Si quiere una política segura de BYOD, esto es lo que debe tener en cuenta

Smartphones en la oficina
Los móviles son fundamentales para muchos negocios. Imagen: IntelFreePress (vía Flickr).
El laboratorio de ESET Latinoamerica publicó una serie de pautas para minimizar el riesgo que implica habilitar los dispositivos de los usuarios en la empresa.
Smartphones en la oficina
Los móviles son fundamentales para muchos negocios. Imagen: IntelFreePress (vía Flickr).

Hay que proteger la información de eso no queda la menor duda. A medida que van ingresando más tipos de dispositivos a la organización, aumenta la complejidad en el manejo y la protección de los datos.

Los dispositivos propios de los usuarios presentan un nuevo reto para los departamentos de TI, ya que es necesario implementar medidas de seguridad para garantizar la integridad de la infraestructura tecnológica y la información. El Laboratorio de Investigación de ESET Latinoamérica publicó una guía para disminuir los riesgos que se presentan al tener BYOD en la empresa.

Lo primero que se debe tener en cuenta son las redes Wi-Fi. Hay que analizar qué alcance tiene la señal de la red empresarial y tener sistemas de autenticación para verificar el tipo de usuario y el modelo del equipo. Así se puede saber desde dónde está entrando la gente y por medio de qué terminal.

De la misma manera, la gestión de roles dentro de las redes es primordial. No todo el mundo debe tener acceso a toda la información. Haciendo un estudio juicioso de las necesidades de cada puesto laboral, el departamento de TI puede saber el tipo de información que necesita cada persona. No es correcto que una persona de operaciones cuente con acceso a la nómina de la empresa. Además de prevenir posibles intrusiones externas, esta segmentación de información también es una herramienta para determinar si hay algún tipo de fraude interno. Por ejemplo: si un analista de mercadeo está extrayendo información del presupuesto de operaciones, puede estar cometiendo alguna imprudencia.

ESET también recomienda implementar sistemas como VPN para cifrar los datos y garantizar su integridad en su camino de un equipo a otro. Al obligar a los usuarios a usar VPN, se puede minimizar el riesgo sobre la información cuando el equipo sale del perímetro y tiene que usar las aplicaciones de la empresa.

Por otro lado, es necesario monitorear el tráfico de cada uno de los dispositivos. Si el departamento de TI hace este ejercicio constantemente se pueden crear patrones de tráfico, lo que facilita la detección de anomalías. Digamos que el presidente de la empresa usa su tableta para revisar los reportes de ventas todos los días entre 8 y 10 de la mañana. Sin embargo, el departamento de TI encontró que desde hace unas semanas desde ese mismo equipo se están haciendo consultas los viernes por la noche y el sábado al medio día. Esto debería prender una alerta para investigar el caso, ya que es posible que los hackers estén robando dicha información.

ESET explica que hay que hacer una investigación de mercado para determinar cuáles son los dispositivos móviles más adecuados para manejar la información de la empresa. BlackBerry, en algún momento, dominó totalmente este mercado. Sus teléfonos contaban con todas las medidas de seguridad necesarias para garantizar la protección de la información.

De la misma manera, antes de implementar BYOD, hay que redactar una serie de políticas de seguridad. Los usuarios finales normalmente no tienen la seguridad como prioridad, por lo que hay que comunicar las medidas preventivas y las formas de usar correctamente los dispositivos para minimizar el riesgo de seguridad informática. Este proceso tiene que ir de la mano con la educación a los empleados y debe ser responsabilidad del departamento de TI.

Mateo Santos

Mateo Santos

En vez de un tetero, nací con un Mac Classic en mi cuarto. Esa caja con pantalla en blanco y negro fue mi primera niñera. Por ahí, también rondaba un balón de fútbol y una camiseta de Millonarios. Desde ese día, sabía que la tecnología y el fútbol iban a ser mi estrella de Belén. El primer juego que tuve en mis manos fue Dark Castle, también en un Macintosh. No me gusta la música. Soy un amante escéptico de la tecnología. Hago parte del proyecto de ENTER.CO para llenar el vacío en información de tecnología que hay en América Latina, o como dirían los enterados, en LATAM. Me gradué de Administración de Empresas en los Andes y después hice una maestría en periodismo en la Universidad Europea de Madrid.

Ver todos los posts

28 comentarios

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

  • Para tener seguridad en BYOD solo necesitas un Radius, tener los Access points controlados y manejar WPA-2 Enterprise. Con eso no tiene problema alguno.

      • Si no está conectado a la red entonces no es BYOD. No se trata de que hacer con la información sobre la que no tenemos control ( si no tenemos control pues obviamente no se puede hacer nada), se trata de controlar el acceso a dicha información, es decir si se autoriza o no el acceso a esa información sensible. Para eso está el radius, wpa2 enterprise y los AP controlados.

        • Craso error, BYOD no es simplemente controlar el acceso de los dispositivos dentro de las empresa, es administrar esos dispositivos, el acceso a la red no solo se logra desde la lan o wlan, también están los accesos remotos por medio de VPN, RDP y puertos abiertos ademas la nube organizacional y correos corporativos. Una política BYOD eficaz debe incluir el aseguramiento tanto dentro como afuera de las instalaciones físicas de la empresa del acceso a los recursos así como un control de la información sensible alojada en dichos dispositivos, eso incluye gestión remota, certificados de seguridad, roles organizacionales, perfiles de uso de las redes, etc,etc,etc. Básicamente, si no puedes controlar el uso de la información de la empresa por fuera de la misma no tienes buenas políticas -o simplemente no tienes- BYOD

          • Para no irme tan largo con esto, creer que por solo usar una vpn vas a asegurar la informacion enterminales remotos es ridiculo.
            Asegurar el acceso a la información mediante wpa2 enterprise, con radius y ap controlados, asegura lo mas importante : quienes acceden a la información. Cuando se accede remotamente se accede remotamente, hablo de cuando se LLEVA el dispositivo a la empresa ( Conoces el término BYOD? ) Las VPN son refáciles de violar si el acceso del dispositivo es mediante una red no segura, como por ejemplo el wi fi de la casa. A menos que la conexion tenga protocolo WPA2 enterprise esa conexion por VPN estará asegurada.
            De nada sirve tener una conexion con la empresa mediante VPN si los paquetes son espiados con un aircrak o un conview. Lo mejor es utilizar un NAS que conecte con un radius en una red controlada y cifrada por wpa2 enterprise.

          • Es que precisamente BYOD no se limita a la ubicación geográfica de la empresa, si está muy bien tener una wlan bien organizada y segmentada pero que pasa cuando los dispositivos salen? muy bonito el wireless switch de us2000 y los ap administrados pero de nada sirven cuando los dispositivos no están conectados a su red. BYOD no significa «traiga su iPad a la oficina para que navegue acá» la tendencia evolucionó mucho mas allá gestionando toda la información que se mueve en el dispositivo POR DENTRO Y FUERA de la oficina por que los dispositivos son móviles y ademas son de los usuarios. Por supuesto que la seguridad de acceso remoto de una compañia no puede depender exclusivamente de los accesos VPN ya que estos van de la mano con las políticas de seguridad internas de la red.

            Pasando al tema de los tuneles VPN con la empresa y su supuesta inseguridad también discrepo, si se capturan paquetes de una conección VPN (man in the middle) con ethereal o wireshark por ejemplo lo único que va a encontrar son paquetes encriptados -per se, ilegibles- si se quiere obtener la información hay que comenzar con el proceso de desencripción de esas trazas ( buena suerte tratando de romper una traza significativa con IP-SEC) una de las formas que se me viene a la mente puede ser con etthercap capturar el certificado primero y después en un man-in-the-middle capturar los paquetes pero depende mucho del tipo de configuración de la VPN y en cualquier caso no va a ser nada facil. Resumiendo, ningún tipo de seguridad es infalible pero con una adecuada topología orientada a la seguridad así como un esquema de roles y privilegios en sus servicios de red se puede estar mas tranquilo

          • Si la encriptada del VPN no es igual al WPA2 enterprise se puede romper a fuerza bruta, y ya lo han hecho solo hay que buscar en google casos….

            El VPN por si solo no garantiza nada. Tener una infraestructura de autorizacion garantiza que la info va a quien debe ir (osea, no hay peligro) que es de lo que se trata esta seguridad….

            De nada sirve tener una VPN para conectarse remotamente si solo con colgarme al wifi de la empresa puedo acceder a los datos de la misma.

          • me autocito «…Una política BYOD eficaz debe incluir el aseguramiento tanto dentro como afuera de las instalaciones físicas de la empresa del acceso a los recursos así como un control de la información sensible alojada en dichos dispositivos, eso incluye gestión remota, certificados de seguridad, roles organizacionales, perfiles de uso de las redes, etc,etc,etc.» también «…Por supuesto que la seguridad de acceso remoto de una compañía no puede depender exclusivamente de los accesos VPN ya que estos van de la mano con las políticas de seguridad internas de la red.» y finalmente «…ningún tipo de seguridad es infalible pero con una adecuada topología orientada a la seguridad así como un esquema de roles y privilegios en sus servicios de red se puede estar mas tranquilo»

  • Para tener seguridad en BYOD solo necesitas un Radius, tener los Access points controlados y manejar WPA-2 Enterprise. Con eso no tiene problema alguno.

      • Si no está conectado a la red entonces no es BYOD. No se trata de que hacer con la información sobre la que no tenemos control ( si no tenemos control pues obviamente no se puede hacer nada), se trata de controlar el acceso a dicha información, es decir si se autoriza o no el acceso a esa información sensible. Para eso está el radius, wpa2 enterprise y los AP controlados.

        • Craso error, BYOD no es simplemente controlar el acceso de los dispositivos dentro de las empresa, es administrar esos dispositivos, el acceso a la red no solo se logra desde la lan o wlan, también están los accesos remotos por medio de VPN, RDP y puertos abiertos ademas la nube organizacional y correos corporativos. Una política BYOD eficaz debe incluir el aseguramiento tanto dentro como afuera de las instalaciones físicas de la empresa del acceso a los recursos así como un control de la información sensible alojada en dichos dispositivos, eso incluye gestión remota, certificados de seguridad, roles organizacionales, perfiles de uso de las redes, etc,etc,etc. Básicamente, si no puedes controlar el uso de la información de la empresa por fuera de la misma no tienes buenas políticas -o simplemente no tienes- BYOD

          • Para no irme tan largo con esto, creer que por solo usar una vpn vas a asegurar la informacion enterminales remotos es ridiculo.
            Asegurar el acceso a la información mediante wpa2 enterprise, con radius y ap controlados, asegura lo mas importante : quienes acceden a la información. Cuando se accede remotamente se accede remotamente, hablo de cuando se LLEVA el dispositivo a la empresa ( Conoces el término BYOD? ) Las VPN son refáciles de violar si el acceso del dispositivo es mediante una red no segura, como por ejemplo el wi fi de la casa. A menos que la conexion tenga protocolo WPA2 enterprise esa conexion por VPN estará asegurada.
            De nada sirve tener una conexion con la empresa mediante VPN si los paquetes son espiados con un aircrak o un conview. Lo mejor es utilizar un NAS que conecte con un radius en una red controlada y cifrada por wpa2 enterprise.

          • Es que precisamente BYOD no se limita a la ubicación geográfica de la empresa, si está muy bien tener una wlan bien organizada y segmentada pero que pasa cuando los dispositivos salen? muy bonito el wireless switch de us2000 y los ap administrados pero de nada sirven cuando los dispositivos no están conectados a su red. BYOD no significa «traiga su iPad a la oficina para que navegue acá» la tendencia evolucionó mucho mas allá gestionando toda la información que se mueve en el dispositivo POR DENTRO Y FUERA de la oficina por que los dispositivos son móviles y ademas son de los usuarios. Por supuesto que la seguridad de acceso remoto de una compañia no puede depender exclusivamente de los accesos VPN ya que estos van de la mano con las políticas de seguridad internas de la red.

            Pasando al tema de los tuneles VPN con la empresa y su supuesta inseguridad también discrepo, si se capturan paquetes de una conección VPN (man in the middle) con ethereal o wireshark por ejemplo lo único que va a encontrar son paquetes encriptados -per se, ilegibles- si se quiere obtener la información hay que comenzar con el proceso de desencripción de esas trazas ( buena suerte tratando de romper una traza significativa con IP-SEC) una de las formas que se me viene a la mente puede ser con etthercap capturar el certificado primero y después en un man-in-the-middle capturar los paquetes pero depende mucho del tipo de configuración de la VPN y en cualquier caso no va a ser nada facil. Resumiendo, ningún tipo de seguridad es infalible pero con una adecuada topología orientada a la seguridad así como un esquema de roles y privilegios en sus servicios de red se puede estar mas tranquilo

          • Si la encriptada del VPN no es igual al WPA2 enterprise se puede romper a fuerza bruta, y ya lo han hecho solo hay que buscar en google casos….

            El VPN por si solo no garantiza nada. Tener una infraestructura de autorizacion garantiza que la info va a quien debe ir (osea, no hay peligro) que es de lo que se trata esta seguridad….

            De nada sirve tener una VPN para conectarse remotamente si solo con colgarme al wifi de la empresa puedo acceder a los datos de la misma.

          • me autocito «…Una política BYOD eficaz debe incluir el aseguramiento tanto dentro como afuera de las instalaciones físicas de la empresa del acceso a los recursos así como un control de la información sensible alojada en dichos dispositivos, eso incluye gestión remota, certificados de seguridad, roles organizacionales, perfiles de uso de las redes, etc,etc,etc.» también «…Por supuesto que la seguridad de acceso remoto de una compañía no puede depender exclusivamente de los accesos VPN ya que estos van de la mano con las políticas de seguridad internas de la red.» y finalmente «…ningún tipo de seguridad es infalible pero con una adecuada topología orientada a la seguridad así como un esquema de roles y privilegios en sus servicios de red se puede estar mas tranquilo»

Archivos