¿Cuáles son los problemas con el dispositivo "traer su propio dispositivo" relacionado con los teléfonos inteligentes?

Navega tus respuestas
5

¿Cuáles son los problemas con el dispositivo "traer su propio dispositivo" relacionado con los teléfonos inteligentes?

Las empresas ven esto cada día más, la gente quiere usar sus dispositivos personales en la red corporativa o incluso usarlos para trabajar. Debido a que estos son dispositivos personales, un administrador no puede forzar restricciones tan fácilmente como con un dispositivo propiedad de la empresa.

¿Cuáles son los riesgos de BYOD? ¿Qué medidas podemos tomar para garantizar la seguridad si nos encontramos en esta situación?

    
pregunta Lucas Kauffman 07.09.2012 - 09:01
fuente

3 respuestas

7

Esta es una pregunta muy amplia que no tiene una respuesta única. Algunas categorías de desafíos y riesgos incluyen:

  • Control reducido. La empresa debe tomar los dispositivos que seleccionen los empleados y pierde el control sobre ellos. La corporación también puede haber reducido el apalancamiento para controlar el software en esos dispositivos.

  • Dependencia. La corporación se vuelve dependiente de la seguridad y disponibilidad de los dispositivos de sus empleados. Se vuelve más difícil para la corporación administrar esos dispositivos.

  • Heterogeneidad. La corporación ya no puede estandarizarse en un solo dispositivo y, en cambio, debe estar preparada para admitir una amplia gama de dispositivos. Por ejemplo, si la corporación hace que los servicios internos estén disponibles a través de un servicio web, no puede limitarse a IE: tiene la garantía de que el sitio funcionará con todos los dispositivos de sus empleados.

Algunas protecciones potenciales que pueden considerarse incluyen:

  • Seguridad del lado del servidor. Arquitecto, por lo que dependen menos de la seguridad del dispositivo del usuario. Por ejemplo, almacene datos en un servidor (o en la nube) en lugar de en el dispositivo del usuario final.

  • Trabaja con los empleados. Permita que sus empleados protejan los datos en sus propios dispositivos. Proporcionarles recursos y motivación para hacerlo. Educarlos sobre la necesidad y ayudar a reducir las barreras a la seguridad.

  • Servicios basados en web. Haga que los servicios internos estén disponibles a través de la web y HTML5, en lugar de aplicaciones nativas. (Es cierto que ya es una práctica común). Hoy en día, la web es el denominador menos común.

  • Tecnología específica. Hay algunos productos y tecnologías específicas que se están desarrollando para enfrentar este desafío. Por ejemplo, uno es el cifrado de disco completo o el cifrado de software en el dispositivo del usuario final. Otro es el uso de máquinas virtuales u otros mecanismos para proporcionar una separación sólida entre el trabajo y el uso personal de un dispositivo, de modo que el uso personal no pueda comprometer la seguridad de los datos del trabajo, y de manera contraria, para que las actividades personales del empleado permanezcan privadas (como lo son). ninguno de los asuntos de su jefe). También hay productos para facilitar el borrado remoto y la desactivación remota, si se pierde el dispositivo de un empleado. Sin embargo, los empleadores que exigen capacidades de borrado remoto deben hacer todo lo posible para facilitarles a los empleados hacer copias de seguridad de sus dispositivos; de lo contrario, un borrado remoto puede representar una gran pérdida para un empleado.

  • Establezca límites. Las compañías pueden ayudar a establecer límites claros. El crecimiento generalizado de los dispositivos siempre conectados (teléfonos inteligentes, etc.) ha transformado la forma en que las personas trabajan, hasta el punto en que muchas personas se sienten efectivamente "de guardia" en los trabajos en los que hace una década no habría sido así. Usted ve a muchas personas revisando el correo electrónico del trabajo fuera del horario laboral y sintiendo la presión resultante. Esto puede parecer más eficiente, pero hay algunas razones para creer que a largo plazo perjudica la efectividad de los empleados, por lo que las empresas pueden ayudar a establecer una cultura saludable que aliente a sus compañías a establecer límites y tener una vida personal fuera del trabajo. / p>

  • Abraza la tendencia. Mira el lado positivo; BYOD se está extendiendo porque brinda importantes beneficios, como la reducción de los costos de tecnología para las empresas, la mejora de la productividad de los empleados, el aumento de la moral de los empleados y una mayor flexibilidad para horarios de trabajo flexibles. Por lo tanto, no se involucre demasiado en los riesgos: los riesgos deben gestionarse, ciertamente, pero el trabajo principal de la gente de seguridad debe ser decir "sí", no decir "no". Los departamentos de seguridad de TI pueden considerar esto como una excelente oportunidad para obtener una reputación como facilitador, no como una barrera para el progreso.

respondido por el D.W. 07.09.2012 - 09:10
fuente
4

Uno de los riesgos de BYOD es la idea de que reduce los costos del administrador del sistema y del servicio de asistencia. Es un mito pero puede dañar mucho la productividad. Con BYOD, los propios usuarios se encargan del inventario y la sustitución de las piezas defectuosas. Pero aún necesitan conectarse a la red interna y recibir ayuda con las aplicaciones corporativas (es decir, el sitio web de la intranet), y dado que el hardware y los sistemas operativos pueden variar bastante con BYOD, los costos administrativos de estas tareas tienden a aumentar mucho. Así que no habilites a BYOD como asesino de costos; no funcionará BYOD está ahí para hacer que los empleados se sientan más felices y responsables.

Otro problema con BYOD es el cumplimiento. Si la empresa desarrolla software relacionado con la seguridad y persigue algunos tipos de certificación (como los niveles EAL 2+), se toma en cuenta el entorno de desarrollo y la presencia de máquinas no controladas en ese entorno puede afectar el proceso de certificación. Para afirmar las cosas claramente, es difícil garantizar que no se haya insertado ninguna puerta trasera en el código de una aplicación cuando las máquinas de los desarrolladores están fuera del alcance de cualquier política de seguridad.

Un tercer riesgo tiene que ver con los límites. La excelente respuesta de @D.W. establece que los usuarios deben poner límites entre el trabajo y la vida personal, ya que la invasión del trabajo a la vida personal es perjudicial para esta última, y luego para la productividad de los empleados en su conjunto. También funciona en la otra dirección: la invasión de la vida personal en el área de trabajo también puede destruir la productividad. Se sabe que un poco de cosas no relacionadas con el trabajo en el trabajo ayuda a las personas a pasar un día de trabajo (ese es el punto de las pausas para tomar café, en realidad); También es bien sabido que esto puede ser exagerado. Si los empleados tienen sus propios dispositivos, entonces pueden traer su propio ocio. La teoría de BYOD es que los empleados se sienten habilitados y responsables, lo que los induce a menos aflojamientos de lo que se sentirían si su entorno fuera menos abierto. La práctica, como siempre, coincide perfectamente con la teoría ... en teoría.

    
respondido por el Tom Leek 07.09.2012 - 13:37
fuente
3

Donde estoy, los problemas percibidos son:

  • costos de soporte: que la compañía asumirá la carga de los problemas que no son realmente un problema (hola helpdesk, ¿cómo configuro mi Whizzbang 3728-T para acceder a la VPN?)

  • que los dispositivos de usuario no administrados se conviertan en un conducto para el malware en un entorno controlado

  • que los datos en estos dispositivos no están protegidos adecuadamente y que los dispositivos son más susceptibles a la pérdida física

  • y estar comprometido por la pérdida de datos

  • fuga de datos: donde el usuario almacena deliberadamente los datos de la compañía fuera del control de la compañía, por ejemplo. utilizando una aplicación basada en la nube para mantener una libreta de direcciones

Personalmente, no estoy de acuerdo con la idea de que debería haber una red muy diferente dentro y fuera de la red en términos de seguridad (sí, la política de firewall debería ser diferente, pero solo para reducir el ruido). Pero tendría que admitir que no todos los que trabajan aquí tienen las habilidades / el tiempo para mantener sus propios dispositivos a un nivel razonable.

  

un administrador no puede forzar restricciones tan fácilmente como con un dispositivo propiedad de la empresa

Esto es complicado.

En primer lugar, su afirmación no es necesariamente cierta. Debe tener controles adecuados establecidos que el simple hecho de llevar un dispositivo a su lugar de trabajo no proporcione acceso a los servicios que podría considerar restringidos.

Una vez que este sea el caso, entonces como administrador puede imponer ciertas restricciones en ese acceso. Ahora hay muchas herramientas disponibles que proporcionan borrado remoto y acceso remoto, pero luego debe abordar el problema de cómo separar los datos de la compañía de los datos de los usuarios. ¿Deberías pedir a tus usuarios que renuncien a su privacidad? ¿Debería gastar dinero de la empresa para comprar software de seguridad para instalar en dispositivos que no sean de la empresa?

La limitación del acceso a la web (sin funcionalidad de descarga para correo electrónico) y / o la pantalla remota es un largo camino para resolver el problema. (Recientemente descubrí un HTML5 / javascript puro cliente de VNC : ¡increíble!)

    
respondido por el symcbean 07.09.2012 - 10:51
fuente

Lea otras preguntas en las etiquetas

¿Cómo usar VNC con el túnel SSH? ¿“Cómo es esto seguro”? ¿El generador pseudoaleatorio no se inicializa desde el (grupo de entropía)?