Políticas BYOD y MDM

¿Qué es una política BYOD? Estas siglas en inglés responden a “Bring Your Own Device”. Se denomina así al uso de dispositivos personales en el ámbito corporativo. Esta práctica empresarial conlleva unos riesgos que deben ser localizados y recogidos en un protocolo de actuación o política BYOD.

¿Cuáles son algunos de los principales elementos de esta política de seguridad?

• Generar en la empresa las normas de uso de TIC y prácticas formativas a los trabajadores en el manejo de los dispositivos en un entorno BYOD.
• Limitar el uso de aplicaciones y generar perfiles de acceso con restricción de permisos para evitar la instalación de archivos de origen desconocido.
• No cargar el móvil en los ordenadores de la empresa.
• Establecer el proceso de destrucción o borrado de información de estos dispositivos cuando el trabajador cesa la relación laboral.
• Revisar correctamente la política de contraseñas y revisar los roles y perfiles de cada usuario para que accedan a los datos sólo aquellos usuarios con esos perfiles.
• Revisar el contenedor donde esté ubicado las contraseñas esté cifrado, para evitar el acceso a la información e implementar un sistema de contraseñas de 2 o más factores que nos permita un sistema más robusto y seguro.
• Actualización de los parches de seguridad y del sistema operativo continúo con antivirus.
• Conexión VPN con firewall implementado que permita activar el sistema de intrusión de amenazas.

Este ejemplo de política BYOD se habrá establecido una vez valorados los posibles riesgos al realizar una evaluación de impacto a un determinado tratamiento como el uso de dispositivos personales en el ámbito laboral, conforme al art. 35 del nuevo Reglamento Europeo de Protección de Datos (RGPD), en cuyo caso la organización valorará si el riesgo es asumible o por el contrario, hay que adoptar algún tipo de control que lo mitigue.

Una posibilidad para minimizar estos riesgos consiste en implementar  sistemas de gestión de dispositivos móviles (Mobile Device Management o MDM) que se encargan de monitorear, integrar y administrar los dispositivos móviles, como smartphones, tabletas y computadoras portátiles, en el lugar de trabajo. Así, se puede cumplir con el principio de minimización de datos que recoge el RGPD en el artículo artículo 5.1.c) al garantizar la seguridad de los datos corporativos almacenados en dispositivos móviles, redes inalámbricas y aplicaciones de la compañía. La intención del MDM es optimizar la funcionalidad y la seguridad de los dispositivos móviles dentro de la empresa, a la vez que protege la red corporativa para evitar cualquier tipo de fuga de datos o intromisión por parte de terceros.

Las principales ventajas relacionadas con la seguridad IT y privacidad que se puede conseguir con la implementación de una solución MDM son:

1. Instalar aplicaciones en forma masiva reduciendo el tiempo de respuesta en la empresa.
2. Localización y rastreo de equipos, permitiendo localizar los equipos conectados a través de Wifi, 3G/4G en caso de pérdida o robo.
3. Sincronización de ficheros instalados en los dispositivos móviles con el servidor.
4. Reportar datos al permitir generar reportes incluyendo KPIs de seguridad que nos permiten mejorar en la gestión de la seguridad y privacidad.
5. Bloqueo de funciones al controlar funciones específicas de los dispositivos, pudiendo activar o desactivar sistemas del dispositivo como la cámara, el micrófono y acceder a la configuración de dispositivo
6. Selección de aplicaciones al permitir aplicar políticas de control sobre las aplicaciones en la empresa.
7. h) Aplicar contraseñas de bloqueo a los dispositivos desde el servidor MDM y borrado remoto cuando el dispositivo está extraviado, robado o perdido para evitar la fuga de los datos.

Por último, el Grupo de Trabajo del 29 señala la importancia de implementar y comunicar políticas de uso aceptable de las TIC y se refiere, en particular, a la monitorización del trabajo en casa y remoto, indicando que la clave en este caso es gestionar cualquier riesgo que implique el trabajo a distancia de manera proporcional, considerando en particular, a la hora de utilizar tecnologías de monitorización, los límites entre uso profesional y privado, incluyendo ejemplos como (Bring Your Own Device, BYOD) y la gestión de dispositivos móviles (Mobile Device Management, MDM).

Equipo de Govertis