Noticias
Cómo asegurar el fenómeno BYOD
El fenómeno Bring Your Own Device o BYOD ha dejado de ser una moda pasajera y se está convirtiendo en una política estándar e incluso en un requisito para nuevas contrataciones.
Las políticas que permiten a los empleados traer sus propios dispositivos al trabajo tienen múltiples ventajas pero también retos relativos a la seguridad y gestión de múltiples dispositivos que se conectan a las redes empresariales y tienen acceso a los datos corporativos.
No todas las empresas están preparadas para BYOD ni cuentan con departamentos TI especializados, dejando a los mismos empleados la actualización de firmware, sistemas operativos y aplicaciones, con el peligro que ello conlleva.
El Instituto Nacional de Seguridad, INCIBE, ha revisado el fenómeno señalando los problemas asociados al uso de dispositivos móviles en entornos industriales y ha publicado una serie de pautas para solventarlos, que son comunes a otros tipos de empresas y que te recomendamos revisar:
- Soporte para multitud de plataformas: Es importante disponer de soporte técnico para la mayor cantidad de plataformas utilizadas por los empleados necesarias para desarrollar su trabajo. Este apoyo nos podrá garantizar una seguridad y una productividad alta, es decir, conocer las tecnologías más utilizadas por nuestros empleados y permanecer documentados sobre las mismas. En los sistemas de control industrial este problema es solucionado sobre todo por los proveedores que proporcionan los dispositivos con el software asociado a las organizaciones.
- Asegurar los servicios de mensajería: Usar una contraseña adicional para acceder a documentos de trabajo en dispositivos móviles o utilizar un cifrado en el dispositivo, de tal forma que los datos de la empresa estén a salvo en caso de robo o de un intento de intrusión al dispositivo. Tanto en sistemas de control como en entornos TI los datos incluidos en correos pueden contener información sensible para la organización y por ello es necesario protegerla de alguna forma impidiendo que se produzcan fugas de datos o pérdida de información.
- Control de accesos: Mediante tarjetas de identificación personalizadas (PIV, Personal Identity Verification) para la realización de una verificación hardware y no solo software. El acceso a ciertas zonas dentro de un sistema de control puede estar restringido a la mayor parte de los empleados de la organización por tratarse de una zona crítica, donde se realizan tareas importantes que mantienen el buen funcionamiento del sistema o donde se almacena información relevante. Impidiendo el acceso se controlan las posibles fugas de información.
- Control de dispositivos externos: La mayoría de los sistemas operativos móviles poseen capacidades para que los dispositivos que los usan puedan ser rastreados, como por ejemplo, el administrador de dispositivos de Android o find my iphone en iOS. El uso de esta funcionalidad sería perfecta para controlar si los dispositivos pertenecientes a la empresa, los únicos que deberían tener acceso a la red son los únicos conectados o también hay dispositivos no controlados… La utilización de un inventario de activos y el uso de una aplicación específica para cada dispositivo utilizado en los sistemas de control permitiría controlar los dispositivos de la empresa cuando se conectan en la red interna.
- Eliminación o bloqueo de aplicaciones con geolocalización: Una buena práctica es el bloqueo del GPS o de aplicaciones que intenten activarlo. Más aún si los empleados trabajan en una infraestructura crítica, para evitar el posicionamiento de los sistemas críticos. En el caso de los entornos industriales, esta tarea resulta bastante compleja por la extensión que puede llegar a poseer la zona de planta, pudiendo tener que cubrir muchos kilómetros dependiendo de las características del sistema.
- Concienciación a los empleados: Impartir pequeñas formaciones dentro de la organización para que los usuarios sean conscientes del peligro que supone instalar aplicaciones de terceros o navegar por ciertas páginas desde su dispositivo móvil si luego va a conectarse a una red dentro de la organización con su dispositivo personal. Esta práctica es muy importante si queremos seguir las pautas que se están comentando ya que si los propios empleados se dan cuenta de la importancia de la ciberseguridad en sus entornos serán más conscientes de lo que implicaría un problema en el sistema.
- Departamento para administrar los dispositivos o externalizar el servicio: Si una organización desea incluir el BYOD es necesario que disponga de suficientes empleados dentro del departamento correspondiente que se haga responsable de la gestión y seguimiento de los dispositivos. Si no existe un volumen adecuado de miembros en el departamento para cubrir estos esfuerzos, el servicio tendría que ser externalizado (servicio externo de TI o en la nube). Como ya comentamos en uno de los puntos anteriores, el control de los dispositivos en sistemas de control industrial es una ardua tarea por tener que manejar en ocasiones áreas muy amplias. Por ello, es necesario disponer de un equipo de profesionales que puedan administrar y controlar todos los dispositivos, o al menos la inmensa mayoría de ellos, dentro de la organización, ya sea en un entorno TI o TO.
- Saber cuándo decir no: Los dispositivos personales no son adecuados para todos los entornos y en el caso de los sistemas de control industrial el acceso ha de estar restringido por la criticidad que tienen sus redes.
- Control de parches y actualizaciones: Es complejo llevar un control de parches y actualizaciones de las aplicaciones instaladas en los dispositivos de los empleados, por lo que antes de establecer cualquier conexión con algún entorno de la organización ha de actualizarse el dispositivo para verificar que las actualizaciones de seguridad se aplican. Incluir en la política de parches la actualización de los dispositivos móviles que acceden a la red es de vital importancia. Los sistemas de control industrial trabajan con entornos diferentes a los que podríamos encontrarnos en TI, pero podrían compartir vulnerabilidades en el sistema operativo o en el software de los dispositivos móviles que pueden afectar luego a los propios sistemas operativos o aplicaciones de los dispositivos del sistema de control.
Tras repasar las problemáticas que origina llevar tu propio dispositivo al trabajo y algunas buenas prácticas que permitirían el BYOD dentro de una organización, INCIBE concluye que esta práctica sólo podría llevarse a cabo en redes poco críticas, como algunas de TI donde hay redes de compartición de información entre empleados; sin embargo, en redes tan críticas como las de los sistemas de control industrial no es recomendable su uso.
Recordemos que son múltiples los analistas y consultoras que alertan de los problemas de seguridad que conlleva el BYOD y empresas como IBM bloquean su red interna y una buena cantidad de servicios principalmente de almacenamiento y servicios de correo al considerarlos una amenaza corporativa.