidas sólidas de seguridad de datos.

Esto debería ser una prioridad inmediata si:

• Su organización o empresa no tiene políticas, estándares ni directrices de «traiga su propio dispositivo»
• No ha introducido salvaguardias técnicas fundamentales para los dispositivos personales. Pueden ser redes privadas virtuales, software antivirus actualizado, autenticación multifactor, cifrado y herramientas de administración de dispositivos móviles.
• Su empresa no cuenta con procesos adecuados para administrar cuentas de usuarios (suele ser el caso de entidades sin recursos TIC dedicados)
• Sus operaciones de TIC están fragmentadas, sin estándares o prácticas uniformes en todos los departamentos.
• La organización no ha evaluado los riesgos de las prácticas de «traer su propio dispositivo».

Nunca es demasiado tarde para fortalecer los controles de ciberseguridad para estas prácticas. A medida que evolucionan los riesgos cibernéticos, las organizaciones deben adaptarse para proteger su información. Evalúe los riesgos financieros y de reputación de una violación de datos y casi con seguridad descubrirá que vale la pena gastar dinero por adelantado para evitar grandes pérdidas en el futuro.

Gestionar los riesgos

Las organizaciones con los recursos de ciberseguridad necesarios pueden tomar medidas internamente. Otros tal vez necesiten considerar la subcontratación en áreas críticas donde existen brechas importantes.

En primer lugar, necesita una estrategia integral de «traiga su propio dispositivo» que se adapte a las necesidades de su organización. Esto debería alinearse con los objetivos de la organización y establecer quién debe implementar qué medidas. Debería describir cómo permitir que los empleados utilicen sus propios dispositivos para trabajar satisfará las necesidades empresariales.

Luego, la empresa debe crear políticas para ayudar en la gobernanza de los dispositivos de propiedad privada.

Pero no sirve de nada limitarse a poner una política por escrito: comunicarla a todo el personal y hacerla fácilmente accesible en todo momento a través de plataformas como la intranet. Comunique cualquier actualización de políticas a todos los usuarios a través de varios canales, como correos electrónicos o talleres. Proporcionar formación periódica y personalizada. No todo el mundo es experto en tecnología; Los empleados pueden necesitar ayuda para instalar las protecciones necesarias.

Y recuerde informar a su equipo sobre cualquier cambio. Es fundamental realizar evaluaciones de riesgos periódicas (mensuales o trimestrales) o continuas y realizar los cambios necesarios.

Fundamentalmente, la organización debe monitorear y hacer cumplir el cumplimiento. Todos los miembros del personal, desde los altos ejecutivos hasta el personal subalterno, deben cumplir políticas para mantener la seguridad de los datos. La ciberseguridad es una responsabilidad compartida y es importante estar atento a ciertas amenazas, como phishing de ballenas—cuando los estafadores se hacen pasar por altos funcionarios de una empresa para atacar específicamente a otros altos funcionarios clave.

evitar el desastre

Estas estrategias pueden ayudar a las empresas a evitar que «traiga su propio dispositivo» se convierta en «traiga su propio desastre». Un enfoque bien administrado no es sólo una protección contra las amenazas: es una inversión en el crecimiento, la estabilidad y la credibilidad de su organización.

Este artículo se republica desde La conversación bajo una licencia Creative Commons. Lea el artículo original.