NOTICIAS

Listado de noticias

Los Expertos Opinan: «Creación de un programa de implantación de la estrategia BYOD en las empresas» – Jose Antonio Perea

  • 22/01/2018
 

 

     

José Antonio Perea

Jefe de la Unidad de Innovación, Gestión Tecnológica y Movilidad – SGAD Secretario General de Administración Digital.

Miembro del Centro de Estudios en Movilidad e IoT de ISMS Forum.

Los modelos BYOD permiten a los usuarios acceder a servicios, recursos o datos corporativos (tales como correo electrónico, servidores de archivos, bases de datos, aplicaciones…) desde sus dispositivos personales (teléfonos móviles, tablets…).

Existen numerosas amenazas y vulnerabilidades asociadas a las políticas de BYOD que pueden poner en riesgo la seguridad, tanto del propio dispositivo, como de la información que gestiona y los sistemas a los que se accede. En este sentido, el último Informe de Ciberamenazas y Tendencias publicado por el CCN-CERT señala el crecimiento constante de vulnerabilidades en dispositivos móviles de las que más de un tercio podría derivar potencialmente en una violación completa de los aspectos de seguridad de una organización: hacer que el sistema completo quede fuera de servicio (ataque a la disponibilidad), realizar alteraciones en los ficheros del sistema (ataque a la integridad), acceder a los ficheros del sistema (ataque a la confidencialidad) y suplantar la identidad del usuario del dispositivo (autenticación).
 

El reto máximo para cualquier programa BYOD no consiste solo en administrar la seguridad de los datos y optimizar la productividad del usuario final, sino que se trata de mantener un equilibrio constante entre seguridad, cumplimiento, responsabilidad legal, iteración con el pliego del concurso (soporte, formación…)y una experiencia de usuario positiva. No se trata solo de realizar una estrategia integral de prácticas recomendadas o condiciones de uso para asegurar y habilitar los dispositivos personales en el entorno laboral, sino de cómo preparar a la organización para preparar, crear, lanzar y mantener un programa de BYOD:

1.     Preparar a la organización.

  • Determinando la tolerancia a los riesgos que un programa de BYOD trae consigo.
  • Involucrar a las unidades implicadas en cada entidad: usuarios, seguridad, sistemas, dirección… para garantizar el impulso adecuado del programa.
  • Identificar si se cuenta con el personal técnico adecuado, tanto a nivel de recursos como de capacitación.

2.     Creación del programa:

  • Creación del equipo de trabajo. Se debe contar con el personal suficiente que cuente con los conocimientos adecuados en función de los perfiles aplicados a la movilidad.
  • El programa debe ser sostenible en el tiempo garantizando su usabilidad frente al reto de los cambios tecnológicos que en la movilidad se producen muy rápidamente.
  • Generar modelos de confianza que no comprometa la seguridad de los datos, evaluando los riesgos de seguridad, indicando las medidas para remediarlos y estableciendo políticas de seguridad por niveles de acceso y aplicación.
  • Seleccionar los dispositivos:

·Deben Incluir todas las plataformas móviles deseadas en el programa que cumplan con los requisitos de seguridad y asistencia técnica de la organización.

· Desarrollar un plan de certificación.

· Identificar claramente qué dispositivos están, o no, permitidos y por qué.

·Asegurarse de que el equipo técnico mantiene los conocimientos y experiencia sobre los dispositivos móviles y sistemas operativos en constante evolución para evitar que el programa BYOD quede obsoleto rápidamente.

  • Creación de políticas y procedimientos claros que prevean los límites y condiciones a los que deben someterse los empleados.
  • Implantación de las políticas a adoptar en el sistema de gestión de la movilidad corporativa adecuando los perfiles, restricciones y acciones a realizar ante cualquier incidencia o problema dado. Mantener un enfoque integrado de la seguridad BYOD a tres niveles:

·Seguridad en el dispositivo.

·Protección de los datos y el tráfico.

·Protección de la red.

3.     Implementación del programa (previamente se realizará un proyecto piloto):

  • Formación.
  • Instalación del agente en el dispositivo BYOD.
  • Enrolamiento del dispositivo en la plataforma.
  • Aceptación de las condiciones de uso.

4.     Mantenimiento del programa.

  • Cambio en el modelo de gestión del soporte técnico al no ser dispositivos corporativos no tienen soporte por parte del operador.
  • La gestión de las incidencias se circunscribe a la línea de comunicaciones y a las acciones que sobre ella realice el operador (roaming, alta, baja…), no al dispositivo.
  • Procedimientos operativos y de mantenimiento que se deben realizar de forma continuada, para garantizar que la solución se mantiene en todo momento operativa y conforme con los niveles de seguridad exigido.

              

En definitiva, para que un programa BYOD tenga éxito debemos tener en cuenta la gestión de los dispositivos, el acceso a la información y a las diferentes tareas, las buenas prácticas, la racionalización de los recursos móviles, la seguridad de los datos y la administración de redes, todo esto son cuestiones que hay que contemplar, buscando siempre el equilibrio entre adaptabilidad y seguridad y enmarcarlo todo dentro de la política de seguridad BYOD de la organización.

Existen numerosas amenazas y vulnerabilidades asociadas a las políticas de BYOD que pueden poner en riesgo la seguridad, tanto del propio dispositivo, como de la información que gestiona y los sistemas a los que se accede. En este sentido, el último Informe de Ciberamenazas y Tendencias publicado por el CCN-CERT señala el crecimiento constante de vulnerabilidades en dispositivos móviles de las que más de un tercio podría derivar potencialmente en una violación completa de los aspectos de seguridad de una organización: hacer que el sistema completo quede fuera de servicio (ataque a la disponibilidad), realizar alteraciones en los ficheros del sistema (ataque a la integridad), acceder a los ficheros del sistema (ataque a la confidencialidad) y suplantar la identidad del usuario del dispositivo (autenticación).

 

Global Gold Sponsor

logo Atos
A10
logo_Acronis
ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
logo_Cribl
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
delinea
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
Dordio & Associates Logo
elastic
entrust-1421665994898
Logo_ESET
extrahop
f5
fastly
forcepoint
formalize
fortinet1584959160
fujitsu
glueckkanja
group-ib
hashicorp
LOGO_Huawei
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
insside-142x531694532390
Integrity360
Izertis
keyfactor_logo_charcoal
logo_Knowmad
KPMG
Kymatio
kyndryl_logo_R_Black_RGB
leet-security
mandiant
riskrecon-mastercard
microsoft1421636982759
mimecast
netskope1421542790367
logo_Neverhack
nextvision-1421678725138
okta-142x531690371671
onetrust
OpenText
logoox-Security
paloalto1421664436588
logo_Picus
ping-identity
primix-142x531690198289
qualys-subir1520939472
recorderfuture1421636531854
red-sift-142-21668078952
Rubrik
Sailpoint
samsung-subir14912155251502970957
logo_Salesforcepng
saviynt
Schwarz IT KG_LOGO
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelone
sia1613034479
logo_Silverfort
smartfense
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
logo_Synergy
telefonica tech
tenable-142x531690369729-1
Tier8
transmitsecurity
TRC
trustworks
logo_Upwind
wallix
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscale

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.