¿Quién debe ser el propietario de del dispositivo que se usa para fines empresariales?
Con la expansión de servicios alojados en la nube, la exigencia de limitar el acceso a determinadas aplicaciones empresariales desde dispositivos corporativos se ha relajado, ya sean pcs, tablets o smartphones.
Dispositivos móviles, como punto crítico de la seguridad empresarial
Para el CCN, el dispositivo móvil es probablemente el componente más crítico al ser el más expuesto a las amenazas derivadas de, por un lado, la pérdida, sustracción o manipulación del dispositivo, y por otro lado a la exposición procedente de la conexión directa a redes inseguras (como puede ser en aeropuertos, cafeterías, hoteles, etc.).
El teletrabajo, la movilidad son realidades que impulsan el empleo de diversos dispositivos que en ocasiones se alejan del control empresarial, incrementando riesgos como fugas de información, contaminación con malware o accesos no autorizados.
La casuística es tan diversa que pasa por el uso de dispositivos personales para tareas profesionales o por el contrario, el uso de dispositivos propiedad de la empresa para tareas personales, accesos a la red empresarial desde dispositivos personales.. Desde la instalación de aplicaciones no autorizadas (shadow IT), al uso de credenciales personales y profesionales en el mismo navegador.
¿Cuáles son los modelos de propiedad de dispositivos en el entorno corporativo?
Según la guía de Comunicaciones Móviles Seguras en 5g del el Centro Criptográfico Nacional, existen 3 modelos de propiedad de dispositivos: BYOD, COPE y COBO.
Bring your own device (BYOD)
El dispositivo es adquirido y es propiedad del usuario final, quien lo pone a disposición de la organización con fines profesionales. La organización puede gestionar parte del dispositivo, pero no existe trazabilidad ni cadena de custodia del dispositivo.
Según SlashNext, el 71% de los trabajadores tienen información sensible de su trabajo en dispositivos personales. Y gran parte de los ataques de phishing están relacionados con el uso de aplicaciones de mensajería de uso personal.
Una de las fricciones evidentes a la hora de establecer políticas de seguridad en este modelo, es que los empleados no están dispuestos a comprometer su privacidad a favor de un mayor control por parte de la compañía para evitar la pérdida de información sensible.
En el caso concreto de las aplicaciones de comunicación de uso corporativo hay determinadas configuraciones que pueden contribuir a la seguridad: definición de horarios de uso, limitación de descarga de archivos en el dispositivo, ofuscación de datos personales o sensibles…
Corporate Owned, Personally Enable (COPE)
El dispositivo es propiedad de la organización. Es puesto a disposición del usuario para fines profesionales, habilitándose desde la organización un espacio separado para albergar y maneja datos de carácter personal del usuario final. La organización gestiona parte o la totalidad del dispositivo.
Corporate Owned, Business Only (COBO)
El dispositivo es propiedad de la organización y puesto a disposición del usuario final sólo para fines profesionales. La organización gestiona la totalidad del dispositivo.
Este último modelo es el recomendado según el Centro Criptográfico Nacional (CCN-STIC-496), ya que representa el nivel máximo de seguridad en términos de gestión de dispositivos, siempre que esta se base en dispositivos móviles aprobados y configurados correctamente.
A pesar de todo, el usuario siempre puede generar riesgos. Por ejemplo, Okta, una empresa dedicada a la gestión de identidad de empleados, sufrió un ciberataque como consecuencia del uso de un perfíl personal de Chrome en un dispositivo de la empresa.
La formación, es la primera línea de defensa:
Independientemente de los pros y contras de cada estrategia, que deberán ser evaluados en cada caso, lo que parece irrenunciable es la importancia de la formación de los empleados en seguridad informática.
A veces el modelo de propiedad no es el problema, en ocasiones las propias aplicaciones generan amenazas, que deben ser ponderadas en cada caso, pues pueden ser herramientas relevantes para el usuario, incluso siendo conocidas las amenazas que representan.
Es conocido el caso de la prohibición por parte de algunos gobiernos de prohibir la instalación de apps como TikTok de los dispositivos corporativos. Incluso en el supuesto de personalidades públicas que puedan tener canales de comunicación social abiertos con su público, el uso de determinadas aplicaciones pueden generar riesgos.
Otra caso, clásico del empleo indebido de aplicaciones personales, es el de la aplicación Strava que utilizada por militares hizo pública la ubicación de algunas bases militares secretas en 2018, pero que en 2024 genera situaciones como facilitar la identificación de soldados israelíes al situarlos cerca de sus bases, lo cual es un enorme riesgo en una situación de guerra como la actual. En este caso, el usuario puede emplear una app personal desde un dispositivo personal, e igualmente generar un riesgo grave para la organización.