Consultar el correo, acceder a una hoja de cálculo o hacer una modificación a última hora de un documento importante, desde cualquier lugar, son solo algunas de las tareas que se pueden llevar a cabo desde los dispositivos móviles. En la actualidad, estos aparatos se han convertido en herramientas imprescindibles para el trabajo, gracias a su movilidad y su conexión a Internet.
Ordenadores portátiles, smartphones o tablets permiten al empleado desempeñar su trabajo en cualquier sitio, como si estuviera en las instalaciones de la empresa, lo que ha abierto un abanico nuevo de posibilidades para empleados, pero también nuevos riesgos para la empresa que los propios trabajadores deben tener en cuenta.
2. Riesgos Asociados
Los dispositivos móviles, tabletas y portátiles debido a su reducido tamaño y a la capacidad que tienen de gestionar información de la empresa, entrañan nuevos riesgos. También en el teletrabajo, además de utilizar dispositivos móviles nos conectamos desde el exterior de la red de la empresa, utilizamos servicios para compartir documentos y contamos con riesgos asociados a entornos de trabajo no tan controlados.
Estos son los principales riesgos asociados a los dispositivos móviles y al teletrabajo:
► El robo o pérdida de los móviles, tabletas, portátiles y dispositivos de almacenamiento como discos duros
externos y pendrives. Este puede ser el riesgo más importante al que se exponen estos dispositivos debido
a su tamaño y en muchos casos, a su elevado coste.
► La infección por malware siempre es un riesgo a tener en cuenta, pues el software malicioso puede
robar información confidencial de la empresa y credenciales de acceso a diferentes recursos. A menudo
descuidamos la protección antimalware en equipos pequeños.
► Los sitios web fraudulentos, la publicidad agresiva o las páginas web de tipo phishing son las principales
amenazas a las que se exponen. Navegar en dispositivos pequeños, particularmente en móviles, entraña
riesgos al ser más difícil «librarse» de esta publicidad.
► Utilizar redes wifi inseguras puede poner en riesgo la privacidad de las comunicaciones, ya que los
ciberdelincuentes pueden estar «escuchando» todo lo que se envía y recibe. También podemos conectarnos
a redes wifi que suplantan a redes wifi lícitas.
►Instalar aplicaciones que necesitan acceder a determinados permisos del dispositivo, en ocasiones
excesivos o innecesarios (como acceso a la cámara, los contactos o los archivos), para poder funcionar con
normalidad, pudiendo así verse la información empresarial comprometida.
► Dispositivos que no cuentan con controles de acceso robustos que los protejan de un descuido, robo o
pérdida. La ausencia de los mismos o el uso de algunos considerados débiles, como el patrón de bloqueo,
son un riesgo para su seguridad.
► Tanto el sistema operativo, como las aplicaciones desactualizadas suponen un riesgo para la seguridad
de toda la información que gestionan.
► La modificación de los controles de seguridad impuestos por los fabricantes. Algunos usuarios
deciden rootear o hacen jailbreak a sus dispositivos lo que puede suponer un grave riesgo, ya que los
controles de seguridad impuestos por el desarrollador son eliminados.
► Establecer que el dispositivo o la aplicación recuerde la contraseña. Si un tercero accede al dispositivo
tendría acceso a todos los servicios en los que estuviera guardada la contraseña.
► Utilización de servicios en la nube. La utilización de servicios en la nube o cloud puede suponer un
riesgo, ya que la información de la empresa será almacenada en un tercero al que hemos de trasladar
nuestros requisitos de confidencialidad, integridad y privacidad. Además, existe el riesgo de que si no fuera
posible conectarse a Internet (problemas en la red como congestión o caída de la misma) la información
almacenada en la nube no será accesible.
3. Medidas de Protección
El incremento de posibilidades y capacidades que llevan asociados los dispositivos móviles14 en la actualidad implica igualmente mayores riesgos para la seguridad de los mismos. Es muy importante que los usuarios sean conscientes de la importancia de la seguridad en los aparatos móviles y los peligros que pueden llevar consigo su mal uso.
Es conveniente seguir los siguientes consejos:
Establecer un método seguro para desbloquear el terminal, por ejemplo, utilizando una passphrase robusta.
Es recomendable eliminar las previsualizaciones de los mensajes y extremar las medidas cuando no se disponga del teléfono al alcance.
Deshabilitar las conexiones inalámbricas (WiFi, Bluetooth, etc.) y todas aquellas innecesarias mientras no vayan a utilizarse.
Mantener actualizado el software del dispositivo y utilizar una configuración de seguridad aprobada por el responsable TIC de la entidad.
Tener cuidado con el acceso y las solicitudes de permisos de las aplicaciones que se ejecuten en el teléfono.
Ignorar y borrar mensajes (SMS, MMS u otros) de origen desconocido que invitan a descargar contenidos o acceder a sitios web.
Activar el acceso mediante PIN a las conexiones Bluetooth y configurar el dispositivo en modo oculto. No aceptar conexiones de dispositivos no conocidos.
Descargar aplicaciones únicamente desde las tiendas oficiales. En ningún caso, descargar software de sitios poco fiables y en todo caso solicitar al responsable TIC de la entidad las aplicaciones necesarias.
Evitar realizar jailbreaking o rooting del terminal, ya que puede comprometer y reducir considerablemente la seguridad del teléfono a pesar de ser tentador para acceder a aplicaciones o servicios específicos.
Utilizar una red privada virtual (VPN16) para proteger el tráfico de datos desde el dispositivo móvil hasta la infraestructura de la entidad. Siempre es una buena práctica para evitar la posible monitorización por parte de intrusos.
Evitar en lo posible el uso de impresoras, faxes o redes WiFi públicas, como las ofrecidas en hoteles o aeropuertos, salvo que se disponga de las herramientas necesarias para asegurar sus comunicaciones.
Muchos teléfonos móviles y cámaras digitales añaden las coordenadas GPS en la información de las imágenes tomadas, por lo que es oportuno limitar la compartición de las imágenes en la red o bien utilizar aplicaciones que eliminen dicha información.
Separar las comunicaciones personales de las profesionales es una buena práctica de seguridad. Disponer de compartimentos estancos en un solo dispositivo aumentará la seguridad.
Implementar la gestión centralizada de dispositivos móviles mediante el empleo de agentes MDM (Mobile Device Management).
Para manejar información sensible, utilizar únicamente soluciones aprobadas por el responsable de seguridad TIC de la entidad.
Destacamos las medidas más importantes para contrarrestar los riesgos mencionados.
1. PROTECCIÓN ANTIMALWARE Y SITIOS WEB PELIGROSOS
Las infecciones causadas por cualquier tipo de malware, siempre están presentes. Todo tipo de códigos maliciosos pueden llegar por correo electrónico y mensajería, en pendrives, a través del navegador o de aplicaciones. Además de entrenarnos para detectar enlaces y ficheros sospechosos, navegar de forma segura y descargar aplicaciones fiables, es importante disponer de herramientas que detecten y eliminen el software malicioso. Por otra parte, los sistemas antivirus siempre deberán estar actualizados a la última versión, algo que propiciará la identificación del malware más actual.
Es común que los antivirus también cuenten con herramientas que permitan identificar posibles sitios web fraudulentos o peligrosos, como aquellos utilizados para cometer phishing. Al seleccionar un antivirus para el móvil verificaremos que disponga de estas funcionalidades.
2. PROTECCIÓN CONTRA ACCESOS NO AUTORIZADOS
Para evitar que terceros sin permiso accedan a toda la información que gestiona el dispositivo es necesario implantar una serie de controles:
► Contraseña de firmware, si el dispositivo lo permite, sobre todo en ordenadores portátiles. De esta forma, se evita que otros usuarios arranquen el equipo desde otro disco distinto del especificado.
► Creación de cuentas de usuario y permisos. En los sistemas operativos como Windows, MacOS o los basados en Linux, se permite la creación de distintos usuarios, otorgándoles una serie de privilegios acordes con su perfil. Es recomendable que cada usuario cuente con los privilegios mínimos y necesarios que le permitan desempeñar su trabajo. Además, deberán contar con una contraseña de acceso robusta.
► Bloqueo de dispositivos. En los dispositivos basados en Android o iOS hay que establecer el bloqueo de pantalla en el menor tiempo posible y una contraseña de desbloqueo robusta. También pueden utilizarse métodos biométricos como la huella dactilar.
3. PROTECCIÓN DE LA INFORMACIÓN
La información que se gestiona desde los dispositivos móviles o portátiles que se utilizan para el trabajo diario puede ser de gran importancia para la empresa, por lo que protegerla será prioritario.
Para ello, se recomienda seguir las siguientes recomendaciones:
► Activar el cifrado de la información en el dispositivo. Todos los sistemas operativos deberán contar con herramientas de cifrado que protejan la información en ellos alojada. Los actuales sistemas operativos móviles como Android e iOS cuentan con cifrado de la información por defecto, pero los sistemas operativos para ordenador no, por lo que se debe activar.
► Establecer cuál será el tratamiento aceptable de la información confidencial. Preferiblemente, se accederá a la misma por medio de Internet y se evitará siempre descargar en el dispositivo.
4. APLICACIONES LEGÍTIMAS
Las aplicaciones para dispositivos móviles deben ser descargadas, únicamente, desde la tienda oficial. Para teléfonos inteligentes y tabletas estas deben ser descargadas desde la App Store para Apple o desde Play Store para Android. En caso de ordenadores, como ya se indicó anteriormente, deben ser descargas desde el sitio web oficial.
La empresa deberá proveer al empleado de software legítimo, es decir, deberá estar en posesión de una licencia válida, en caso contrario estaría incurriendo en un delito. Todo el software utilizado y sistemas operativos estarán actualizados a la última versión disponible, además de que será siempre descargado de fuentes legítimas y contará con las debidas licencias de uso.
5. NO RECORDAR LA CONTRASEÑA
La función de «Recordar contraseña» no debe usarse nunca en dispositivos móviles, ya que ante un acceso no autorizado se podría acceder a todos los servicios donde se haya activado esta función.
En caso de utilizar múltiples servicios, con múltiples contraseñas, es recomendable utilizar un gestor de contraseñas que ayude en esa tarea.
6. NO UTILIZAR REDES WIFI INSEGURAS
Con frecuencia nos encontramos en distintos establecimientos y servicios públicos que ofrecen conexión wifi de manera gratuita a sus clientes. A pesar del ahorro que pueda suponernos, no es recomendable utilizar estas conexiones wifi que nos encontramos en hoteles, restaurantes, estaciones de tren, aeropuertos, etc., con dispositivos empresariales, ya que no conocemos su seguridad, ni su legitimidad (podrían fácilmente haberlas suplantado) y la privacidad de la información que enviamos o recibimos puede verse comprometida.
Siempre es mejor opción utilizar la conectividad móvil 4G que incorporan los dispositivos (conexión de datos), especialmente cuando se realizan tareas sensibles como acceder a banca online o a información confidencial.
Si es habitual viajar por motivos de trabajo y es necesario disponer de conectividad se ha de utilizar una VPN (red privada virtual) que cifre las conexiones extremo a extremo, para acceder a los recursos de la empresa. Se evitará, en la medida de lo posible, utilizar aplicaciones de escritorio remoto para conectarse a servidores de la empresa sin VPN.
7. OTRAS MEDIDAS DE PROTECCIÓN EN CASO DE TELETRABAJO
En ocasiones, las tareas que se realizan en el puesto de trabajo se tienen que trasladar al hogar [Ref. – 8]. Seguir manteniendo un aceptable nivel de ciberseguridad es igualmente vital en el trabajo de oficina, siendo necesario tomar, además del uso de aplicaciones legítimas, contraseñas, bloqueo del equipo y cifrado de información confidencial, las siguientes medidas:
► No se permitirán usos domésticos (juegos, descargas, etc.) por otros usuarios en el dispositivo utilizado como puesto de teletrabajo.
► Se realizarán copias de seguridad de forma periódica.
► En caso de utilizar una conexión wifi doméstica que podamos configurar de forma segura tendremos en cuenta:
» Utilizar cifrado WPA2 o WPA3 en caso de estar disponible y que los dispositivos sean compatibles.
» Utilizar una clave robusta.
» Desactivar la función WPS en caso de estar activa.
4. Qué es el BYOD
El uso de dispositivos personales como ordenadores portátiles, smartphones o tablets, propiedad del empleado, en el ámbito corporativo, es lo que se conoce como BYOD del inglés Bring Your Own Device. Se trata de una práctica muy frecuente que beneficia tanto a la empresa, reduciendo costes, como al empleado, permitiéndole una mejor conciliación laboral.
A pesar de los beneficios que aporta, son también varios los riesgos que su uso conlleva, por lo que se debe prestar una especial atención para que su uso no comprometa la seguridad de la información de la empresa.
1. PRINCIPALES RIESGOS
Además de los riesgos mencionados para el uso de dispositivos móviles hay que añadir algunos que son exclusivos del BYOD como:
► Distracciones de los empleados. Al utilizar un mismo dispositivo para tareas personales y laborales,
la productividad puede disminuir al acceder a páginas web no relacionadas con su actividad profesional,
redes sociales o la cuenta privada de correo electrónico.
► Aumento de las posibilidades de accesos no autorizados a información empresarial, ya que el
dispositivo se usa para trabajar y para uso personal. Por lo tanto, las posibilidades de pérdida o robo
aumentan y por consiguiente, también aumentan los accesos no autorizados.
► El dispositivo puede ser prestado a un amigo o familiar para realizar cualquier tarea, lo que puede
poner en riesgo la seguridad de la información de la empresa.
► La relación contractual entre empleado y empleador puede llegar a su fin pudiendo ser un
riesgo para ambas partes conservar información empresarial una vez ha terminado el contrato.
2. MEDIDAS DE SEGURIDAD A TOMAR
Al ser dispositivos donde los empleados tienen un mayor control sobre ellos, las medidas complementarias a las anteriormente indicadas son:
► No realizar modificaciones en el software del dispositivo. Los dispositivos Android e iOS cuentan
con restricciones de fábrica que aumentan su seguridad y la de la información que manejan. Nunca hay
que hacer Jailbreak o rootear un smartphone.
► El dispositivo se mantendrá siempre bajo custodia, incluso ante amigos y familiares.
► El empleador debe elaborar una normativa que regule el uso de estos dispositivos, el registro de
dispositivos y aplicaciones autorizadas, las configuraciones de seguridad a aplicar, si será necesaria la
localización por GPS, canales de comunicación seguros, etc.
5. ¿Qué Hacer en el Caso de Robo o Pérdida del Dispositivo?
La pérdida o el robo es el principal incidente de seguridad que afecta a estos dispositivos, por lo tanto se debe tener un plan B para que la información de la empresa, y la personal en caso de ser BYOD, no se vean afectadas.
Los pasos a seguir son:
► Ponerlo en conocimiento de la empresa para que se tomen todas las medidas necesarias que eviten
el uso indebido del dispositivo y de la información que contiene o a la que tiene acceso.
► Si el dispositivo ha sido robado, se deberá interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, aportando toda la información posible.
► Bloquear el dispositivo de manera remota. La mayoría de sistemas operativos tanto para ordenador,
como para móvil cuentan con herramientas que lo permiten, generalmente a través de un panel de
administración web.
► Geolocalizar el dispositivo. Actualmente, los dispositivos con sistema operativo Windows, Mac
OS, Android e iOS cuentan con herramientas que permiten conocer su posicionamiento aproximado.
Siempre que sea necesario se debe tener habilitado en dispositivos empresariales que use el trabajador.
El empresario tiene que avisar a los empleados de forma clara, expresa e inequívoca, tal y como indica la
LOPDGDD 3/2018.
► En caso de no ser posible, recuperar el dispositivo se debe optar por realizar un borrado remoto del mismo, de tal manera que toda la información que contenga no pueda estar accesible. Para ello,
tendremos habilitada esta opción.
Índice
1. Dispositivos Móviles y Teletrabajo
Consultar el correo, acceder a una hoja de cálculo o hacer una modificación a última hora de un documento importante, desde cualquier lugar, son solo algunas de las tareas que se pueden llevar a cabo desde los dispositivos móviles. En la actualidad, estos aparatos se han convertido en herramientas imprescindibles para el trabajo, gracias a su movilidad y su conexión a Internet.
Ordenadores portátiles, smartphones o tablets permiten al empleado desempeñar su trabajo en cualquier sitio, como si estuviera en las instalaciones de la empresa, lo que ha abierto un abanico nuevo de posibilidades para empleados, pero también nuevos riesgos para la empresa que los propios trabajadores deben tener en cuenta.
2. Riesgos Asociados
Los dispositivos móviles, tabletas y portátiles debido a su reducido tamaño y a la capacidad que tienen de gestionar información de la empresa, entrañan nuevos riesgos. También en el teletrabajo, además de utilizar dispositivos móviles nos conectamos desde el exterior de la red de la empresa, utilizamos servicios para compartir documentos y contamos con riesgos asociados a entornos de trabajo no tan controlados.
Estos son los principales riesgos asociados a los dispositivos móviles y al teletrabajo:
► El robo o pérdida de los móviles, tabletas, portátiles y dispositivos de almacenamiento como discos duros
externos y pendrives. Este puede ser el riesgo más importante al que se exponen estos dispositivos debido
a su tamaño y en muchos casos, a su elevado coste.
► La infección por malware siempre es un riesgo a tener en cuenta, pues el software malicioso puede
robar información confidencial de la empresa y credenciales de acceso a diferentes recursos. A menudo
descuidamos la protección antimalware en equipos pequeños.
► Los sitios web fraudulentos, la publicidad agresiva o las páginas web de tipo phishing son las principales
amenazas a las que se exponen. Navegar en dispositivos pequeños, particularmente en móviles, entraña
riesgos al ser más difícil «librarse» de esta publicidad.
► Utilizar redes wifi inseguras puede poner en riesgo la privacidad de las comunicaciones, ya que los
ciberdelincuentes pueden estar «escuchando» todo lo que se envía y recibe. También podemos conectarnos
a redes wifi que suplantan a redes wifi lícitas.
►Instalar aplicaciones que necesitan acceder a determinados permisos del dispositivo, en ocasiones
excesivos o innecesarios (como acceso a la cámara, los contactos o los archivos), para poder funcionar con
normalidad, pudiendo así verse la información empresarial comprometida.
► Dispositivos que no cuentan con controles de acceso robustos que los protejan de un descuido, robo o
pérdida. La ausencia de los mismos o el uso de algunos considerados débiles, como el patrón de bloqueo,
son un riesgo para su seguridad.
► Tanto el sistema operativo, como las aplicaciones desactualizadas suponen un riesgo para la seguridad
de toda la información que gestionan.
► La modificación de los controles de seguridad impuestos por los fabricantes. Algunos usuarios
deciden rootear o hacen jailbreak a sus dispositivos lo que puede suponer un grave riesgo, ya que los
controles de seguridad impuestos por el desarrollador son eliminados.
► Establecer que el dispositivo o la aplicación recuerde la contraseña. Si un tercero accede al dispositivo
tendría acceso a todos los servicios en los que estuviera guardada la contraseña.
► Utilización de servicios en la nube. La utilización de servicios en la nube o cloud puede suponer un
riesgo, ya que la información de la empresa será almacenada en un tercero al que hemos de trasladar
nuestros requisitos de confidencialidad, integridad y privacidad. Además, existe el riesgo de que si no fuera
posible conectarse a Internet (problemas en la red como congestión o caída de la misma) la información
almacenada en la nube no será accesible.
3. Medidas de Protección
El incremento de posibilidades y capacidades que llevan asociados los dispositivos móviles14 en la actualidad implica igualmente mayores riesgos para la seguridad de los mismos. Es muy importante que los usuarios sean conscientes de la importancia de la seguridad en los aparatos móviles y los peligros que pueden llevar consigo su mal uso.
Es conveniente seguir los siguientes consejos:
Destacamos las medidas más importantes para contrarrestar los riesgos mencionados.
1. PROTECCIÓN ANTIMALWARE Y SITIOS WEB PELIGROSOS
Las infecciones causadas por cualquier tipo de malware, siempre están presentes. Todo tipo de códigos maliciosos pueden llegar por correo electrónico y mensajería, en pendrives, a través del navegador o de aplicaciones. Además de entrenarnos para detectar enlaces y ficheros sospechosos, navegar de forma segura y descargar aplicaciones fiables, es importante disponer de herramientas que detecten y eliminen el software malicioso. Por otra parte, los sistemas antivirus siempre deberán estar actualizados a la última versión, algo que propiciará la identificación del malware más actual.
Es común que los antivirus también cuenten con herramientas que permitan identificar posibles sitios web fraudulentos o peligrosos, como aquellos utilizados para cometer phishing. Al seleccionar un antivirus para el móvil verificaremos que disponga de estas funcionalidades.
2. PROTECCIÓN CONTRA ACCESOS NO AUTORIZADOS
Para evitar que terceros sin permiso accedan a toda la información que gestiona el dispositivo es necesario implantar una serie de controles:
► Contraseña de firmware, si el dispositivo lo permite, sobre todo en ordenadores portátiles. De esta forma, se evita que otros usuarios arranquen el equipo desde otro disco distinto del especificado.
► Creación de cuentas de usuario y permisos. En los sistemas operativos como Windows, MacOS o los basados en Linux, se permite la creación de distintos usuarios, otorgándoles una serie de privilegios acordes con su perfil. Es recomendable que cada usuario cuente con los privilegios mínimos y necesarios que le permitan desempeñar su trabajo. Además, deberán contar con una contraseña de acceso robusta.
► Bloqueo de dispositivos. En los dispositivos basados en Android o iOS hay que establecer el bloqueo de pantalla en el menor tiempo posible y una contraseña de desbloqueo robusta. También pueden utilizarse métodos biométricos como la huella dactilar.
3. PROTECCIÓN DE LA INFORMACIÓN
La información que se gestiona desde los dispositivos móviles o portátiles que se utilizan para el trabajo diario puede ser de gran importancia para la empresa, por lo que protegerla será prioritario.
Para ello, se recomienda seguir las siguientes recomendaciones:
► Activar el cifrado de la información en el dispositivo. Todos los sistemas operativos deberán contar con herramientas de cifrado que protejan la información en ellos alojada. Los actuales sistemas operativos móviles como Android e iOS cuentan con cifrado de la información por defecto, pero los sistemas operativos para ordenador no, por lo que se debe activar.
► Establecer cuál será el tratamiento aceptable de la información confidencial. Preferiblemente, se accederá a la misma por medio de Internet y se evitará siempre descargar en el dispositivo.
4. APLICACIONES LEGÍTIMAS
Las aplicaciones para dispositivos móviles deben ser descargadas, únicamente, desde la tienda oficial. Para teléfonos inteligentes y tabletas estas deben ser descargadas desde la App Store para Apple o desde Play Store para Android. En caso de ordenadores, como ya se indicó anteriormente, deben ser descargas desde el sitio web oficial.
La empresa deberá proveer al empleado de software legítimo, es decir, deberá estar en posesión de una licencia válida, en caso contrario estaría incurriendo en un delito. Todo el software utilizado y sistemas operativos estarán actualizados a la última versión disponible, además de que será siempre descargado de fuentes legítimas y contará con las debidas licencias de uso.
5. NO RECORDAR LA CONTRASEÑA
La función de «Recordar contraseña» no debe usarse nunca en dispositivos móviles, ya que ante un acceso no autorizado se podría acceder a todos los servicios donde se haya activado esta función.
En caso de utilizar múltiples servicios, con múltiples contraseñas, es recomendable utilizar un gestor de contraseñas que ayude en esa tarea.
6. NO UTILIZAR REDES WIFI INSEGURAS
Con frecuencia nos encontramos en distintos establecimientos y servicios públicos que ofrecen conexión wifi de manera gratuita a sus clientes. A pesar del ahorro que pueda suponernos, no es recomendable utilizar estas conexiones wifi que nos encontramos en hoteles, restaurantes, estaciones de tren, aeropuertos, etc., con dispositivos empresariales, ya que no conocemos su seguridad, ni su legitimidad (podrían fácilmente haberlas suplantado) y la privacidad de la información que enviamos o recibimos puede verse comprometida.
Siempre es mejor opción utilizar la conectividad móvil 4G que incorporan los dispositivos (conexión de datos), especialmente cuando se realizan tareas sensibles como acceder a banca online o a información confidencial.
Si es habitual viajar por motivos de trabajo y es necesario disponer de conectividad se ha de utilizar una VPN (red privada virtual) que cifre las conexiones extremo a extremo, para acceder a los recursos de la empresa. Se evitará, en la medida de lo posible, utilizar aplicaciones de escritorio remoto para conectarse a servidores de la empresa sin VPN.
7. OTRAS MEDIDAS DE PROTECCIÓN EN CASO DE TELETRABAJO
En ocasiones, las tareas que se realizan en el puesto de trabajo se tienen que trasladar al hogar [Ref. – 8]. Seguir manteniendo un aceptable nivel de ciberseguridad es igualmente vital en el trabajo de oficina, siendo necesario tomar, además del uso de aplicaciones legítimas, contraseñas, bloqueo del equipo y cifrado de información confidencial, las siguientes medidas:
► No se permitirán usos domésticos (juegos, descargas, etc.) por otros usuarios en el dispositivo utilizado como puesto de teletrabajo.
► Se realizarán copias de seguridad de forma periódica.
► En caso de utilizar una conexión wifi doméstica que podamos configurar de forma segura tendremos en cuenta:
» Utilizar cifrado WPA2 o WPA3 en caso de estar disponible y que los dispositivos sean compatibles.
» Utilizar una clave robusta.
» Desactivar la función WPS en caso de estar activa.
4. Qué es el BYOD
El uso de dispositivos personales como ordenadores portátiles, smartphones o tablets, propiedad del empleado, en el ámbito corporativo, es lo que se conoce como BYOD del inglés Bring Your Own Device. Se trata de una práctica muy frecuente que beneficia tanto a la empresa, reduciendo costes, como al empleado, permitiéndole una mejor conciliación laboral.
A pesar de los beneficios que aporta, son también varios los riesgos que su uso conlleva, por lo que se debe prestar una especial atención para que su uso no comprometa la seguridad de la información de la empresa.
1. PRINCIPALES RIESGOS
Además de los riesgos mencionados para el uso de dispositivos móviles hay que añadir algunos que son exclusivos del BYOD como:
► Distracciones de los empleados. Al utilizar un mismo dispositivo para tareas personales y laborales,
la productividad puede disminuir al acceder a páginas web no relacionadas con su actividad profesional,
redes sociales o la cuenta privada de correo electrónico.
► Aumento de las posibilidades de accesos no autorizados a información empresarial, ya que el
dispositivo se usa para trabajar y para uso personal. Por lo tanto, las posibilidades de pérdida o robo
aumentan y por consiguiente, también aumentan los accesos no autorizados.
► El dispositivo puede ser prestado a un amigo o familiar para realizar cualquier tarea, lo que puede
poner en riesgo la seguridad de la información de la empresa.
► La relación contractual entre empleado y empleador puede llegar a su fin pudiendo ser un
riesgo para ambas partes conservar información empresarial una vez ha terminado el contrato.
2. MEDIDAS DE SEGURIDAD A TOMAR
Al ser dispositivos donde los empleados tienen un mayor control sobre ellos, las medidas complementarias a las anteriormente indicadas son:
► No realizar modificaciones en el software del dispositivo. Los dispositivos Android e iOS cuentan
con restricciones de fábrica que aumentan su seguridad y la de la información que manejan. Nunca hay
que hacer Jailbreak o rootear un smartphone.
► El dispositivo se mantendrá siempre bajo custodia, incluso ante amigos y familiares.
► El empleador debe elaborar una normativa que regule el uso de estos dispositivos, el registro de
dispositivos y aplicaciones autorizadas, las configuraciones de seguridad a aplicar, si será necesaria la
localización por GPS, canales de comunicación seguros, etc.
5. ¿Qué Hacer en el Caso de Robo o Pérdida del Dispositivo?
La pérdida o el robo es el principal incidente de seguridad que afecta a estos dispositivos, por lo tanto se debe tener un plan B para que la información de la empresa, y la personal en caso de ser BYOD, no se vean afectadas.
Los pasos a seguir son:
► Ponerlo en conocimiento de la empresa para que se tomen todas las medidas necesarias que eviten
el uso indebido del dispositivo y de la información que contiene o a la que tiene acceso.
► Si el dispositivo ha sido robado, se deberá interponer una denuncia ante las Fuerzas y Cuerpos de
Seguridad del Estado, aportando toda la información posible.
► Bloquear el dispositivo de manera remota. La mayoría de sistemas operativos tanto para ordenador,
como para móvil cuentan con herramientas que lo permiten, generalmente a través de un panel de
administración web.
► Geolocalizar el dispositivo. Actualmente, los dispositivos con sistema operativo Windows, Mac
OS, Android e iOS cuentan con herramientas que permiten conocer su posicionamiento aproximado.
Siempre que sea necesario se debe tener habilitado en dispositivos empresariales que use el trabajador.
El empresario tiene que avisar a los empleados de forma clara, expresa e inequívoca, tal y como indica la
LOPDGDD 3/2018.
► En caso de no ser posible, recuperar el dispositivo se debe optar por realizar un borrado remoto
del mismo, de tal manera que toda la información que contenga no pueda estar accesible. Para ello,
tendremos habilitada esta opción.
Archivos adjuntos11
-
Add a note