¿Utiliza su propio dispositivo para el trabajo? Aquí le mostramos cómo proteger los datos comerciales y privados
Si bien muchas grandes empresas no tienen problemas para emitir computadoras portátiles, teléfonos inteligentes y tabletas, otras organizaciones tienen menos opciones. Cuando se trata de pequeñas empresas, organizaciones sin fines de lucro y organismos educativos, a menudo hay menos presupuesto para todos.
Con esto, muchas personas a menudo necesitan llevar sus dispositivos personales al trabajo. He aquí por qué eso puede plantear algunos problemas y qué puede hacer al respecto.
Pros y contras de permitir dispositivos personales en el trabajo
Durante años, la práctica estándar de muchas empresas es entregar dispositivos a sus empleados. Estos dispositivos protegen a las empresas contra diversas fugas de seguridad, responsabilidad y datos. Tener dispositivos de trabajo y personales separados también ayuda a crear un equilibrio entre el trabajo y la vida, una preocupación cada vez mayor para los trabajadores remotos propensos a trabajar en exceso.
Sin embargo, aunque el proceso de incorporación puede ser más sencillo, la asignación de dispositivos emitidos por la empresa también puede ser bastante burocrática.
Muchas empresas que emiten dispositivos a menudo luchan con largos procesos de aprobación para la adquisición, el reemplazo y la emisión. Estos procesos pueden obstaculizar gravemente la productividad de las organizaciones que necesitan ser las más ágiles.
Alternativamente, también hay varias ventajas de que los empleados traigan dispositivos personales al trabajo. Aparte de los ahorros obvios en términos de compra de los dispositivos reales, las empresas pueden ahorrar tiempo y esfuerzo.
Por ejemplo, las personas acostumbradas a un sistema operativo en particular no necesitarán aprender uno nuevo por motivos laborales.
Al alinearse con los hábitos de uso existentes, las empresas reducen la posibilidad de una curva de aprendizaje pronunciada. Con esto, los empleados pueden ser más productivos desde el principio de formas que no serían posibles con todos los dispositivos de la empresa.
Consejos de seguridad para políticas BYOD
Entonces, si su empresa decide pedirles a los empleadores que traigan sus propios dispositivos, aquí hay algunos consejos que puede seguir para mantener las cosas profesionales.
Incorporación de las pautas de la empresa
Cuando se trata de cualquier política, la mayor parte de su éxito radica en su comunicación a las partes relevantes.
Independientemente del tamaño, su empresa debe tener cláusulas escritas en los contratos de los empleados sobre seguridad de datos, robo de datos, retenciones legales y prácticas de vigilancia. También puede invertir en una dirección de correo electrónico de la empresa para cada empleado que tenga acceso a documentos oficiales.
Las empresas deben dedicar una parte de su proceso de incorporación a las expectativas de profesionalismo de los empleados y ser transparentes sobre el tipo de vigilancia que pueden esperar dentro y fuera de la red de la empresa.
Procedimientos de autenticación
La cantidad de empleados que voluntariamente cometerían espionaje corporativo o robarían datos de la empresa es minoría.
Pero la cantidad de empleados que, sin saberlo, crean contraseñas débiles, usan las mismas contraseñas para todo y prestan sus dispositivos personales / de la empresa a amigos o familiares es mucho mayor.
Para protegerse contra las intenciones maliciosas y la ignorancia desafortunada, las empresas deben tomar varios pasos. Primero, debe enseñar a sus empleados la importancia de las prácticas de seguridad personal, como la descentralización de datos y la seguridad de las contraseñas.
En segundo lugar, debe incorporar en sus procedimientos cambios regulares de contraseña y procesos obligatorios de reautenticación cuando los empleados están fuera de la oficina durante demasiado tiempo. En particular, los trabajadores remotos, los equipos de ventas y cualquier persona que trabaje fuera de la oficina son los más vulnerables.
La autenticación no solo debe aplicarse a computadoras portátiles o tabletas. También debe aplicarse a teléfonos inteligentes , direcciones de correo electrónico, aplicaciones internas o cualquier sistema que exponga información de la empresa con regularidad.
Limitaciones de la red
Al igual que con cualquier amenaza a la seguridad, está tan seguro como su eslabón más débil. Para las empresas con unidades Bring Your Own Device (BYOD), la cadena necesita un fortalecimiento mucho mayor.
Como regla general, el acceso a información crítica debe desalentarse severamente para dispositivos externos.
Aloje todos los dispositivos externos en una VLAN separada con un sistema de detección de intrusos más estricto para evitar intrusiones. Además, utilice una combinación de sistemas de detección de intrusos basados en la red y en el host. La red de su empresa debe poder identificar comportamientos extraños, como tamaños de paquetes aumentados, cargas de tráfico o ataques de datos cifrados.
Desafortunadamente, no existe un enfoque único para la ética de la vigilancia de los empleados en los dispositivos personales. Dependiendo de la naturaleza de su negocio, la confidencialidad de los datos puede requerir capturas de pantalla cronometradas, límites de archivos, cierres de sesión automáticos, etc.
Las limitaciones de la red deben someterse a una evaluación de rutina a medida que las necesidades de su empresa cambian con el crecimiento. En algún momento, es posible que deba integrar varias VLAN, introducir procedimientos de autorización más estrictos o agregar protecciones de firewall.
IT Off-Boarding
Si bien cada empresa tendrá sus procedimientos de salida, los procesos deficientes para las empresas que traen sus propios dispositivos son recetas para el desastre, especialmente cuando un empleado se va en malos términos.
Los buenos procedimientos de seguridad fuera del abordaje minimizan las posibilidades de fugas de datos confidenciales. También mejoran las prácticas generales de higiene de datos de la empresa y evitan la pérdida de datos institucionales.
Un buen proceso de incorporación de TI analiza qué tipo de datos tienen los empleados, dónde los guardan y para qué se pueden usar. Las empresas deben realizar un mapeo de intenciones para los empleados que salen y señalar a aquellos que se unen a la competencia o inician negocios competidores.
Por último, asegúrese de recordar a los empleados los riesgos legales que implica el robo de datos durante su entrevista de salida para desalentar cualquier acción pendiente.
Equilibrar comodidad y seguridad
Para las oficinas pequeñas, las limitaciones de la red no siempre se sienten necesarias. Sin embargo, las oficinas pequeñas con grandes sueños aún necesitan prácticas de seguridad preparadas para el futuro. Siempre es bueno preparar a su organización para la escala protegiendo sus datos desde el principio.
BYOD es la realidad para muchas pequeñas empresas, organizaciones sin fines de lucro y organizaciones menos establecidas. Si bien nunca ha sido tan asequible o fácil iniciar un negocio global, tampoco es tan arriesgado en términos de seguridad. Con una curva de aprendizaje más corta y un proceso de incorporación menos burocrático, BYOD sigue siendo un riesgo que vale la pena tomar para algunas empresas.
Por esta razón, debe tener en cuenta cuánto permite el acceso a información crítica que puede hacer o deshacer su negocio. Debe quedar claro para todos los miembros de su equipo lo importante que es practicar buenas prácticas de seguridad de datos, incluso cuando se utilizan sus dispositivos personales.
Las políticas de la empresa son solo la punta del iceberg. Con el uso cada vez mayor del software, el almacenamiento y los canales de comunicación en la nube, la ventana de oportunidad para los ataques se vuelve más evidente cada año. Para que BYOD funcione, todos deben estar atentos dentro y fuera de la oficina.