Decálogo seguridad BYOD: "Buy your own device and secure it (yourself?)"

Decálogo básico, no técnico, de seguridad móvil (BYOD)

Esta mañana en la puerta de la guardería he coincidido con una mamá que se ha comprado un IPAD MINI 3G porque todos sus compañeros de trabajo tienen uno y acarrear el portátil de reunión en reunión le parece obsoleto.

Nota bene: sigo pensando que un portátil es bastante más productivo que cualquier tablet. Igual lo que ocurre es que las personas que "tienen suficiente" con un IPAD para su trabajo diario son poco productivas digitalmente hablando (no generan documentos, hojas de cálculo o presentaciones, escriben menos de 100 e-mails al día) o, tal vez, simplemente no son multitarea.

Mientras esperábamos a nuestros respectivos hijos, hemos hablado sobre BYOD ("Bring Your Own Device") y me he dado cuenta de que hay gente que se desinstala el "sentido común" porque no le encuentra utilidad o sitio. Incluso usuarios experimentados en el uso de diferentes tecnologías cometen errores básicos cuando se trata de "su propio dispositivo".

Así que he preparado una lista de conceptos básicos de seguridad sobre BYOD que derivan directamente del sentido común:

1. BYOD significa que el dispositivo propiedad de la persona es una herramienta de trabajo corporativa y, como tal, su uso debe estar controlado por la empresa (total o parcialmente). 
2. La información corporativa dentro del dispositivo vale mucho más que el dispositivo en sí. El IPAD más caro sólo cuesta 900€. ¿cuánto vale un listado de clientes? ¿y el catálogo de productos de una compañía con su precio y ofertas asociados? En algunas organizaciones, la lista de miembros del consejo, su e-mail y sus números de móvil se cotizan bastante más. Perder el dispositivo es malo, comprometer la información contenida en él es un drama, dar acceso a terceros a los sistemas de la empresa (ERP, e-mail, red corporativa, intranet, etc.) es una tragedia. 
3. Todos los dispositivos se pierden, no importa el cuidado que se tenga. A veces son olvidados por descuido en un taxi, una cafetería o una sala de reuniones, otras veces son robados para revenderlos "como nuevos", a veces son robados porque el ladrón conoce el valor de su contenido. 
4. Los hackers existen. Hay gente que entra en tu WIFI sólo para navegar gratis por Internet; otros entran en tu WIFI y escanean tus dispositivos personales para cotillear las fotos de tu último viaje; otros trafican con información personal "a granel" (direcciones de e-mail, números de tarjetas de crédito, direcciones IP de sistemas corporativos o industriales, etc.) y algunos, los más especializados, son contratados para atacar de forma discrecional una organización concreta.
5. Ningún sistema es totalmente seguro. No importa la clave o los mecanismos de protección que se pongan, una organización con los suficientes recursos y falta de escrúpulos puede comprometer cualquier sistema. Dependerá, simplemente, de que la inversión realizada en conseguir acceso sea rentable frente a los beneficios de acceder al sistema. 
6. Acceder a información confidencial sin autorización es un delito. Compartir información confidencial de la compañía con personas ajenas a la organización es una falta disciplinaria (y podría ser también un delito). Destruir o manipular información de negocio de una compañía también puede ser una falta disciplinaria o delito.
7. Todos los dispositivos de una organización no son igual de sensibles (excepto si la organización sólo tiene un dispositivo). Aquellos cacharros que tengan acceso o contengan información muy valiosa son más sensibles que los que sólo contienen una cuenta de correo de un "mindundi". 
8. Todos los entornos de trabajo no son igual de seguros. WIFI es menos seguro que 3G. Una red WIFI pública y sin clave es menos segura que la red de casa (si tiene una clave WPA2 que no sea la que venía por defecto en el router de Telefónica). Una aplicación WEB accesible desde el portal público de la empresa es menos segura que una aplicación conectada con VPN a la red corporativa. Etc.
9. El usuario del dispositivo es responsable de su utilización. No sólo de seguir las directrices de uso de los dispositivos de la empresa, sino de aplicar las normas básicas del sentido común. 
10. Tan importante es evitar que un dispositivo se vea comprometido como saber actuar después del robo o la pérdida del mismo. Los dispositivos "BYOD" se pierden en cualquier momento, incluso fuera del horario laboral.

Y, claro, de cada concepto básico se deriva una recomendación (también básica):

1. Las empresas que usan BYOD deben definir, implantar y comunicar directrices y herramientas específicas para la gestión de los dispositivos de sus colaboradores (sean empleados, personal externo o cualquier otro tipo de relación que "sustituya" una relación laboral). 
2. En caso de pérdida, robo por descuido o robo intencionado del dispositivo es importante borrar o bloquear el acceso a la información contenida en el cacharro, mucho más importante que recuperar el "cacharro". Si hay que elegir entre una solución de localización (tracking) y una solución de borrado remoto (wipe) está claro que hay que optar por el borrado. 
3. No hay excusa para poner mecanismos de protección de acceso: contraseña, patrones, PIN, reconocimiento digital, etc. La robustez y complejidad de la protección dependerá del valor del dispositivo (de lo que contiene).
4. Siempre hay que valorar la posibilidad de recibir un ataque dirigido. Además de las pérdidas de información por descuido, hay que plantearse si la organización está preparada para un "ataque profesional" (de hackers contratados por la competencia o por motivaciones políticas).  
5. Hay que estar preparados (directrices, herramientas, procesos, etc) para cuando algún dispositivo sea comprometido por un ataque intencionado. Prepararse para un situación de crisis, tener claro cómo hay que denunciarlo, qué información hay que guardar para el previsible juicio, etc.
6. La seguridad de los dispositivos tiene implicaciones legales y organizativas. Cualquier actividad al respecto debe ser respaldada y revisada por los departamentos legales y de recursos humanos de la organización.
7. Hay que definir políticas de seguridad diferentes en función de la sensibilidad de cada caso. No es descabellado, por ejemplo, que el CFO no pueda usar un IPAD y sólo se le permita usar un portátil con lector de huella y disco cifrado, por ejemplo.
8. En LTE, previsiblemente, se podrá seleccionar las aplicaciones que van por la red móvil siempre -críticas, calidad garantizada- y las que pueden ir por WIFI -offload de tráfico menos crítico-. Mientras llega LTE, si se maneja información sensible y la organización se lo puede permitir, se puede plantear bloquear el acceso a redes WIFI desconocidas (o a todas las redes WIFI) para que los dispositivos más sensibles sólo se conecten por 3G.
9. Todos los empleados deben tener formación básica como usuarios de movilidad. Igual que ahora reciben formación sobre el uso del correo corporativo o las herramientas ofimáticas (ja). No es admisible que un usuario desactive la seguridad del dispositivo o instale software de procedencia dudosa. 
10. Los procedimientos, herramientas y recursos requeridos cuando se compromete un dispositivo deben estar disponibles 24x7 todos los días del año.

Comentario sobre la robustez de las contraseñas: la clave "1111" (o un patrón) es mucho más fácil de adivinar que "L@dlg98NFN!NmJmá". También es más fácil de teclear. Entre una y otra hay diferentes niveles de complejidad / seguridad entre los que habrá que elegir razonadamente. Si el dispositivo contiene información crítica no es descabellado obligar a su usuario a tener una contraseña robusta y un tiempo de bloqueo  corto (¿tres minutos?)