Qué es BYOD y su cercana relación con el Mundo Móvil

Download PDF

Buscando información sobre el mundo móvil, encontré una presentación de ISACA (“La información se mueve”) relacionada con los dispositivos móviles, en la que se muestra que existen varias posibles decisiones estratégicas que pueden tomar los directivos de una empresa:

  • Solución de plataformas estandarizadas
  • BYOD “Puro”
  • Estrategia combinada

El punto que más me llamó la atención fue BYOD, ya que es un concepto cada vez con mayor tendencia, debido a que las nuevas tecnologías cada vez son más accesibles para todos los usuarios. Al igual que los anteriores posts, se centra directamente con los dispositivos móviles de la propia empresa, pero con un leve cambio de perspectiva que se puede intuir en el significado de sus siglas: Bring Your Own Device, cuya traducción es “trae tu propio dispositivo”.

Con BYOD, los empleados utilizan sus propios dispositivos móviles personales, portátiles y tablets para acceder al correo electrónico corporativo, la documentación, aplicaciones, etc. Básicamente consiste en utilizar los dispositivos personales de los empleados en el ámbito corporativo para el desarrollo de sus actividades profesionales. De esta forma, las personas tienen un solo dispositivos para usar tanto para fines profesionales como personales. [1]

bring-your-own-device

[Read more…]

Controles para la Gestión del Riesgo Empresarial en el Mundo Móvil

Download PDF

Con los cambios continuos en el ámbito tecnológico y empresarial, surgen nuevas amenazas creadas por las nuevas aplicaciones móviles, por ello los auditores de TI y los profesionales de la seguridad deben adaptarse a estos cambios y anticiparse a los riesgos aplicar controles apropiados.

Para seleccionar dichos controles, primero se deben de localizar las capas de riesgo, los cuales hemos desarrollado en el anterior post “Gestión del Riesgo Empresarial en el Mundo Móvil”. En este post se explicaban las principales áreas de riesgo relacionadas con Mobile Workforce, pero si nos paramos a analizarlos la mayoría tienen un factor de riesgo común que afecta directamente a la organización: la información del dispositivo. Alrededor de este factor podemos segmentarlo en cuatro categorías principales de seguridad de aplicaciones móviles como se muestra en la figura 1.

Mobile-App-Security

Para afrontar el reto los auditores de TI hacen uso de los siguientes puntos mostrados en la siguiente tabla, de esta forma resulta más sencillo detectar la amenaza debido a la clasificación de los riesgos en dichas categorías [1]. [Read more…]

Gestión del Riesgo Empresarial en el Mundo Móvil

Download PDF

Como he comentado en anteriores posts, la fuerza de trabajo móvil (Mobile Workforce) permite que los empleados trabajen donde quieran. Pueden trabajar desde sus casas, que podría definirse como un lugar seguro, o en áreas públicas, como cafeterías o aeropuertos. En este último tipo de lugares es cuando el nivel de amenaza es mayor, ya que puede afectar a la integridad de los datos, pero también a la seguridad física de los empleados, lo que no ocurre en la propia oficina, puesto que se han implementado contramedidas durante décadas. A pesar de ello, no debemos olvidar que el descuido de un empleado remoto puede ser una fuente importante de riesgo que puede afectar a los activos de la empresa. A continuación, se describen las principales áreas de riesgo relacionadas con Mobile Workforce.

MobileWorkforce-960x678

[Read more…]

Relevancia en la industria y herramientas de Seguridad Móvil

Download PDF

El trabajo a distancia, es decir el teletrabajo, tiene muchas ventajas, tanto para la empresa como para los empleados. Por ello, las empresas son conscientes de sus beneficios y en algunos países, como Reino Unido, se ha convertido en un derecho de los empleados el solicitar el trabajo móvil [1]. Esto les hace sentir una mayor flexibilidad, libertad y autogestión, lo cual facilita a aquellos que necesitan cuidar de sus hijos o tienen un largo tiempo de desplazamiento para llegar a su lugar de trabajo. Por ejemplo, los empleados remotos no quieren que su gerencia piense que, si no están entregando en los tiempos esperados, es porque el trabajar remotamente los está retrasando. Por lo tanto, trabajarán más que las horas contractuales para alcanzar los objetivos. Además, ayuda a las empresas a reducir costos, especialmente en renta y gastos de consumo (electricidad, agua, servicios de basura, etc.), y encontrar empleados cualificados, independientemente de su ubicación. Con el progreso de la tecnología, la fuerza de trabajo móvil es una tendencia que no va a detenerse. Se prevé que para 2020, el 72,3 por ciento de la mano de obra estadounidense será remota [2].

Los empleados están haciendo negocio desde cualquier dispositivo, haciendo uso de aplicaciones como el correo electrónico o el calendario durante el día e incluso la noche, desde cualquier lugar. Los dispositivos móviles evolucionan convenientemente a una necesidad y pasan a ser de un lujo a un componente necesario, pero crítico para el entorno empresarial. El aumento de las aplicaciones que residen en esos dispositivos conlleva un aumento de retos de seguridad y aseguramiento de los que nunca se había enfrentado la empresa. Es cierto que tanto las organizaciones como los auditores IT se están volviendo más sofisticados en sus enfoques y, por lo tanto, cada vez son más capaces de anticiparse y responder a los retos. [Read more…]

¿Qué es la Gestión del Riesgo Empresarial en el Mundo Móvil?

Download PDF

MundoMovil

La invasión de los dispositivos móviles en nuestras vidas cada vez es más evidente y notable, solamente tienes que pararte a pensar cuántos móviles, portátiles, tablets, etc. tienes a tu alrededor. La próxima vez que salgas de paseo por tu ciudad te invito a fijarte cuántas personas a tu alrededor tienen un dispositivo móvil con el cual hablan, chatean o capturan momentos, te darás cuenta de que no importa la edad y cualquiera dispone de un aparato electrónico. De hecho, una encuesta realizada por la empresa Deloitte, Global Mobile Consumer, encontró que el 85% de las personas de 16 a 75 años posee o tiene acceso a un teléfono inteligente, destacando que las personas entre 55 y 75 años son el grupo de edad de crecimiento más rápido en los últimos cinco años, alcanzando dos tercios con acceso a un teléfono inteligente.[1]

Hace diez años, la mayoría de las organizaciones no abordaban los medios móviles, la nube y las redes sociales. Debido a la explosión experimentada en los últimos diez años en estas plataformas, parece que casi todo el mundo tiene al menos una cuenta de redes sociales y un teléfono en el bolsillo, lo cual ha obligado a las empresas a actuar de la misma forma para no quedarse atrás en este momento de cambios, esto supone un nuevo impacto, la seguridad de la fuerza de trabajo móvil (workforce).

Para muchas personas, la tecnología de la información ha cambiado el significado del trabajo. El lugar de trabajo clásico es la oficina, un lugar donde los empleados se reúnen para realizar una variedad de tareas con un propósito común. En cambio, ahora muchas personas ya no tienen la necesidad de ir a trabajar, ya que disponen de portátiles, smartphones, impresora y conectividad a Internet en sus propios hogares [2]. Su “oficina” es donde viven. Estos nuevos perfiles de trabajo yo los denomino “trabajadores móviles”, capaces de realizar su trabajo desde cualquier lugar, siempre y cuando tengan las herramientas técnicas necesarias para ello.

Sin embargo, en este post y en los siguientes no nos centraremos en la gestión de los “trabajadores móviles”, sino en la Gestión del Riesgo Empresarial en el Mundo Móvil, es decir de las tecnologías de la información de la propia empresa que hacen uso en el exterior. [Read more…]

¿Qué impacto produce el Mundo Móvil en la Auditoría Interna? ¿Qué hacemos? (BYOD)

Download PDF

He estado leyendo sobre la Gestión del Riesgo Institucional en el Mundo Móvil, ya que el uso de aplicaciones móviles es muy frecuente dentro de una empresa y en la actualidad existe una variedad inmensa de amenazas contra estos dispositivos. Aprovecho ahora para remarcar que el Mundo Móvil hace referencia a los dispositivos móviles, por lo que no está única y exclusivamente compuesto por teléfonos móviles o Smartphones, también están incluidas las Tablets y las PDAs, al igual que otros muchos dispositivos portátiles que puedan ser utilizados para desempeñar una función dentro de una empresa. Una vez asimilado esto, el siguiente paso es preguntarse:

¿Qué impacto produce el Mundo Móvil en la Auditoría Interna?:

Es un hecho que las aplicaciones móviles evolucionan rápida y constantemente, por lo que la auditoría interna debe asegurarse de que está al día con la tecnología móvil que está siendo utilizada por sus organizaciones y que estas están considerando todas las posibles exposiciones de riesgo en todo momento. Para entender mejor el impacto, he consultado el Top 10 de Principales Prioridades de la Auditoría Interna en Organizaciones de Servicios Financieros y he descubierto que las aplicaciones móviles se encuentran en este top, concretamente en el séptimo puesto. En la explicación del top, justifican que las aplicaciones móviles tienen lugar en el top por los riesgos que suponen las aplicaciones móviles para las empresas, en especial en relación a la autentificación del usuario.

Entonces, una vez asumido que las aplicaciones móviles pueden suponer un problema en algunas organizaciones, queda preguntarse cuáles podrían ser unas buenas medidas a tomar dentro de las organizaciones para evitar los problemas. En algún post siguiente a este, trabajaré los riesgos más importantes, así como los controles a tomar para cada uno de ellos, pero de momento, en este post solo pondré, según la explicación del top, los puntos de acción que los auditores jefes ejecutivos y las funciones de auditoría interna necesitan considerar:

  1. Garantizar que las aplicaciones móviles y la banca están completamente cubiertas en el universo de auditoría (todos los productos / servicios, plataformas, proveedores, etc.).
  2. Asegurarse de que los terceros son tenidos en cuenta en las políticas y procedimientos de gestión de proveedores.
  3. Considerar la posibilidad de riesgo de fraude en relación con las transacciones móviles dentro de los procesos de cara al cliente (orígenes y servicio).
  4. Entender el enfoque de la seguridad por tener una presencia móvil.
  5. Considerar el proceso de extremo a extremo de cara al servicio. Los móviles son la típica puerta de entrada a otros servicios y plataformas.
  6. Entender los planes y controles de gestión del cambio de aplicaciones móviles.
  7. Considerar todas las plataformas móviles compatibles aplicables (iOS, Android, Windows, etc.) en los planes de auditoría.
  8. Si procede, tener en cuenta los controles necesarios para apoyar un modelo de entrega de software ágil.
  9. Considerar la posibilidad de la gestión del servicio multiplataforma, incluyendo los componentes de otros fabricantes.
  10. Tener en cuenta las responsabilidades de las empresas, las políticas y procedimientos en relación al aprovisionamiento de cuentas en los dispositivos móviles.

Y entonces, viendo los riesgos e impacto: ¿Todo está perdido? ¿Qué hacemos?

Llegados a este punto la solución es tomar una decisión estratégica. ¿Pero cuál?

¿Qué hacemos? (BYOD):

Según un documento de ISACA existen varias posibles decisiones estratégicas, cada una con sus respectivas ventajas y desventajas. A continuación, enumero algunas de las decisiones estratégicas que ISACA propone:

  • Solución de plataformas estandarizadas.
  • BYOD “Puro”.
  • Estrategia combinada.

Aquí algo llamó mi atención. ¿BYOD? ¿Seguro? Para quienes no sepan muy bien que es esto del BYOD: BYOD significa Bring Your Own Device y es una estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa (Típicamente Smartphones y Tablets, pero también se pueden usar en PCs).

BYOD

BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”:

P1 - Sarabia González, Jorge.

Entonces, ¿qué implica ofrecer a todos los empleados la posibilidad de utilizar su propio material para trabajar? A priori, una gran comodidad para el empleado, lo que le mantiene motivado en su trabajo, con lo que aumenta considerablemente la productividad de la organización. ¿Pero a qué precio? ¿Dónde reside la seguridad en este caso? En el empleado, que no necesariamente va a controlar el uso que va a hacer de sus dispositivos. Esto es una fuente de incidencias de seguridad.

BYOD-Security-vs-Productivity

Y yo me pregunto, ¿dónde está el punto a favor de introducir BYOD en una empresa? Lo que en realidad se propone con el BYOD “Puro” es el cambio de migrar los datos a otro sitio y que no se almacenen en el dispositivo desde el que se accede a ellos. El objetivo es crear un sistema de acceso remoto a los recursos que los empleados necesitan para realizar su trabajo. De esta forma, se evita que un problema de seguridad en el equipo local se pueda transmitir a la red de la empresa. Aun así es necesario que las comunicaciones entre el equipo BYOD y los recursos se realicen de forma segura, sobre todo cuando el empleado no se encuentre dentro de las instalaciones de la empresa.

Por último y para concluir este post, el BYOD se vende como un ahorro y aunque ISACA propone el BYOD “Puro” como una decisión estratégica de cara a minimizar el riesgo, yo considero que el cambio de no tener BYOD a tenerlo se debe hacer si el objetivo es aumentar la productividad de la empresa, no la seguridad.

BYOD demasiado lejos.

Referencias:

KnowledgeLeader:

Ed Page y Jason Goldberg, «Coping With the Pace of Change in Mobile Applications», Top Priorities for Internal Audit in Financial Services Organizations, nº 1 (2016): 31-34.

ISACA:

«La información se mueve, ¿tu seguridad también?», ISACA, acceso el 14 de octubre de 2016,
http://www.isaca.org/chapters7/Monterrey/Events/Documents/20140409%20La%20Informacion%20se%20Mueve.pdf.

Otros:

«El BYOD la pesadilla del responsable de seguridad», EOI, acceso el 14 de octubre de 2016,
http://www.eoi.es/blogs/ciberseguridad/2016/04/19/el-byod-la-pesadilla-del-responsable-de-seguridad/.

«Cómo implementar una política segura de BYOD en la empresa», BBVA con tu empresa, acceso el 14 de octubre de 2016,
http://www.bbvacontuempresa.es/como-implantar-una-politica-segura-de-byod-en-la-empresa.