La variedad de dispositivos que permiten gestionar fácilmente los datos con los que interactúa un usuario a diario lo ha puesto en una posición bastante vulnerable para cometer algunos pecados que atentan contra la integridad y confidencialidad de su información.

Una demostración de la gravedad de esta situación fue revelada por la empresa de seguridad informática Fortinet. Esta compañía llevó a cabo una encuesta mundial que revela la magnitud del desafío que representa para los sistemas corporativos de tecnologías de la información (TI) la primera generación de empleados que aplican la modalidad de traer sus propios dispositivos (BYOD – Bring Your Own Device) al trabajo. 

El estudio describe el bajo grado de seguridad por parte de los asalariados que utilizan sus propios equipos, incluyendo el preocupante hecho de que 1 de cada 3 empleados admite que podría cometer infracciones a las políticas de seguridad de la empresa si ésta prohíbe usar sus aparatos personales en el ámbito laboral o por motivos de trabajo. 

En general, los hallazgos subrayan la urgencia con la que las firmas deben desarrollar estrategias de seguridad para proteger y administrar con éxito la actividad BYOD.

La encuesta, realizada en 15 países durante mayo y junio de 2012, consideró los testimonios de más de 3.800 empleados activos de alrededor de veinte años, sobre sus puntos de vista respecto a la modalidad BYOD, su impacto en el ambiente de trabajo y su enfoque sobre seguridad TI tanto personal como corporativa. 

Dentro de la composición demográfica de la encuesta, que representa a los tomadores de decisiones y directores del futuro, el hecho de llevar los dispositivos personales a la oficina se confirma como una tendencia principal y en crecimiento. 

Casi tres cuartas partes (74%) de los encuestados en todos los territorios ya participan regularmente en la práctica BYOD. Más importante aún, el 55% de ellos considera el uso de su dispositivo en el trabajo como un “derecho laboral”, más que un “privilegio”.

Desde la perspectiva del usuario, el motivo principal para esta práctica es que los individuos constantemente pueden acceder a sus aplicaciones preferidas, en especial las redes sociales y las comunicaciones privadas. 

La dependencia en las comunicaciones personales es fuerte con un 35% de los encuestados admitiendo que no podrían pasar un día sin acceso a las redes sociales y el 47% que no pueden durar un día sin los mensajes cortos de texto (SMS).

La primera generación de los trabajadores de esta tendencia comprenden los riesgos para su organización planteados por el uso del BYOD. 

El 42% de la muestra cree realmente posible que la pérdida de datos y la exposición a las amenazas informáticas maliciosas son los riesgos predominantes. 

Sin embargo, resulta preocupante para los departamentos de TI que esta concientización sobre el riesgo no impide que los trabajadores traten de eludir las políticas corporativas.

De hecho, más de un tercio de los consultados (36%) admitió que ha violado o violaría la política corporativa que prohíbe el uso de dispositivos de propiedad personal para propósitos de trabajo. 

De los 15 países encuestados la cifra es más alta en la India, donde el 66% admitió que han infringido o infringiría alguna política de seguridad. Estas naciones relevadas fueron EE.UU., Reino Unido, Francia, Alemania, Italia, España, Polonia, Emiratos Árabes Unidos, India, Corea del Sur, China, Singapur, Taiwán, Japón y Hong Kong.

Cuando se les preguntó acerca de las políticas que prohíben el uso de aplicaciones no autorizadas, la cifra sigue siendo aproximadamente la misma ya que un 30% de los trabajadores admite que ha infringido o infringiría la medida. 

El riesgo para las organizaciones por parte de los programas no aprobados va en crecimiento. De hecho, el 69% de los empleados confirmó que está interesado en “traer su propia aplicación” (BYOA por Brind Your Own Application), donde los usuarios pueden crear y utilizar sus propias aplicaciones personalizadas en el trabajo.

La encuesta también hizo referencia a la resistencia que enfrentarían las organizaciones a la implementación de seguridad en el dispositivo de un empleado. 

La mayoría (66%) de los consultados considera que debe ser responsabilidad propia y no de la empresa la seguridad de los equipos personales que utilizan por motivos de trabajo.

Esto es tres veces mayor al número que considera que la responsabilidad recae en última instancia en su empleador (22%).

Pecados informáticos

Desde otra empresa de seguridad informática, Eset, enumeraron los siguientes siete pecados usualmente cometidos por los usuarios en el manejo de su información.

Acceder a Internet desde redes inseguras
Con la cantidad de dispositivos que el usuario tiene a disposición (“smartphone”, tableta, notebook, netbook, etc.) es de esperarse que con todos quiera tener conexión a Internet, y para ello recurra a conectarse a cualquier red que encuentre disponible sin tener en cuenta las condiciones de seguridad y, por lo tanto, su información puede quedar expuesta.

Utilizar privilegios de administrador
Muchas veces el uso de los equipos es compartido, y por facilitar el trabajo se utiliza un único perfil de acceso, generalmente en modo administrador, lo cual abre una posibilidad mayor para ataques maliciosos. 

Para el caso de aparatos móviles es común la práctica jailbreak con el objetivo de tomar total control del dispositivo, con las consecuencias antes mencionadas. 

A esto se le suma la no muy sana costumbre de almacenar las contraseñas en los navegadores.

Emplear indiscriminadamente dispositivos USB
La facilidad para el intercambio de datos que brinda este tipo de dispositivos ha llevado a que los usuarios los utilicen para mover en ellos información personal y laboral confidencial, sin tener mayores cuidados ante la posibilidad de que ésta se extravíe o sea infectada por algún malware.

Utilizar el mismo nombre de usuario y contraseña en muchos servicios
Dada la gran cantidad de páginas en los que el empleado se registra, existe la tendencia a utilizar el mismo nombre de usuario y contraseña, sin tener en cuenta que si la información de alguno de estos sitios es vulnerada va a quedar expuesto lo almacenado de los demás sitios.

Desatender los dispositivos
Es muy común en los lugares de trabajo, o por la movilidad de los dispositivos, que el usuario los lleve a todos los lugares que visita. Por ende, suele ocurrir que los deje expuestos desprovistos de seguridad y pueda ser víctima de sustracción o alteración de información.

Pérdida o robo del equipo

Ningún empleado está exento de que alguno de sus equipos pueda ser extraviado, y por lo tanto, todos los datos allí contenidos pueden ser potencialmente vulnerados.

Tener información laboral sensible en los dispositivos personales

A pesar que la tendencia de utilizar dispositivos propios en los lugares de trabajo se ha consolidado, es muy importante saber qué tipo de información es conveniente conservar en los aparatos personales, y en caso de tener información sensible tomar las medidas de seguridad adecuadas.

Consejos

Es necesario para el usuario desarrollar una estrategia para disminuir los riesgos a los que está expuesto, la cual puede estar basada, según Eset, en los siguientes tres consejos:

• Sistemas para la protección de los datos
  Existen herramientas que brindan protección para detectar y bloquear amenazas, tanto para dispositivos móviles como para computadoras, ya sean portátiles o de escritorio.
• Mantener su infraestructura actualizada
  Todos los equipos que se utilicen deben tener sus sistemas operativos y aplicaciones actualizadas con los paquetes de los fabricantes, para minimizar las fallas y vulnerabilidades existentes.
  
• Educación
  Es responsabilidad estar al tanto de cuáles son la amenazas a las que puede verse expuesto y cuáles son las alternativas con las que cuenta para protegerse. No es suficiente sólo con la tecnología, sino que es necesario complementarla con sentido común y educación.

En la medida en que el usuario sea más responsable con el manejo de la información, logrará disminuir su nivel de exposición. La integración de estos tres conceptos es fundamental para no cometer los pecados antes comentados y atentar contra la integridad de su información.(iProfesional)