Noticias ciencia y tecnologia computacion internet

Dispositivos portables: ¿Cómo las empresas pueden reducir los riesgos de seguridad y privacidad?

Por Rebecca Herold – Tech Page One

"Todo el mundo sabe que los hackers están detrás de las grandes organizaciones", me gritó el representante de dispositivos médicos portátiles después de mi presentación de la necesidad de crear controles de seguridad y privacidad en este tipo de dispositivos, así como con políticas y procedimientos que rigen su uso dentro de la organización empresarial. "¡Es una pérdida de tiempo, esfuerzo y dinero establecer y construir dichos controles de seguridad y privacidad!"

La fuerte opinión de esta persona es una que he escuchado muchas veces a lo largo de los años sobre la aplicación de controles de seguridad y privacidad en general. Y cada vez es más peligroso desde el punto de vista de seguridad y privacidad, no sólo para aquellos que utilizan dispositivos portátiles de todo tipo (física, aptitud, de seguimiento, etc.), sino también para las organizaciones cuyos empleados están usando portables.

Los riesgos que deben ser mitigados

¿Se han establecido políticas de seguridad y privacidad de la información para el uso de los dispositivos informáticos portátiles dentro de tu organización? ¿No? Bueno, ¿qué estás esperando? La investigación muestra que uno de cada cinco estadounidenses posee y utiliza algún tipo de portátil.

Esos elementos portables no sólo crean riesgos de privacidad y seguridad a través de la amplia gama de capacidades de video y vigilancia de audio que muchos tienen, sino también a través de su conectividad inalámbrica a las redes y otros tipos de dispositivos inteligentes, por lo tanto, la creación de vías para acceder a datos valiosos. Estos riesgos deben abordarse antes de que sea demasiado tarde. Vamos a imaginar que tu organización tiene 500 empleados. Teniendo en cuenta la investigación, eso significaría que 100 de tus empleados utilizan estos dispositivos, y es probable que muchos de ellos estén dentro de tu entorno empresarial, poniendo tus sistemas y datos en riesgo de múltiples maneras.

Estos dispositivos pueden ser cubiertos por la organización con políticas y procedimientos de BYOD, dependiendo de la forma de usarlos. Sin embargo, es muy probable que en tu organización aún no hayas abordado este tema. La Comisión de Auditoría y Control de Seguridad de la Asociación de la Información (ISACA, por sus siglas en inglés) publicó una infografía que muestra los resultados de un estudio del Internet de las Cosas (IoT, por sus siglas en inglés) realizado en 2014. Los resultados son interesantes:

  • 60 por ciento cree que los dispositivos portátiles son igualmente riesgosos que los teléfonos inteligentes, laptops y otros dispositivos de BYOD  comúnmente considerados. Pero…
  • 89 por ciento no tiene políticas que cubran los dispositivos portátiles.

La privacidad del empleado también debe abordarse

Las organizaciones necesitan establecer reglas para determinar cómo se utilizarán los portables dentro de la organización. Y no sólo desde la perspectiva de la protección de la empresa, sino también desde la perspectiva de la protección de los empleados a los que la empresa ha dado un portátil para utilizar al realizar las actividades propias del negocio.

Las empresas están dando a los empleados dispositivos portátiles para hacer una variedad de actividades. Estos son sólo dos ejemplos:

El uso de portables en las empresas sólo seguirá creciendo.


¿Qué controles se deben establecer para llevar portables?

Considera esto. Como resultado de las muchas listas de control de seguridad de la FDA que se deben seguir, los fabricantes de dispositivos médicos están acostumbrados a seguir las listas de verificación al crear sus dispositivos para cumplir con los requisitos reglamentarios. Así que, hace más de un año, creé una lista de seguridad y privacidad con información de dispositivos de verificación médica que puedan utilizar para construir las protecciones de seguridad y privacidad, y también establece los requisitos dentro de tu organización. Las empresas de todo tipo pueden usar una lista de verificación similar para establecer sus propios requisitos de seguridad y privacidad para el uso de portables inteligentes dentro de sus organizaciones.

Hay algunos puntos clave adicionales por abordar. Desde el punto de vista de seguridad y gestión de la privacidad, aquí hay una lista de alto nivel a utilizar para la forma en que la empresa usa los portables:

  • Utiliza portables sólo seguros. Asegúrate de que los datos estén cifrados, que los controles de acceso se implementen y que los sistemas se han de mantener parchados con las últimas actualizaciones de seguridad.
  • Utiliza portables sólo para apoyar actividades empresariales. No utilices portables para rastrear a los empleados fuera de las actividades empresariales, o para registrar información sobre los empleados que utilizan los elementos portables fuera de los horarios de trabajo.
  • Explica a los empleados el propósito del negocio con el uso de elementos portables, la información recopilada con ellos y las protecciones de privacidad que se han establecido para su uso.
  • Proporciona seguridad y formación específica de privacidad para aquellos que utilizan los elementos portables.
  • Minimiza los datos recogidos mediante los portables sólo si es necesario para apoyar fines comerciales.

Aquí hay algunas pautas a seguir para la forma en que la empresa permite a los empleados y contratistas que utilicen sus propios portables personales:

  • No permitas que los empleados o contratistas utilicen portables para recopilar videos, imágenes fijas, grabaciones de audio u otro tipo de información que se trate de negocios, clientes, pacientes o empleados.
  • Cuando se está utilizando un portátil para recopilar información de ninguna manera los empleados y los contratistas deberían estar obligados a notificar a los empleados en sus inmediaciones que lo están haciendo, y dirigirlos a respetar y seguir las solicitudes de no incluir los que les rodean, o cualquier cosa dentro de sus áreas de trabajo, en sus actividades de recopilación de datos.

Te estarás preguntando acerca del hombre enojado gritando que cité en el comienzo de este blogpost. Anoté a su empresa y planearé evitar el uso de sus dispositivos aparentemente de alto riesgo a menos que sus líderes de negocio sean más sabios y tomen medidas para asegurarlos.

Este blogpost fue escrito como parte del programa de Dell Insight Partners, que ofrece noticias y análisis sobre el cambiante mundo de la tecnología. Para obtener más información sobre noticias de tecnología y análisis técnico visita Tech Page One. Dell auspició este artículo, pero las opiniones son mías y no representan necesariamente las posiciones o estrategias de Dell.

Dell cuenta con la tecnología necesaria ante cualquier desafío. Conoce algunos casos de estudio.

Deja un comentario