Operaciones de Seguridad

Las mejores prácticas para hacer que BYOD sea simple y seguro

A medida que continúa la transformación TI, las organizaciones se están moviendo rápidamente para diseñar estrategias que permitan traer sus propios dispositivos (BYOD) al entorno corporativo. Con la capacidad de elegir el mejor dispositivo para realizar el trabajo, incluyendo portátiles, teléfonos inteligentes y tabletas, las personas se vuelven más móviles y productivas. Una experiencia laboral más satisfactoria ayuda a las organizaciones a contratar y retener a los mejores empleados.
Al cambiar la propiedad del dispositivo hacia el empleados, los proveedores e incluso departamentos TI, alivian la carga de adquisición y administración de endpoints.
En este post, trataremos de desarrollar una estrategia Bring your own device completa que brinde a las personas una libertad de elección óptima a la vez que ayude a adaptarse a la transformación, al mismo tiempo que abordamos los requisitos de seguridad, simplicidad y reducción de costes.

Como principios BYOD:

  • Permitir que las personas elijan sus propios dispositivos para mejorar la productividad, colaboración y movilidad
  • Protejer la información sensible de la pérdida y el robo mientras se aborda la privacidad, el cumplimiento y la gestión del riesgo
  • Reducir los costes y simplificar la administración a través del provisionamiento de autoservicio, administración y monitorización automatizados
  • Simplificación la TI, implementando aplicaciones capaces de soportarse en cualquier dispositivo

Consideraciones y mejores prácticas para BYOD

Una iniciativa BYOD exitosa combina simplicidad para las personas con seguridad, control y administración efectivas en TI. Si bien la tentación puede ser que TI desarrolle políticas específicas para cada escenario concebible, la realidad es que la mayoría de las consideraciones pueden abordarse mediante la aplicación de unos pocos principios simples y consistentes para todos. En la mayoría de los casos, TI puede pensar en cómo administrar y proporcionar acceso seguro a datos y aplicaciones en términos de personas, no de los dispositivos que utilizan. Es posible que se desee definir políticas más detalladas con respecto a los tipos de dispositivos específicos, las conexiones de red y las ubicaciones, pero normalmente representarán un conjunto de escenarios más pequeño y más manejable.

Elegibilidad

Las organizaciones deben dejar claro quién en la organización puede usar dispositivos personales, ya sea ad hoc para complementar un endpoint corporativo, como un reemplazo permanente de un dispositivo corporativo o cualquier situación intermedia. Esto se puede ver como un privilegio que se gana, una respuesta a la demanda de los empleados, un requisito para ciertos tipos de funciones, un riesgo excesivo para algunos casos de uso o, lo más probable, una combinación de estas cosas.

Los programas que implican el reemplazo de un endpoint corporativo con un dispositivo BYO, a menudo con un estipendio provisto al empleado, involucran su propio conjunto de consideraciones. Una forma de determinar quién debe ser "elegible" para este tipo de programa es aplicar criterios como el tipo de trabajador, la frecuencia de los viajes, el desempeño o si una persona requiere acceso sin conexión a datos confidenciales. Sin embargo, la elegibilidad se define en un nivel amplio, los gerentes siempre deben tener la aprobación final sobre qué miembros del equipo son candidatos adecuados para recibir un estipendio para reemplazar su dispositivo corporativo por uno de su elección. También se puede recomendar a los gerentes que apliquen BYOD en el contexto de otros incentivos, privilegios y medidas disciplinarias del departamento. Los proveedores, generalmente son candidatos ideales para ser BYOD. Muchas organizaciones ya esperan que sus proveedores traigan sus propios dispositivos.

Dispositivos permitidos

En un escenario en el que las aplicaciones se instalan directamente en los endpoints, TI debe determinar y exigir especificaciones mínimas para el soporte del SO y la aplicación, el rendimiento y otros criterios específicos del dispositivo. La virtualización de escritorio elimina estas consideraciones al permitir ejecutar un escritorio completo de Windows y aplicaciones en cualquier tipo de dispositivos por ejemplo.
Se debería exigir a los participantes que compren sus dispositivos personales a través de los canales de consumo normales en lugar de comprar en el departamento de compras de una organización. Esto ayuda a mantener líneas claras de propiedad y garantiza que los participantes tengan una relación directa con el proveedor de hardware. Es posible que se desee poner a disposición descuentos para empleados. Es posible que algunos trabajadores necesiten o deseen complementar su dispositivo con equipos periféricos, como monitores o teclados, en la oficina. En este escenario, debemos asegurarnos de especificar quién comprará y poseerá cada artículo.

Servicio disponible

BYOD no tiene que ser una proposición de todo o nada. Debería pensarse en los servicios específicos que se desea que estén disponibles en dispositivos BYO y si esto diferirá para grupos de trabajo específicos, tipos de usuarios, tipos de dispositivos y redes utilizadas. Además, los trabajadores de BYOD a menudo traen soluciones de nivel de usuario a la empresa, esperando que funcionen en conjunto con las aplicaciones y los servicios empresariales. Estos pueden incluir versiones ligeras de aplicaciones empresariales, aplicaciones móviles y servicios SaaS centrados en el usuario/consumidor. El departamento de TI debería decidir si permite que soluciones como estas se usen para el trabajo, y si es fuese así, si se pueden instalar directamente en el punto final en el mismo entorno que los datos relacionados con el trabajo.
Para las personas que desean instalar aplicaciones directamente en su pcs para su uso personal, las organizaciones pueden considerar ofrecer descuentos para empleados de Office Professional para Mac y PC a través de Microsoft Software Assurance por ejemplo. De esta forma, el cumplimiento de la licencia es responsabilidad exclusiva de la persona y la empresa no incurre en ningún riesgo ni responsabilidad por infracciones.

Rollout

Una vez que la iniciativa BYOD ha sido diseñada, la comunicación es vital para una implementación exitosa. Las personas deberían recibir orientación para ayudarles a decidir si participar o no y cómo elegir el dispositivo adecuado para sus necesidades. También deben comprender las responsabilidades que conlleva traer su propio dispositivo, incluyendo cómo se puede acceder, usar y almacenar los datos. Los datos de trabajo y negocios deben mantenerse estrictamente segregados en un dispositivo BYOD para soportar los requisitos de e-discovery y las políticas de retención de datos, de manera similar, los correos electrónicos de trabajo nunca se deben enviar desde cuentas personales. Las políticas de uso aceptable deben aplicarse de la misma manera en los dispositivos BYO que en los dispositivos corporativos.

Compratir costes

Uno de los principales beneficios de BYOD es la capacidad de reducir costes haciendo que las personas y departamentos paguen parte o la totalidad del coste de varios dispositivos utilizados para el trabajo, sacando así a TI del negocio de adquirir y soportar una gama cada vez mayor de hardware en toda la empresa.
Las eficiencias de costes de la virtualización de escritorios hacen posible diseñar políticas de reemplazo de laptops que generan ahorros significativos para mientras que también ayudan a sufragar el costo de los dispositivos para las personas o departamentos participantes. El 40 por ciento de las compañías que planean introducir este tipo de programa tienen la intención de pagar una ayuda aproximadamente igual al monto que le costaría al departamento TI adquirir y administrar un dispositivo similar. Otro 31 por ciento planea ofrecer algún nivel de contribución para el coste total incurrido por el empleado. Los participantes deben saber que la ayuda será tratado a efectos fiscales como ingreso.
Cualquier política de Bring your own device, con o sin costes compartido, debe dejar tambien claro, quién pagará por el acceso a la red fuera del firewall corporativo, ya sea a través de 3G, Wi-Fi pública o banda ancha doméstica.
Las ayudas deben renovarse a intervalos regulares, como el ciclo típico de renovación de hardware de tres años, para garantizar que los dispositivos personales no superen la edad esperada para un dispositivo empresarial.

Si un participante del programa abandona la empresa durante un ciclo de BYOD, es posible que la empresa desee reclamar una parte de la ayuda actual, siendo así responsables de pagar una porción prorrateada de dicha ayuda.
El coste compartido tiene implicaciones para la introducción de BYOD en la organización.
Una implementación completa puede aumentar el costo a medida que las personas se registran y reclaman sus ayudas en todos los puntos del ciclo de actualización del endpoint. Ofrecer el programa a las personas a medida que llegan al final del ciclo de vida sus dispositivo extenderá el impacto, generalmente durante tres años. Las organizaciones que no ofrecen una ayuda pueden alentar la participación total desde el primer día a dicho programa.

Seguridad y Cumplimiento

Más de tres cuartas partes de los CIO temen que un mayor consumo de TI genere un gran aumento en los riesgos empresariales. Esta es una preocupación razonable, y una de las cuestiones planteadas con mayor frecuencia. Si bien la instalación de aplicaciones directamente en dispositivos no corporativos puede aumentar el riesgo, un programa BYOD basado en la virtualización de escritorio lo hace innecesario. Toda la información comercial permanece segura dentro del centro de datos, residiendo en el punto final solo en forma aislada y encriptada, y solo cuando es absolutamente necesario. En los casos donde los datos necesitan residir en el punto final, se pueden proteger a través de mecanismos de aislamiento, encriptación y borrado remoto. Para evitar la filtración, y el departamento de TI puede implementar políticas
para desactivar la impresión o el acceso al almacenamiento del lado del cliente, como unidades locales y almacenamiento USB. Los participantes en el programa también deben asegurarse de que el software antivirus / antimalware se instale y actualice en su endpoint.
Para proteger la red empresarial, algunas organizaciones aplican la tecnología de control de acceso a la red (NAC) para autenticar a las personas que se conectan a la red y verificar si sus dispositivos cuentan con software antivirus actualizado y parches de seguridad.
El inicio de sesión único y las contraseñas seguras permiten la conveniencia y la seguridad. Fuera del firewall, la virtualización y el cifrado pueden aliviar la mayoría de las vulnerabilidades de seguridad de Wi-Fi, cifrado WEP, open Wifi, 3G / 4G y otros métodos de acceso de nivel de consumidor.
En el caso de que un participante de BYOD abandone la organización, se viole la política BYOD ,se pierda o se robe un dispositivo BYO, TI debería tener un mecanismo para terminar el acceso de manera instantánea a datos y aplicaciones.
En lugar de permitir un Bring your own device abierto, en el que las personas pueden llevar cualquier dispositivo para acceder a aplicaciones y datos empresariales, algunas organizaciones eligen un enfoque administrado. En este escenario, TI administra el dispositivo BYO directamente, incluido el registro, la validación, la autorización y el acceso a los recursos del dispositivo.

La seguridad, la protección de datos y la gobernanza de TI , en un entorno virtualizado se aplica a los dispositivos BYO con la misma eficacia que a los dispositivos corporativos.

  • Todos los datos empresariales están alojados y respaldados en el centro de datos
  • La información comercial confidencial se entrega a los endpoint solo en forma aislada y encriptada para evitar pérdidas o manipulación.
  • Cuando casos de uso requieren datos para residir en dispositivos BYO, el departamento TI mantiene la capacidad de borrar los datos de forma remota si es necesario.
  • La centralización de datos y la computación a pedido en cualquier dispositivo facilitan la continuidad del negocio y la recuperación ante desastres.
  • La gestión de registros, gestión de la información y las políticas de retención de datos para documentos y correo electrónico se aplican y administran de forma centralizada.
  • La supervisión exhaustiva, el registro de actividad y la generación de informes garantizan la privacidad de los datos y el cumplimiento de las normativas.

Soporte y mantenimiento del dispositivo BYOD

Un programa BYOD a menudo reduce el mantenimiento total requerido para cada dispositivo porque el usuario también es el propietario. Una política de BYOD debe explicar explícitamente cómo se abordarán y pagarán varias tareas de soporte y mantenimiento. Cuando un dispositivo BYO ha reemplazado un endpoint corporativo, puede haber una mayor expectativa de soporte, pero esto debe definirse estrictamente para evitar exponer al departamento TI una mayor complejidad y carga de trabajo.
De acuerdo con la simplicidad BYOD, la compañía debe adoptar un enfoque de no intervención, brindando soporte solo para conectividad inalámbrica, software antivirus / antimalware.

Una estrategia tecnológica segura para BYOD

Las soluciones BYOD deben ofrecer virtualización de escritorio, una tienda de aplicaciones empresarial unificada y uso compartido de archivos para hacer que BYOD sea simple y seguro para cualquier organización.

Cualquier dispositivo, personal o comercial

Las personas y los departamentos obtienen la libertad de elegir sus propios dispositivos, incluidos equipos de escritorio y portátiles Windows y Mac o Linux, productos móviles basados en iOS, Android y Windows, Google Chromebooks, etc. El roaming continuo y una experiencia de alta definición en dispositivos, ubicaciones y redes garantizan la conveniencia y la productividad óptima.

Virtualización de escritorio y aplicaciones

El departamento TI puede transformar cualquier aplicación corporativa -incluidas las aplicaciones de Windows, web y SaaS, así como también escritorios completos en un servicio a petición de cualquier necesidad, buscando usar cualquier combinación de enfoques de entrega de aplicaciones y escritorios para admitir todo tipo de trabajador a través de un solo punto de control.

Tienda de aplicaciones de autoservicio

Las personas deberian poder acceder fácilmente a cualquiera de sus aplicaciones autorizadas en cualquier dispositivo a través de una tienda de aplicaciones segura y consistente con una buena experiencia de inicio de sesión.

Follow me

Las personas pueden compartir archivos de forma segura con cualquier persona dentro o fuera de su organización y sincronizar archivos en todos sus dispositivos. El departamento de TI puede implementar políticas de uso integrales y borrar de forma remota los datos de los dispositivos para que la información comercial confidencial esté segura, incluso si un dispositivo se pierde o es robado. El control de acceso, la auditoría y la generación de informes ayudan a controlar el acceso a archivos no autorizado o inapropiado.

Security by default

Debido a que las aplicaciones y los datos se administran dentro del centro de datos, TI mantiene la protección de datos centralizada, el cumplimineto de control de accesos y la administración de usuarios tan fácilmente en dispositivos BYO como en endpoints corporativos, dentro del mismo entorno unificado.

Conclusión

Como una estrategia en el nexo de poderosas tendencias TI como el workshifting, la movilidad y la computación en la nube, BYOD continuará transformando la forma en que las personas y las organizaciones trabajan. La estrategia correcta, habilitada a través de la entrega de datos, aplicaciones y escritorios bajo demanda a cualquier dispositivo, hará que:

  • Las personas elijan sus propios dispositivos para mejorar la productividad, la colaboración y la movilidad

  • Proteja la información confidencial de pérdidas y robos mientras se abordan los mandatos de privacidad, cumplimiento y gestión de riesgos

  • Se reduzcan los costes y simplifique la administración mediante el aprovisionamiento de autoservicio y la administración y supervisión automatizadas

  • Se simplifique la infraestructura TI permitiendo que las aplicaciones se construyan una vez y se ejecuten en cualquier dispositivo

Author image

Ruben.Ramiro

Profesional en Tecnologías de la seguridad y ciberseguridad en Telefónica. Apasionado de los MOOC y la autoformación. Si me tuviese que definir, tendría que ir muchísimo al gimnasio. UHHA!
  • Madrid
comments powered by Disqus