Escuela de Graduados
Trabajo Final Para Optar Por el Titulo de:
Maestría en Gerencia y Productividad
Análisis del fenómeno “Bring your own device” (BYOD)en Industrias Nacionales S.A.
Sustentante:
Nombre Matrícula
Carlos E. Vargas 2004-1676
Asesor (a):
Edda Freites Mejía, MBA
Santo Domingo, D. N.
Diciembre 2013
ii
RESUMEN
El presente trabajo fue realizado con la finalidad de analizar los riesgos delcreciente fenómeno Bring Your Own Device (BYOD) que Industrias NacionalesS.A. (INCA) quiere controlar utilizando como herramienta el método de análisisde riesgo mediante tabla que permite detectar las vulnerabilidades y el impactode una amenaza. Industrias Nacionales S.A. (INCA) podrá hacer así laevaluación y aplicación de los controles y políticas necesarias para evitar lainclusión de las amenazas presentadas y reducir el riesgo de fuga deinformación que puede afectar tanto a INCA como a los usuarios que utilizan lasredes corporativas de la empresa. Para realizar el análisis de riesgo seinvolucraron todos los aspectos que de una manera u otra están relacionadoscon el cambio y se identificaron las vulnerabilidades en cada área. Lametodología utilizada consistió en realizar un análisis conciso de los riesgos deBYOD. Mediante este análisis se identificaron la causa y el efecto del impacto ola ocurrencia de una amenaza en este creciente fenómeno. Con el análisis deriesgo la empresa busca determinar los mecanismos de seguridad que debe deimplementar para aprovechar el potencial que ofrecen los dispositivos móvilesinteligentes. Además de aumentar la productividad de sus empleados y obtenerel máximo partido de las aplicaciones corporativas y herramientas informáticas.
iii
ÍNDICE
RESUMEN ........................................................................................................... ii
INTRODUCCIÓN.................................................................................................. 1
CAPÍTULO I.BRING YOUR OWN DEVICE (BYOD)
1.1 Fenómeno BYOD ......................................................................................... 4
1.2 1.2 Movilidad: BYOD y dispositivos móviles ................................................. 8
1.3 La tecnología desde BYOD ........................................................................ 11
1.4 El impacto económico de BYOD ................................................................ 12
1.5 Preocupación por la privacidad .................................................................. 15
1.6 BYOD: Retos de una tendencia clave ........................................................ 17
1.7 Redes corporativas: Mas allá de lo esencial .............................................. 18
1.8 El desafío: Cambios en la gestión de infraestructura ................................ 20
1.9 Seguridad en tiempos de BYOD................................................................. 27
CAPÍTULO II.ANÁLISIS DE LA EMPRESA
2.1 Perfil de la empresa.................................................................................... 33
2.2 Misión ......................................................................................................... 34
2.3 Visión ......................................................................................................... 34
2.4 Valores de la empresa................................................................................ 34
2.5 Estructura de riesgo en la empresa ........................................................... 35
2.6 Alcance de BYOD....................................................................................... 37
CAPÍTULO III.ANÁLISIS DE RIESGO Y FINANCIERO
3.1 Proceso sistemático ................................................................................... 40
3.2 Amenazas en el fenómeno BYOD.............................................................. 41
iv
3.2.1 Inconvenientes de seguridad: malware móvil
y wardriving...................................................................................... 43
3.3 Gestión de riesgo ....................................................................................... 47
3.4 Métodos de análisis de riesgo .................................................................... 47
3.5 Matriz de riesgo .......................................................................................... 56
3.6 Análisis financiero ...................................................................................... 58
CONCLUSIÓN Y RECOMENDACIONES.......................................................... 61
BIBLIOGRAFÍA.................................................................................................. 63
ANEXOS
v
LISTA DE TABLAS
Tabla No. 1. Métodos de análisis de riesgo .................................................. 48
Tabla No 2. Matriz FODA ............................................................................. 50
Tabla No. 3. Estimación del riesgo primera parte.......................................... 53
Tabla No. 4. Estimación del riesgo segunda parte ........................................ 53
Tabla No. 5. Estimación del impacto ............................................................. 56
Tabla No. 6. Estimación de la probabilidad ................................................... 56
Tabla No. 7. Matriz de riesgo......................................................................... 57
Tabla No. 8 Análisis financiero ..................................................................... 59
vi
LISTA DE FIGURAS
Figura No. 1. El fenómeno BYOD en números................................................. 5
Figura No. 2. BYOD a nivel mundial ................................................................. 6
Figura No. 3. Cantidad de dinero propio que invierten empleados en
Tecnología .................................................................................. 7
Figura No. 4. Aplicaciones descargadas en el entorno laboral ........................ 9
Figura No. 5. Dispositivos móviles más utilizados .......................................... 10
Figura No. 6. El costo real de BYOD .............................................................. 13
Figura No. 7. 10 pasos para un proceso seguro de BYOD............................. 17
Figura No. 8. BYOD estimula la red móvil ...................................................... 21
Figura No. 9. La seguridad importa ................................................................ 22
Figura No. 10. BYOD – Riesgos en seguridad ................................................ 23
Figura No. 11. Porcentaje de empleados que utilizan BYOD ........................... 24
Figura No. 12. Relación empleados/tiempo en el uso de BYOD ...................... 25
Figura No. 13. Preocupaciones sobre BYOD ................................................... 28
Figura No. 14. Uso de los empleados sobre dispositivos móviles .................... 31
Figura No. 15. Riesgos internos del BYOD en una empresa ........................... 36
Figura No. 16. Riesgos externos del BYOD en una empresa........................... 37
Figura No. 17. Principal amenaza de BYOD .................................................... 42
Figura No. 18. Porcentaje de empresas que consideran la seguridad como
el principal desafío de BYOD .................................................... 46
1
INTRODUCCIÓN
El fenómeno de que los empleados de una empresa utilicen sus propios
dispositivos para cumplir con las tareas diarias del trabajo se ha consolidado en
los últimos años y hoy se conoce como la tendencia Bring Your Own Device
(BYOD). La gran dependencia que se ha desarrollado por la conectividad y el
acceso a la información en cualquier lugar y momento, combinado con cada vez
más livianos y portables dispositivos personales, ha dado un gran impulso a este
fenómeno.
Industrias Nacionales S.A. (INCA) busca asegurar como los usuarios
finales comienzan a transportar datos corporativos y personales sensibles en
torno a ellos, factor sumamente importante hoy en día para obtener un proceso
íntegro y confiable, además de garantizar la confidencialidad de la comunicación
entre ambos.
El fenómeno BYOD y la utilización de dispositivos móviles se están
extendiendo rápidamente en todo el mundo, tanto en los países desarrollados
como aquellos en vía de desarrollo. En los últimos años, la adopción de
dispositivos móviles ha experimentado un crecimiento explosivo que supera
ampliamente los índices de adopción de las PC en la década de los años 80, el
auge de la Internet en la década de los años 90 y el de las redes sociales en
años más recientes. Con el aumento de la masificación del consumo de los
dispositivos móviles, también se ha incrementado el uso de estos dispositivos en
el lugar de trabajo y como consecuencia estas nuevas tendencias traen
asociados riesgos para la seguridad de la información corporativa.
Este trabajo desde el punto de vista científico es sumamente importante
pues es la primera vez que en República Dominicana se enfoca la posibilidad de
utilizar la movilidad y Bring Your Own Device en los procesos de negocio.
2
El objetivo de estudio es dar a conocer la factibilidad de la adopción del
fenómeno Bring Your Own Device (BYOD) en cuanto a seguridad y riesgo que
este implica, así como hacer conciencia del uso de la tecnología móvil en un
ámbito nuevo para los usuarios en la República Dominicana.
El informe contiene tres capítulos, comenzado con el concepto del
fenómeno BYOD, la movilidad y dispositivos móviles, su impacto económico, la
preocupación por la privacidad y los riesgos y desafíos asociados. En el
segundo capítulo se desglosa la información sobre la empresa que va a adoptar
los controles y políticas para la utilización de dispositivos móviles, donde se
desglosa el perfil, misión, visión, valores y la estructura del riesgo y por ultimo en
el capítulo tres se expone el análisis de riesgo y dentro de este sus métodos,
gestión y desarrollo de la matriz de riesgo y análisis financiero de la adopción de
BYOD.
3
CAPÍTULO I.BRING YOUR OWN DEVICE (BYOD)
4
Capítulo I.Bring your own device (BYOD)
1.1 Fenómeno BYOD
El acrónimo BYOD, Bring Your Own Device (trae tu propio dispositivo)
proviene del más conocido BYOB, Bring Your Own Bottle, que algunos
restaurantes y locales empezaron a implantar en los años 70: permitían a los
clientes llevar su propia botella de vino, y les cobraban únicamente un “corking
fee” por descorcharla. Desde ahí, el acrónimo se hizo muy popular en la
organización de fiestas de todo tipo: acude a la fiesta, y llévate una botella de lo
que quieras beber, donde la “B” final se convierte muchas veces en Beer, Booze
o simplemente Beverage.
En entornos corporativos, el BYOD es conocido desde hace ya mucho
tiempo, y, de hecho, está empezando a generalizarse, para horror de muchos
administradores y departamentos de sistemas. Se calcula que en los Estados
Unidos, más de un 70% de las compañías dan soporte a programas de BYOD
de algún tipo.
La tendencia tiene, si lo pensamos, toda la lógica del mundo: hace algunos
años, los entornos corporativos iban claramente por delante de los entornos
personales. Lo normal era que una persona tuviese su primer contacto con un
computador cuando llegaba a su puesto de trabajo, y que su computadora
portátil, en el caso de tenerlo, o su teléfono móvil, fuesen materiales que le era
suministrado por su compañía.
5
Figura No.1.El fenómeno BYOD en números.
Fuente: www.vanwestmedia.com Traducción: Carlos Vargas.
Con el paso del tiempo y la evolución de la tecnología, este fenómeno se ha
invertido completamente: cada vez abundan más las personas para las que
utilizar el computador de su trabajo supone evocar el pasado: herramientas
desactualizadas, metodologías arcaicas e ineficientes, limitaciones de todo tipo
debidas a rígidos protocolos de seguridad, etc. Con la llegada de las primeras
generaciones de nativos digitales al entorno corporativo, el contraste crece
todavía más, y se hace progresivamente más difícil de gestionar: pedir a los
empleados que se hagan un downgrade1 tecnológico cuando llegan a su trabajo
no parece una estrategia demasiado sostenible.
1 Downgrade es el proceso por el que se hace retornar el software de un dispositivo a unaversión anterior.
6
Figura No. 2.BYOD a nivel mundial.
Fuente: Ryan Faas: www.cultofmac.com Traducción: Carlos Vargas.
En muchas empresas, la práctica comenzó como el capricho de algún
directivo: personas que jerárquicamente podían permitírselo, y que aparecían
con sus dispositivos obtenidos por su cuenta, que pretendían incorporar a sus
herramientas de trabajo. Resultaba difícil saber cuándo era realmente un
“capricho”, una especie de “símbolo de estatus”, un “porque puedo”, o cuando de
verdad el usuario obtenía un plus de funcionalidad, pero el escalafón se convirtió
en la puerta por la que empezaron la mayoría de las excepciones. En otros
muchos casos, los “rebeldes” que pretendían utilizar sus dispositivos se
encontraron con un “no puede ser y además es imposible”, y optaron por formas
de lucha más o menos militantes, o por resignarse y acostumbrarse a llevar dos
7
dispositivos encima. Pero con la creciente popularización de la informática de
consumo o la consumerización de la tecnología, la marea se ha vuelto ya
prácticamente imposible de parar. Muchos sitúan el punto de inflexión en la
llegada del iPhone en el año 2007. Legiones de empleados acuden armados de
todo tipo de dispositivos, dispuestos a asaltar el feudo de lo que una vez había
sido un entorno totalmente controlado.
Del reconocimiento de excepciones, en muchos casos, se pasó a la
aceptación: a marcar políticas de gasto aceptable en dispositivos, e incluso
sistemas mixtos que permiten al empleado recibir una asignación que puede
completar por su cuenta si desea un dispositivo diferente.
Figura No. 3
Cantidad de dinero propio que invierten empleados en tecnología.
Fuente: Forrsights Workforce Employee Survey (2012). Traducción: Carlos Vargas.
8
1.2 Movilidad: BYOD y dispositivos móviles
La consumerización2 ha difuminado los límites entre la vida profesional y la
personal, especialmente cuando se trata de dispositivos móviles. Los ejecutivos
y la próxima generación de trabajadores especializados compran smartphones3
y tabletas4 para su uso personal y no entienden por qué razón no pueden
utilizarlos también para trabajar. Después de todo en el entorno de los negocios,
trabajar es algo que haces, no un lugar al que acudes, y por lo tanto puede
hacerse en cualquier lugar, en cualquier momento del día o de la noche. La
atención se centra en la productividad, no en nociones abstractas de la
propiedad o estándares de TI.
El fenómeno de la movilidad es verdaderamente uno de los impulsores de la
tecnología en la actualidad. Hasta hace pocos años, la conexión inalámbrica era
tan solo una cómoda opción para ofrecer conectividad en salas de conferencias
y en campus universitarios para aquellos estudiantes que quisieran redactar sus
trabajos fuera del edificio.
Con la llegada de todo tipo de dispositivos inalámbricos, el requisito de la
movilidad y la conexión inalámbrica en movimiento, así como la ausencia de
puertos ethernet5 físicos en estos dispositivos, ha provocado que la conexión
inalámbrica haya pasado de ser una simple comodidad a convertirse en la
auténtica capa primaria de acceso para la conectividad de redes. Ahora, los
usuarios no conectan únicamente los computadores que les proporciona la
empresa, sino también toda una variedad de dispositivos personales y de la
2 Consumerización corresponde a un nuevo concepto agrupa a empleados que utilizan lasnuevas tecnologías en su empleo y vida diaria.3 Un teléfono inteligente (smartphone en inglés) es un teléfono móvil construido sobre unaplataforma informática móvil, con una mayor capacidad de almacenar datos y realizar actividadessemejantes a una minicomputadora y conectividad que un teléfono móvil convencional.4 Una tableta es una computadora portátil de mayor tamaño que un teléfono inteligente o unaPDA, integrado en una pantalla táctil (sencilla o multitáctil) con la que se interactúaprimariamente con los dedos o un estilete (pasivo o activo), sin necesidad de teclado físico niratón.5 Ethernet es un estándar de redes de área local para computadores con acceso al medio porcontienda (CSMA/CD).
9
empresa que son los verdaderos responsables de que el trabajo pase de ser un
lugar al que vamos cada día, para convertirse en una tarea que se puede hacer
en cualquier momento, lugar y desde cualquier dispositivo.
Figura No. 4Aplicaciones descargadas en el entorno laboral
Fuente: www.google.com. Traducción: Carlos Vargas.
De hecho, “El 67 por ciento de las personas que usan un smartphone para
el trabajo y el 70 por ciento de los que utilizan una tablet para el trabajo, eligen
ellos mismos el dispositivo, y no necesariamente pensando en si su empresa le
apoyará” señala Forrester Research en su encuesta Forrsights de Empleados,
Q2 año 2012. Se sienten cómodos utilizando los dispositivos en múltiples
10
contextos, y la distancia entre el uso personal y el reconocimiento de su
potencial para realizar el trabajo es insignificante. A esto se suma que para poder
acceder a la información corporativa desde sus dispositivos personales, los empleados
utilizan en su mayoría las redes WiFi6 que tiene la empresa. Además, el hecho de
manipular este tipo de información permite que sea almacenada en los dispositivos
personales, y en general no se tienen en cuenta las precauciones necesarias para
eliminarla.
Figura No. 5Dispositivos más utilizados.
Fuente: www.google.com. Traducción: Carlos Vargas.
Finalmente, al ser un dispositivo personal no suele contar con controles
como el cifrado de la información, una medida de seguridad que puede llegar a
6 WiFi es un mecanismo de conexión de dispositivos electrónicos de forma inalámbrica. Losdispositivos habilitados con WiFi, tales como: un ordenador personal, una consola devideojuegos, un smartphone o un reproductor de audio digital, pueden conectarse a Internet através de un punto de acceso de red inalámbrica.
11
evitar que caiga en manos incorrectas si el dispositivo se extravía o es robado.
Al brindar a los empleados mayor movilidad y la posibilidad de trabajar desde
cualquier dispositivo, en cualquier momento y en cualquier lugar, las normas de
BYOD ayudan a las organizaciones a ofrecer un entorno laboral más productivo,
eficiente y satisfactorio. Pero a medida que aumenta la cantidad de usuarios
finales que comienzan a utilizar sus tabletas, teléfonos inteligentes y otros
dispositivos en el trabajo y en la carretera, las empresas están vuelven a evaluar
la dependencia que tienen actualmente en la estructura de tecnología
establecida. Debido a esta proliferación de dispositivos móviles, asegurar los
datos corporativos y dar sustento a la disposición de herramientas y plataformas
han impuesto demasiada presión sobre los recursos de los departamentos de TI
con personal insuficiente, sin mencionar las presiones relacionadas con la
administración de equipos de escritorio tradicionales.
1.3 La tecnología desde BYOD
Las nuevas tecnologías de la información han contribuido a que el tiempo
sea más comprimido, esto es, a menor tiempo realizar más actividades.
Industrias Nacionales puede dotar a los colaboradores de teléfonos inteligentes
o tabletas de manera tal que puedan enviar y recibir correos electrónicos y tener
acceso a la red corporativa 7para utilizar los diferentes servicios y aplicaciones.
Obviamente esto conlleva el problema de que los periodos de descanso de
los colaboradores podrían verse afectados por periodos de trabajos, lo que
conduce a fortalecer el trabajo-centrismo, desde esta perspectiva BYOD tiene
que habilitar cambios culturales en las organizaciones. La movilidad implica
cambiar la forma de trabajar de las empresas y cambios profundos en los
procesos. BYOD puede ser un facilitador para que las empresas se conviertan
en cien por cien móviles
7 La red corporativa permite conectar todos los equipos y localizaciones de la empresa de unaforma permanente y privada entre sí.
12
Esto no es algo malo, por supuesto, cualquier empresa querría que sus
empleados pensaran en qué diferentes maneras podrían ser más productivos y
eficaces. De acuerdo con Forrester Research (2012), dos tercios de las tabletas
en 2016 se venderán a los particulares, muchos de los cuales los llevarán al
trabajo.
1.4 El impacto económico de BYOD
La fuerza de trabajo está volviéndose cada vez más móvil, esta tendencia
está impulsada por los llamados trabajadores del conocimiento8 que tienen
motivaciones importantes para adoptar tecnología y estilos de trabajo que les
permitan ser más productivos. De acuerdo con un estudio realizado en marzo de
2013 por el área de Servicios de Consultoría de Cisco sobre las últimas
tendencias de la fuerza de trabajo móvil, Los trabajadores del conocimiento en
varios países del mundo están adoptando de manera acelerada los dispositivos
móviles. Esta adopción ha alimentado el crecimiento del fenómeno BYOD el cual
potencializa los posibles ahorros y aumentos de productividad que la movilidad
trae consigo pero también sus retos y se prevé que este fenómeno se
complemente con otra tendencia conocida como BYOA9 en la cual los usuarios
buscarán no solo utilizar el dispositivo de su preferencia sino también las
aplicaciones que juzguen adecuadas con o sin la intervención del departamento
de TI de la organización.
Según Cristina Rosa, responsable de soluciones de movilidad de SAP, la
práctica BYOD “tiene la ventaja para el usuario de que es él quien elige el
dispositivo con el que quiere trabajar, mientras que la empresa se ahorra los
8 Se denomina trabajador del conocimiento a aquellos trabajadores cuyo principal capital es elconocimiento. Algunos ejemplos incluyen los ingenieros de software, arquitectos, ingenieros ycientíficos.9 Bring Your Own Application (BYOA) Es una forma de acceder a la información que vienedeterminada por varios factores, uno de los principales es la constante y rápida evolución de lastecnologías en los terminales móviles y la aparición de productos como las Tablet que permitenun acceso a Internet y servicios como el correo, lectura o edición de documentos de manera muycómoda.
13
costos que supondría proveer a todos los empleados de dispositivos móviles
corporativos” y María Ramírez, pre-sales engineer de Trend Micro está de
acuerdo con la última afirmación y añade que “se están empezando a realizar
estudios de este tipo ya que se ha apreciado una reducción de costes en las
empresas a causa del fenómeno BYOD. Esto, a medio y largo plazo puede
suponer que los fabricantes de smartphones, tablets y dispositivos móviles en
general, noten un descenso de sus ganancias con respecto a años anteriores al
surgimiento del BYOD”.
Figura No. 6El costo real de BYOD.
Fuente: Cisco, 2013. Traducción: Carlos Vargas.
14
Por otro lado, David Noguer, responsable de marketing para operadores en
Juniper Networks EMEA lo ve desde otro punto de vista y argumenta que “la
realidad es que BYOD va más allá de que el empleado lleve su propio
dispositivo. En realidad, en muchos casos lo que ocurre es que las empresas
ofrecen un mayor número de opciones a los empleados pero manteniendo la
propiedad del equipo, por lo tanto el impacto económico puede ser diferente al
esperado ya que se ve compensado por empresas invirtiendo en equipos más
costosos”.
José Tormo, director general de Aruba Networks en España, está de
acuerdo con Noguer y añade que “BYOD supone mejoras importantes para las
empresas, que implican un incremento de la productividad de los empleados, y
un ahorro en infraestructuras de red” y cree que, en muchos casos, estos
ahorros pueden costear las inversiones en infraestructura Wifi. Finalmente,
Ignacio Garicano, director de preventa de tecnología de Fujitsu, es de la opinión
de que no se reducirá el gasto empresarial el nuevo material y argumenta que “a
corto o medio plazo, los trabajadores no están cerca de abandonar sus
ordenadores portátiles o de sobremesa y sustituirlos por toda una nueva
generación de dispositivos, sino que se complementan y las diferentes
soluciones en movilidad conviven en el día a día de las empresas”.
El impacto económico de BYOD puede verse claramente en las inversiones
pues las mismas cambian con frecuencia los objetivos en el plazo de horas,
minutos o, incluso, segundos. Al capital no le está permitido estancarse en
almacenes o en personal superfluo: tiene que estar disponible para una rápida
inversión en innovación tecnológica o en objetivos constantemente permutables
en el seno de los mercados financieros. Actualmente, la compresión del tiempo
ha llegado hasta tal punto que la competición tecnológica y económica consiste
en prometer que el futuro llegará al consumidor más rápido que con los servicios
del competidor. Las nuevas invenciones tecnológicas son comercializadas con la
pretensión de traernos el futuro ahora. Al mismo tiempo, dentro del ámbito
15
económico nadie se contenta ya con enriquecerse aguardando el futuro, razón
por la cual las compañías de Internet consiguen dividendos asombrosos de
forma tan fulgurante, mucho antes de la realización de sus expectativas de
futuro.
En el caso de la empresa objeto de esta investigación, la cual se
desenvuelve en un ambiente altamente competitivo, resultaría interesante que
pueda contar con la flexibilidad de desarrollar proyecto y poder adquirir
tecnología de gestión de BYOD. Una de las debilidades de Industrias Nacionales
es que no cuenta con recursos tecnológicos calificados en los diferentes
aspectos de gestión de BYOD para controlar y gestionar la creciente ola de
dispositivos móviles con la que consta en la actualidad. Sin embargo, no cuenta
con la flexibilidad para contratar personas externas a la organización para
desarrollar proyectos particulares.
1.5 Preocupación por la privacidad
A pesar de que BYOD está creciendo, muchas empresas siguen temiendo
por su privacidad. Gartner (2013) ha realizado una encuesta a 938 empresas de
todo el mundo con más de 500 empleados y ha concluido que “El 90% de las
empresas ya tienen empleados que utilizan sus smartphones personales en el
entorno de trabajo y que el 86% espera que durante este año muchos de sus
trabajadores usen sus tabletas personales en la oficina”. Aunque esta
metodología de trabajo trae aportes tangibles a la institución, es necesario tomar
en cuenta los riegos colaterales que la acompañan. De acuerdo con un estudio
realizado por Rapid7 (2009), El hecho de permitir que los empleados utilicen sus
dispositivos para acceder la información de la empresa trae consigo un nivel de
riesgo mayor sobre la misma “El 40% de las empresas que permiten el BOYD no
manejan el riesgo asociado con esta decisión. Solo el 27% de los usuarios sabe
16
cuáles son los riesgos10 asociados al software de sus dispositivos. El 38% de los
usuarios saben o implementan claves de acceso para acceder sus dispositivos.
El 72% del software de los dispositivos no está actualizado.
La razón de principal preocupación es que el tráfico que generan los
aparatos, está fuera del control de los administradores de sistemas y/o de
seguridad, lo que puede dar paso a la fuga de cualquier información.
De igual manera, las correcciones de las vulnerabilidades11 que tengan los
sistemas operativos de los equipos, la actualización de los mismos y la
instalación de aplicaciones de terceros, recaen directamente sobre el propietario
del aparato, no sobre el departamento informático. Un mal manejo en cualquiera
de estos puntos puede provocar pérdidas o robo de la información con la que el
empleado este trabajando.
10 Riesgo es la vulnerabilidad ante esto un posible potencial de perjuicio o daño para lasunidades o personas, organizaciones o entidades. Cuanto mayor es la vulnerabilidad mayor es elriesgo, pero cuanto más factible es el perjuicio o daño, mayor es el peligro. Por tanto, el riesgo serefiere sólo a la teórica "posibilidad de daño" bajo determinadas circunstancias, mientras que elpeligro se refiere sólo a la teórica "probabilidad de daño" bajo esas circunstancias.11 Vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violarla confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o desus datos y aplicaciones.
17
Figura No. 7.10 pasos para un proceso seguro de BYOD.
Fuente: Bradford Networks. Traducción: Carlos Vargas.
1.6 BYOD: Retos de una tendencia clave
De acuerdo con Extreme Networks, compañía de Ethernet Switching de alto
rendimiento para centros de datos, redes móviles y soluciones en la Nube, Bring
Your Own Device (BYOD) es una tendencia que continuará al alza, ya que el
número de usuarios de Internet que se conectan principalmente desde sus
centros de trabajo utilizando dispositivos móviles personales, seguirá
18
incrementando en los siguientes tres años. En ese sentido esta tendencia
tecnológica implicará para los gerentes de TI en empresas, corporativos y
gobierno, un reto enorme en términos de capacidad, el cual demandará sistemas
con tiempos de respuesta menores y precisos, con la finalidad de cubrir la
necesidad en el tráfico de datos que cada usuario requiera.
BYOD responde entonces a una mayor inclinación a acceder a información
personal como laboral desde tabletas, smartphones o laptops. El reto reside en
fortalecer la estructura de una red para que cualquier organización tenga la
capacidad suficiente de proveer a sus miembros un acceso y conexión estable a
aplicaciones tanto corporativas como personales, sin dejar de lado la seguridad
informática que esto implica.
Para Latinoamérica, y de acuerdo con el IDC Latin America Predictions
(2013), aproximadamente una tercera parte de los trabajadores en la región
usan un teléfono móvil o smartphone para fines de negocios, y dos de cada tres
empresas movilizan a más del 10% de sus empleados con smartphones o
tabletas. Según IDC, en 2013 más de la mitad de los trabajadores usarán un
dispositivo móvil con fines de negocios.
1.7 Redes corporativas: Mas allá de lo esencial
Las necesidades de rendimiento y seguridad de las redes corporativas a
evolucionado enormemente, impulsadas por las cambiantes exigencias de los
negocios, los diversos patrones de trabajo y la continua llegada a las empresas
de nuevas tecnologías y aplicaciones, como las aplicaciones de medios sociales,
los teléfonos inteligentes, los tablets y la Web 2.012. En este entorno, la red es
12 Web 2.0 es un concepto que se acuñó en 2003 y que se refiere al fenómeno social surgido apartir del desarrollo de diversas aplicaciones en Internet. El término establece una distinciónentre la primera época de la Web (donde el usuario era básicamente un sujeto pasivo que recibíala información o la publicaba, sin que existieran demasiadas posibilidades para que se generara
19
una herramienta de negocio estratégica que las empresas utilizan para
conseguir una ventaja competitiva importante. Sin embargo, al mismo tiempo, el
nuevo protagonismo de la red plantea ciertos retos de gestión, riesgo y
seguridad.
Como ya sucedió con las redes de telefonía móvil hace dos décadas, el
acceso sencillo a las redes corporativas ha pasado de ser una ventaja
agradable, aunque no esencial, para unos pocos privilegiados, a un derecho
exigido y utilizado por la mayoría de los empleados de las empresas,
independientemente de dónde y desde qué equipo elijan trabajar. Para los
administradores de TI, aprovechar todas las ventajas de negocio que ofrece esta
nueva tendencia tales como decisiones más rápidas y acertadas o mayor
productividad de los empleados supone un reto constante. Se trata de un reto
complejo caracterizado por los compromisos y los conflictos.
Si bien la búsqueda de la ventaja competitiva continúa siendo importante,
las redes corporativas de hoy en día deben cumplir otro objetivo más
fundamental: la ventaja competitiva y el crecimiento. Mientras tanto, las
consideraciones sobre la seguridad de red siguen cobrando importancia. Antes,
casi toda la información y las aplicaciones corporativas se hallaban en una red
centralizada con acceso seguro controlado mediante un enfoque basado en un
modelo de "fortaleza", es decir, el equivalente tecnológico a un perímetro
amurallado.
Caracterizado por su dinamismo, el perímetro actual es muy diferente al de
antes. En él, las aplicaciones y los datos son independientes de los dispositivos,
la información fluye de forma segura más allá de los límites de la red
convencional, y no se distingue entre los usuarios internos y los remotos. En la
nueva empresa actual, la seguridad de los datos plantea los siguientes retos:
la interacción) y la revolución que supuso el auge de los blogs, las redes sociales y otrasherramientas relacionadas.
20
Gestionar, controlar y proteger el acceso a grandes volúmenes de datos
corporativos sensibles y descentralizados que se mueven a gran
velocidad: cuanto mayor es la organización, mayor es también el reto.
Definir y lograr un equilibrio adecuado entre seguridad y velocidad a
través de la optimización.
Asegurarse de que tanto las unidades de negocio como todos los
proveedores y partners de negocio cumplen las normas corporativas o
industriales.
Mitigación de amenazas, procedentes del malware de unos criminales
cada vez más organizados y sofisticados.
Hacer frente a la consumerización de las TI y a las iniciativas BYOD
(Bring Your Own Device)
1.8 El desafío: Cambios en la gestión de infraestructura
A raíz de los nuevos usos para los dispositivos personales (vinculados con
información corporativa), se plantean también nuevos retos para departamentos
de TI en cuanto al manejo de sus recursos para garantizar la seguridad de los
datos de la empresa.
21
Figura No. 8.BYOD estimula la red móvil.
Fuente: www.vanwestmedia.com Traducción: Carlos Vargas.
Estas nuevas formas de manejar la información implican que las
organizaciones deban prestar mucha más atención a la forma en que los
usuarios se conectan a las redes de la empresa para manipular la información, y
se preocupen cada vez menos por la infraestructura física.
22
Figura No. 9.La seguridad importa
Fuente: Orange Bussiness. Traducción: Carlos Vargas.
Las organizaciones dedican una inversión muy grande en proporcionar
infraestructura tecnológica13 a sus empleados. Esta infraestructura típicamente
actúa como plataforma cliente para acceder a servidores y software14 corporativo
y, por tanto, BYOD es un paradigma que propone un enfoque totalmente distinto:
que los empleados usen la infraestructura cliente que prefieran porque la
empresa no se responsabilizará de ella.
13 Infraestructura tecnológica es el conjunto de hardware y software sobre el que se asientan losdiferentes servicios que la Universidad necesita tener en funcionamiento para poder llevar a cabotoda su actividad, tanto docente como de investigación o de gestión interna.14 Se conoce como software1 al equipamiento lógico o soporte lógico de un sistema informático,que comprende el conjunto de los componentes lógicos necesarios que hacen posible larealización de tareas específicas.
23
Figura No. 10BYOD – Riesgos en Seguridad
Fuente: Orange Bussiness. Traducción: Carlos Vargas.
Es importante tener presente que no se trata de que la empresa transfiera el
coste del hardware15 al empleado. La empresa se desentiende del hardware y el
software del dispositivo a cambio de ofrecer software corporativo totalmente
“hetéreo”. Es decir, sin ningún tipo de requerimiento local más que un navegador
web o una app para dispositivos móviles (por ejemplo para tu iPad16).
No obstante, se generan nuevos riesgos que se deben gestionar
adecuadamente para garantizar la seguridad de la información, con el objetivo
de proveer mejores y más altos niveles de rendimiento y un control más preciso
para los diferentes tipos de dispositivos que se podrían.
15 El término hardware se refiere a todas las partes tangibles de un sistema informático; suscomponentes son: eléctricos, electrónicos, electromecánicos y mecánicos.1 Son cables,gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado.16 El iPad es una línea de tabletas diseñadas y comercializadas por Apple Inc. La primerageneración fue anunciada el día 27 de enero de 2010. Se sitúa en una categoría entre un"teléfono inteligente" (smartphone) y una computadora portátil, enfocado más al acceso que a lacreación de aplicaciones y temas.
24
Según Carlos Laita, Senior Director Consumer & Retail, Iberia de
Blackberry, La incursión de smartphones, al margen de las necesidades
específicas de trabajo, es una cuestión que afecta de lleno a negocio. Nos
encontramos en las empresas que cuando un empleado solicita acceder a los
datos desde su dispositivo puede tener dificultades, pero cuando lo solicita el
consejero delegado obtiene el acceso, muchas veces al margen de políticas de
seguridad. Y es que la movilidad es una necesidad que fuerza de alguna forma
al departamento de IT, siempre más propenso a la estabilidad y el control, a
hacer cambios tecnológicos. Lo que le está ocurriendo ahora es que los
responsables de sistemas tienen un parque de dispositivos administrado, donde
aplica unas políticas de seguridad sólidas y un parque no administrado que está
creciendo por encima del administrado y que está fuera de control.
Figura No. 11.Porcentaje empleados que utilizan BYOD.
Fuente: Cisco IBSG, 2013. Traducción: Carlos Vargas.
25
Ese es el momento de recurrir a soluciones que le permitan, con simplicidad
y comodidad, poder incorporar ese concepto de BYOD, porque la demanda ya
existe. Lo que necesitamos es poder transmitir este concepto de forma
comprensible.
Figura No. 12.
Relación empleados/tiempo en el uso de BYOD.
Fuente: Cisco IBSG, 2013. Traducción: Carlos Vargas.
Según Carlos Becker, Director de Marketing de Productos de la Unidad de
Negocio de Empresas de Vodafone España, El BYOD ha existido desde hace
mucho tiempo en muchas compañías en las que los trabajadores utilizaban sus
propios terminales. Desde el punto de vista del operador, el interés está en cómo
estandarizas la solución para ofrecerle a la empresa la capacidad de controlar su
información en un entorno en el que actualmente muchas compañías no lo
tienen controlado. Y este servicio tiene tres facetas: la primera es la protección
del terminal en la esfera personal del trabajador, la segunda facilitar que la
26
empresa sea capaz de gestionar la información profesional de forma segura y la
tercera está referida a la facturación, para ordenar exactamente quién paga qué.
En este último aspecto no hay todavía un modelo claro por parte de las
empresas y se está trabajando en cuál es el modelo de negocio en el cual el
empleado pague una parte de las comunicaciones y la empresa pague otra.
BYOD presenta las siguientes características específicas para una correcta
gestión de la infraestructura de TI:
Soportar la convergencia17 en una sola red: Desde el punto de vista de la
infraestructura de red, los administradores tienen el reto de sostener la
convergencia en una sola red, del tráfico de la red corporativa con la
carga adicional de los usuarios participando en los programas de BYOD.
Y es que no todos los empleados que pudieran participar de esta
estrategia tienen el mismo perfil ni las mismas necesidades cuando
ingresan a los recursos de la red corporativa.
Tener agilidad en la red: La red empresarial debe tener la capacidad y la
flexibilidad para soportar este nuevo cambio y abrazar un nuevo
paradigma. No debe haber impacto en la operación normal de los
servicios informáticos del corporativo, así como tampoco en la experiencia
de los usuarios de BYOD y el resto de los usuarios, al momento en el que
se esté accediendo a la misma red.
Usar switches inteligentes18: Contar con una infraestructura de red
constituida con switches de datos que tengan la inteligencia suficiente
para reconocer el tipo de usuarios, el tipo de dispositivos que acceden a
17 La convergencia tecnológica es la tendencia de diferentes sistemas tecnológicos en laevolución hacia la realización de tareas similares. Convergencia puede hacer referencia atecnologías previamente separadas como la voz (telefonía), datos (y aplicaciones deproductividad) y vídeo que ahora comparten recursos e interactúan entre sí sinérgicamente,creando nuevas posibilidades.18 Switch inteligente es un dispositivo digital lógico de interconexión de redes de computadorasque opera en la capa de enlace de datos del modelo OSI. Su función es interconectar dos o mássegmentos de red con la posibilidad de gestión de los recursos de red.
27
ésta y diferenciar sus roles para darles acceso a las aplicaciones que
requieren para operar, minimizar el impacto y facilitar la migración.
Frente a estos retos se hace necesario un diferenciador que provea
herramientas precisas frente a retos de convergencia e incremento en las tasas
de transferencia de datos. “Con estas capacidades, la red ‘reacciona’ ante
cualquier evento de acceso y desconexión de usuarios y dispositivos, evitando
así una sobrecarga en el proceso de administración de la red y sus recursos,
convirtiéndose en una herramienta poderosa para los IT managers. Estas
mismas capacidades pueden ser utilizadas incluso en ambientes virtualizados19,
tanto para servidores20 en los centros de datos 21 como en la virtualización de
sesiones remotas de trabajo para los usuarios bajo esquemas BYOD”, comentó
Francisco Villareal, director de Ingeniería regional de Extreme Networks.
La meta a lograr, es que ante la implantación de esquemas de BYOD, se
dote a los administradores de TI mayor capacidad de reacción ante cambios en
la red, donde la inteligencia esté en puntos de acceso para trasladarla del
modelo estático tradicional a innovadores, dinámicos y proactivos.
1.9 Seguridad en tiempos de BYOD
El aumento sostenido de dispositivos móviles personales y sus aplicaciones
que se mezclan con la red corporativa está obligando a los expertos en TI a
diseñar nuevas estrategias para resolver problemas de seguridad.
19 Ambientes virtualizados son la creación -a través de software- de una versión virtual de algúnrecurso tecnológico, como puede ser una plataforma de hardware, un sistema operativo, undispositivo de almacenamiento u otros recursos de red.20 Un servidor es un equipo informático que forma parte de una red y provee servicios a otrosequipos cliente. Se denomina servidor dedicado, aquel que dedica todos sus recursos a atendersolicitudes de los equipos cliente. Sin embargo un servidor compartido es aquel que no dedicatodos sus recursos a servir las peticiones de los clientes, sino que también es utilizado por unusuario para trabajar de forma local.21 Se denomina centro de datos a aquella ubicación donde se concentran los recursosnecesarios para el procesamiento de la información de una organización.
28
La mayoría de las empresas están preocupadas por la seguridad de la
información confidencial que almacenan los dispositivos móviles, ya que la mitad
de estos dispositivos albergan datos sensibles y su uso en la red corporativa
está afectando el correcto funcionamiento de sus propias aplicaciones.
Figura No. 13.Preocupaciones sobre BYOD.
Fuente: www.bt.es y Cisco.
Según Christian Hisas, Business Development Manager, Logicalis Southern
Cone, En la actualidad, las instituciones se enfrentan a una serie de
problemáticas relacionadas con la confianza y responsabilidad. En este sentido,
resulta fundamental la implementación de un programa para que los empleados
puedan llevar sus propios dispositivos.
29
Según Dimension Data, el aumento sostenido de dispositivos personales
y sus aplicaciones que se mezclan con la red corporativa está obligando a los
expertos en TI a diseñar nuevas estrategias para resolver problemas de
seguridad. Una de ellas es realizar auditorías específicas para monitorear como
estos nuevos elementos afectan a la red.
La nueva tendencia denominada “Bring Your Own Device” (BYOD) resulta
uno de los desafíos más importantes que las empresas y los consumidores de TI
deben afrontar. Así, la adopción de tecnologías en el ámbito corporativo ahora
está impulsada por las preferencias del usuario y ya no por una iniciativa
empresarial.
Si bien muchas organizaciones perciben a esta tendencia como una posible
manera de reducir los costos, también un programa de Bring Your Own Device
bien diseñado aumenta la satisfacción del empleado y acelera la tasa de
adopción de tecnología en la empresa. Sin embargo, BYOD para las empresas
implica más que el traslado de la propiedad del dispositivo hacia el empleado,
pudiendo tener complejas consecuencias. En este sentido, resulta fundamental
definir la estrategia antes de su implementación.
Mateo Gyde, Group General Manager for Security Solutions de Dimension
Data, advierte que “los dispositivos desconocidos aumentan significativamente la
posibilidad de vulnerar los sistemas de seguridad. Por eso es vital que las
organizaciones sean capaces de identificar estos dispositivos móviles y las
aplicaciones a las que pueden acceder a través de estos dispositivos”. Además,
reconoce que uno de los beneficios clave de saber qué dispositivos móviles
están en la red de la empresa es la capacidad de supervisar la adopción del
usuario de las aplicaciones empresariales móviles.
Según Acronis, Empresa dedicada al manejo y protección de datos y
recuperación de desastres, Más del 60% de las empresas que han incorporado
30
el BYOD entre los empleados de su negocio, aún no tienen una política
específica que lo regule. La investigación confirma que casi el 80% de las
organizaciones no han educado todavía a sus empleados sobre el BYOD. "El
hecho de que el 80 por ciento de las compañías entrevistadas no hayan
capacitado a su personal sobre las prácticas BYOD, muestra que todavía nos
encontramos en las primeras etapas de este movimiento", ha asegurado Anders
Logfre, director de soluciones de movilidad en Wobum. "Durante años hemos
hablado del BYOD, pero actualmente se ha convertido en una tendencia tan
omnipresente en los lugares de trabajo que ninguna empresa puede permitirse
el lujo de cerrar los ojos ante ella”.
Ojas Rege, vicepresidente de la estrategia móvil de MobileIron, socio de
Acronis especializado en gestión de dispositivos móviles y seguridad para las
grandes empresas, Asegura que este estudio servirá como un detonante para
que las organizaciones comiencen a preocuparse sobre la incorporación o la
mejora de sus estrategias BYOD. “Aún se necesita tiempo para que las
organizaciones se pongan al día con esta tendencia, y empiecen a pensar en
implementar sus políticas BYOD por obligaciones legales”, afirma Rege.
"Con el fin de conseguir una transición exitosa hacia la era BYOD, sin riesgo
de fugas o daños en los datos, estas empresas deben tomar medidas más
proactivas para integrar herramientas de gestión BYOD a nivel empresarial, que
además sean fáciles de usar para que los empleados no se sientan frustrados
por este movimiento”, añade Logfren.
Sólo el 31 por ciento de las empresas están exigiendo contraseñas para los
dispositivos de propiedad privada, y sólo el 21 por ciento de las empresas
realizan controles de estos dispositivos cuando los empleados abandonan la
empresa. Según Logfren, esto significa que los datos de las empresas son cada
vez más sensibles a algunos riesgos como el robo o la piratería.
31
Figura No. 14.Uso de los empleados sobre dispositivos móviles
Fuente: www.bt.es y Cisco. Traducción: Carlos Vargas.
Estos son los problemas que aparecen al llevar los dispositivos móviles
personales al trabajo. Los esfuerzos por permitir que los usuarios lleven al
trabajo sus propios dispositivos para mejorar la productividad y la movilidad se
contrarrestan con la preocupación de que los dispositivos no sean seguros, que
los empleados se distraigan con las aplicaciones en lugar de usar el dispositivo
para trabajar y, sobre todo, con una abrumadora sobrecarga de la limitada
plantilla informática para dar soporte técnico y solucionar los problemas de estos
dispositivos no administrados.
32
CAPITULO II.ANÁLISIS DE LA EMPRESA
33
Capítulo II.Análisis de la Empresa
2.1 Perfil de la empresa
Industrias Nacionales S.A. surge en el año 1947 cuando los Sres. José
(PEPE) García y Salustino Martino Cobián fundan la "FABRICA DE CLAVOS"
ubicada en sus inicios en la calle San Martín. En el momento de la apertura la
empresa solo producía clavos y por exigencias de la competencia de parte del
gobierno del General Trujillo, Don Luis García presidente de la compañía
introduce nuevos productos como: malla ciclónica y rejas de hierro para casas.
En 1974 con la llegada del Ing. Francisco García se da inicio a un proceso
de innovación, ampliación e integración vertical dentro de la empresa. La misma
se traslada hacia las nuevas instalaciones de la Zona Industrial La Isabela y se
introduce el proceso de reducción de alambrón para la fabricación de alambre
(TREFILADO), el galvanizado y los alambres lisos y de púas. Para el año de
1978 se amplía la gama de productos pertenecientes a la familia de
INDUSTRIAS NACIONALES con las soldaduras de arco eléctrico y tuberías de
PVC.
Para el año 1982-1983 se inicia la producción de Perfiles de Acero en toda
su variedad: redondos, rectangulares y cuadrados, así como la extensión de
mangueras de jardín (1985). Hacia 1988 empieza la producción de las planchas
Galvanizadas o de Zinc y las láminas de acero (tolas). En 1993 la empresa se
introduce a la inyección de piezas plásticas, la producción de mallas
electrosoldadas y a la fabricación, enderezados y corte de varillas.
En 1994 se incrementa el diámetro de las tuberías producidas hasta 12
pulgadas y en 1999 se incrementa el diámetro de las tuberías de PVC a 24
34
pulgadas. En mayo del 2001 se inician las primeras pruebas en caliente la planta
de laminación de varillas ubicadas en el Km. 22 de la Autopista Duarte. Años de
crecimiento, cambios y continuo mejoramiento de sus empleados y procesos
hacen lo que Industrias Nacionales es hoy en día, una industria sólida que
brinda al mercado nacional y extranjero productos de alta calidad y
competitividad.
2.2 Misión
“Industrias Nacionales se define como una empresa orientada a productos
de acero y plásticos que busca la satisfacción del cliente y la rentabilidad de los
accionistas apoyada en el talento humano y con procesos eficientes,
comprometida con el desarrollo de la sociedad.”22
2.3 Visión
“Ser la empresa líder entre las más rentables del Caribe y Centro América
con una oferta única de productos de acero y plásticos.”23
2.4 Valores de la empresa
Seguridad total en todas nuestras operaciones: queremos tener un
ambiente de trabajo en donde todos nuestros colaboradores se sientan seguro.
La salud y la seguridad son los elementos de mayor relevancia en nuestra
organización, que día a día se preocupa por realizar las inversiones necesarias
en equipo, recursos, entrenamientos que aseguren la seguridad, pero de igual
manera los colaboradores deben demostrar un compromiso personal con la
Seguridad.
22 Industrias Nacionales, S.A.23 Industrias Nacionales, S.A.
35
Servicio al cliente como garantía de satisfacción: los clientes son la
razón de nuestra existencia, darle un servicio de calidad es nuestro objetivo.
Nuestra prioridad es ofrecer soluciones a nuestros clientes que satisfagan y
superen sus expectativas. La honestidad y la transparencia son esenciales en el
trato con los clientes.
Compromiso en todo lo que hacemos: el compromiso determina nuestra
identificación con la empresa, es encarar los objetivos de la empresa como si
fuesen los propios. La responsabilidad, lealtad y disciplina de nuestra gente es el
reflejo de nuestro nivel de compromiso con la empresa, la sociedad y con
nosotros mismos.
Integridad: es hacer lo correcto, es actuar con transparencia en todas
nuestras acciones y con todos los públicos, asociados, clientes proveedores
competidores, colaboradores, comunidad, etc. Debemos tratar todas las partes
con las cuales nos relacionamos con la misma integridad y honestidad con la
que esperamos ser tratados.
Trabajo en Equipo: mantener un ambiente de cooperación, participación y
respeto entre los colegas, que faciliten una comunidad abierta y efectiva, así
como el logro de las metas propuestas.
Superación Continua de todos nuestros colaboradores: la iniciativa y
búsqueda constante de la excelencia en todo lo que hacemos nos ha permitido
mantener nuestro crecimiento y desarrollo como empresa.
2.5 Estructura de riesgo en la empresa
Los programas de BYOD traen un enfoque nuevo a muchos riesgos que las
empresas actualmente enfrentan, especialmente aquellos asociados con la
pérdida potencial de información sensible almacenada en dispositivos que no
36
están siendo controlados. Sin embargo, los programas BYOD también vienen
con nuevos riesgos, incluyendo la potencial insatisfacción de empleados,
responsabilidad empresarial, presión de las competencias, entre otros. Al
evaluar los riesgos de la organización de antemano, se pueden identificar las
diferentes áreas de riesgo y mitigar soluciones preventivas directas.
Figura No. 15.Riesgos internos del BYOD en una empresa.
Fuente: Cisco ISBG, 2013.
37
Figura No. 16.Riesgos externos del BYOD en una empresa.
Fuente: Cisco ISBG, 2013.
2.6 Alcance de BYOD
Dado que los empleados llevan sus dispositivos personales a la oficina,
además de darles un uso personal, lo más usual es que los utilicen para la
revisión del correo electrónico corporativo y como apoyo a las tareas del trabajo.
A esto se suma que para poder acceder a la información corporativa desde
sus dispositivos personales, los empleados utilizan en su mayoría las redes
38
inalámbricas o de WiFi que tiene la empresa. Además, el hecho de manipular
este tipo de información permite que sea almacenada en los dispositivos
personales, y en general no se tienen en cuenta las precauciones necesarias
para eliminarla.
Esta nueva forma de trabajar, plantea una serie de oportunidades y riesgos
para las empresas.
39
CAPITULO III.ANÁLISIS DE RIESGO
40
Capítulo III.Análisis de Riesgo
3.1 Proceso sistemático
El análisis de riesgo es el proceso sistemático para estimar la magnitud de
los riesgos a que está expuesta una organización. Esta permite determinar qué
tiene la organización y estimar lo que podría pasar.
Elementos:
1. Activos: son los elementos del sistema de información (o estrechamente
relacionados con este) que aportan valor a la organización.
2. Amenazas: son cosas que les pueden pasar a los activos causando un
perjuicio a la organización.
3. Controles (o contra medidas): son medidas, elementos de defensa
desplegados para mitigar el impacto de la ocurrencia de las amenazas.
Con estos elementos se puede estimar:
1. Impacto: Conjunto de posibles efectos negativos sobre la organización,
como consecuencia de actividades en perjuicio de los intereses de la
organización.
2. Riesgo: El potencial de que una amenaza explote la vulnerabilidad en los
activos y ocasione daño o perdida a la organización.
El análisis de riesgos es una aproximación metódica para determinar el
riesgo siguiendo unos pasos pautados:
1. Determinar los activos relevantes para la organización, su interrelación y
su valor, en el sentido de qué perjuicio (costo) supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos.
41
3. Determinar qué controles hay dispuestos y cuán eficaces son frente al
riesgo.
4. Estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza.
5. Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materialización) de la amenaza.
3.2 Amenazas en el fenómeno BYOD
Al brindar a los empleados mayor movilidad y la posibilidad de trabajar
desde cualquier dispositivo, en cualquier momento y en cualquier lugar, las
normas de BYOD ayudan a las organizaciones a ofrecer un entorno laboral más
productivo, eficiente y satisfactorio. Pero a medida que aumenta la cantidad de
usuarios finales que comienzan a utilizar sus tabletas, teléfonos inteligentes y
otros dispositivos en el trabajo y en la carretera, las empresas están vuelven a
evaluar la dependencia que tienen actualmente en la estructura de TI
establecida. Debido a esta proliferación de dispositivos móviles, asegurar los
datos corporativos y dar sustento a la disposición de herramientas y plataformas
han impuesto demasiada presión sobre los recursos de los departamentos de TI
con personal insuficiente, sin mencionar las presiones relacionadas con la
administración de equipos de escritorio tradicionales. Por ejemplo, el uso de
dispositivos personales en el lugar de trabajo puede crear un gran número de
violaciones de seguridad para una empresa:
Cuando los empleados comparten archivos dentro y fuera de la oficina
con sus tabletas y teléfonos inteligentes, es difícil para TI proteger y
controlar esos datos.
Si un dispositivo se pierde o es robado fuera de la oficina, o si se despide
a un empleado, la información corporativa contenida software malicioso
en dicho dispositivo se hace vulnerable a un uso malintencionado.
42
Puede introducirse fácilmente en la red corporativa a través de los
dispositivos infectados.
Puede robarse la información corporativa utilizando aplicaciones que
contienen caballos de Troya, obtenidas en tiendas de aplicaciones de
terceros en la Internet.
Un reciente desarrollo que tiene implicaciones para la seguridad de los
pagos es la evolución del malware para móviles. Estos programas maliciosos,
principalmente explotan algunas vulnerabilidades en el sistema operativo o el
mal uso de las diversas características que proporciona el sistema operativo.
Figura No.17.Principal amenaza de BYOD
Fuente: www.bt.es y Cisco.
43
De acuerdo con los Laboratorios FortiGuard el malware en dispositivos móviles
ha crecido un 30% en los últimos seis meses.
“Hace tres años, el malware para móviles apenas preocupaba a usuarios y
empresas. La mayoría del malware dirigido a smartphones y tabletas no tenía
más objetivo que molestar, como el virus Cabir o era un software que permitiría
cometer fraudes a través de SMS o reemplazando iconos,” indicó Axelle Apvrille,
investigadora senior de antivirus para móviles en los Laboratorios FortiGuard.
El fenómeno Bring Your Own Device (BYOD) tiene muchos beneficios para
la empresa, como mayor eficiencia y productividad por parte del empleado. Sin
embargo, la desventaja de una política BYOD indulgente es que las amenazas
para móviles infecten el dispositivo del usuario y, consecuentemente, la red
corporativa.
3.2.1 Inconvenientes de seguridad: malware móvil y war-driving
Expresa Shivani Agarwal (2009), Security Issues in Mobile Payment
Systems: “En los últimos años, científicos de la computación han sido testigos de
la evolución de una especie vicioso conocido como malware móvil. La evolución
de los virus móviles se inició con los gusanos. En la actualidad, cada semana
unos diez troyanos teléfono móvil se añaden a las bases de datos antivirus. A
juzgar por la tendencia actual, está claro que esta amenaza no hará sino
aumentar en el futuro.”
Estudios recientes muestran que el mundo de los virus móviles es dominado
por los troyanos, y no por los gusanos o virus. La razón principal de esto es que
los troyanos no necesitan ningún vector de propagación y se basan simplemente
en la curiosidad del usuario para descargarlo e instalarlo. Estos atraen el interés
del usuario haciéndose pasar por programas gratis o juegos populares. El
usuario instala estos programas sin darse cuenta que en realidad podría ser la
44
instalación de un spyware que es capaz de grabar las informaciones importantes
de su equipo móvil, así como los registros de llamadas para las llamadas
realizadas y recibidas. El spyware envía estos datos a una cuenta a un servidor
del propietario de dicho spyware.
“Lo primero a tener en cuenta con el uso de los dispositivos móviles -explica
Alejandro Mitaritonna, Director de Khutech- es que, más allá de la seguridad
física del dispositivo en sí mismo, que puede ser sustraído por un ladrón
cualquiera, lo más importante es la información que estos equipos llevan dentro,
ya que es esta pérdida la que puede tener costos altísimos para la
organización.”
Además de las amenazas más conocidas, como el típico ladrón o hacker,
existen otras más sofisticadas como, por ejemplo, las técnicas de war-driving24
que incluyen el Wi-Fi. Estas prácticas implican buscar e interceptar dispositivos
mediante las conexiones de Wi-Fi o Bluetooth, es decir, interceptar (robar) datos
on-the-fly, desde otro dispositivo utilizando una simple placa Arduino25 con
placas compatibles con esos sistemas de transmisión. Estas técnicas son un
claro ejemplo de cómo se puede apuntar a la sustracción de los datos sin
importar el dispositivo físico.
24 Se llama wardriving a la búsqueda de redes inalámbricas Wi-Fi desde un vehículo enmovimiento. Implica usar un carro o camioneta y una computadora equipada con Wi-Fi, como unportátil o una PDA, para detectar las redes. Esta actividad es parecida al uso de un escáner pararadio.25 Arduino es una plataforma de electrónica abierta para la creación de prototipos basada ensoftware y hardware flexibles muy fáciles de usar, debido a que el IDE con el que trabaja es fácilde aprender a utilizar, y el lenguaje de programación con el que trabaja es simple, pues se creópara artistas, diseñadores, aficionados y cualquier interesado en crear entornos u objetosinteractivos. Arduino puede tomar información del entorno a través de sus pines de entrada detoda una gama de sensores y puede afectar aquello que le rodea controlando luces, motores yotros actuadores. El microcontrolador en la placa Arduino se programa mediante el lenguaje deprogramación Arduino (basado en Wiring) y el entorno de desarrollo Arduino (basado enProcessing). Los proyectos hechos con Arduino pueden ejecutarse sin necesidad de conectar aun computador, si bien tienen la posibilidad de hacerlo y comunicar con diferentes tipos desoftware (p.ej. Flash, Processing, MaxMSP).
45
Mitaritonna afirma que “de acuerdo a las estadísticas la mayoría de los
ataques de este tipo se producen a través de troyanos por SMS26 o por bajar
aplicaciones desde fuentes desconocidas”. Sin embargo, al igual que en la
mayoría de las amenazas de seguridad, el eslabón más débil sigue siendo el
usuario. “La falta de concientización y de conocimiento sobre los riesgos que se
corren al perder o ser substraído un dispositivo móvil, y sobre todo la
información que contiene, es altísima”, asegura el ejecutivo de Khutech. “Es
evidente que las empresas deben contar con políticas claras que se apliquen a
la protección de la información en circulación y protocolos sobre qué medidas
deben tomar los empleados que transporten un dispositivo móvil corporativo.”
Si un hacker es capaz de encontrar una manera de conseguir las
informaciones importantes de la empresa, entonces podría ser capaz de obtener
beneficios financieros a coste de la misma.
Tanto para las corporaciones como para las firmas medianas, hay mucho
por hacer antes de que la política de movilidad sea considerada sólida. Muchas
empresas no se encuentran preparadas en diversas áreas fundamentales no
solo para BYOD sino para todas las iniciativas móviles. Por ejemplo, solo la
mitad de las grandes empresas y el 41% de las firmas medianas tienen una
política vigente en relación con el acceso a la red corporativa por parte de los
dispositivos móviles de los empleados. Y solo el 31% cuenta con una política
referida a los dispositivos no aprobados.
26 El servicio de mensajes cortos, servicio de mensajes simples o SMS (Short Message Service)es un servicio disponible en los teléfonos móviles que permite el envío de mensajes cortos(también conocidos como mensajes de texto, o más coloquialmente, textos) entre teléfonosmóviles.
46
Figura No. 18.Porcentaje de empresas que consideran la seguridad como el principal
desafío de BYOD.
Fuente: Cisco ISBG, 2012.
La falta de claridad en las políticas (y, en muchos casos, la absoluta
ausencia de políticas) contribuye a que BYOD provoque problemas de
seguridad. Las nuevas amenazas a la seguridad de los datos de las empresas
que suponen los virus, el software malicioso y las intrusiones en la red son el
aspecto más negativo de BYOD identificado por los líderes de TI. El modo en
que BYOD se percibe como un peligro para la seguridad de redes corporativas
probablemente sea uno de los motivos principales por los que las empresas no
han adoptado esta tendencia de manera tan tajante como otras.
47
3.3 Gestión de riesgo
Permite organizar la defensa concienzuda y prudente, defendiendo para que
no pase nada malo y al tiempo estando preparados para atajar las emergencias,
sobrevivir a los incidentes y seguir operando en las mejores condiciones; como
nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la
dirección asume.
Informalmente, se puede decir que la gestión de la seguridad de un sistema de
información es la gestión de sus riesgos y que el análisis permite racionalizar
dicha gestión.
3.4 Métodos de análisis de riesgo
En este capítulo nos centraremos en algunas técnicas muy específicas de
los proyectos de análisis y gestión de riesgos, técnicas que no se utilizan en
otros contextos de trabajo.
Existen diversas técnicas y métodos utilizados, los cuales son mencionados
más adelante y se han considerado de especial interés:
1. Análisis de Fortalezas, Oportunidades, Debilidades y Amenazas (FODA).
2. Uso de tablas para la obtención sencilla de resultados.
3. Técnicas algorítmicas para la obtención de resultados elaborados.
Para cada una de estas técnicas y prácticas referenciadas:
Se explica brevemente el objetivo que se persigue al utilizarlas.
Se describen los elementos básicos asociados.
48
Tabla No.1.Métodos de análisis de riesgo.
METODO PATRONES
Análisis FODAIdentificar las debilidades, amenazas, fortalezas y
oportunidades que puedan afectar en mayor o menormedida a la organización.
Análisis medianteTablas
Mide el nivel impacto y frecuencia en una tabla paracalcular el riesgo.
Impacto + Riesgo * frecuencia
Análisis algorítmico Cualitativo
Cuantitativo Escalonado
Arboles de ataque Modelar las diferentes formas de alcanzar un objetivomodelando como un bosque de árboles de ataque.
Diagrama de flujo dedatos Refleja de una forma clara y precisa los procesos que
conforman el sistema de información.
Diagramas de proceso.Mapa o diagrama del proceso que representa las
interacciones entre actividades, objetos y recursos de laorganización, con la documentación adicional de suscaracterísticas y la información que fluye entre ellos.
Técnicas graficas yplanificación de
proyectos
Diagramas de GANTT, para seguimiento deproyectos
Las técnicas del camino crítico (CP – Critical Path) PERT (Program Evaluation and Review Technique)
Sesiones de trabajo Entrevistas Reuniones
Presentaciones
Valoración DELPHI Permite tratar con alta precisión problemas técnicamentecomplejos.
Fuente: Autoría propia.
49
Los tres métodos considerados como los mayormente aceptados y
aplicados en empresas para el desarrollo de análisis de riesgos se explican a
continuación:
Primer método: Análisis FODA
El análisis FODA es una herramienta analítica que le permitirá trabajar con
toda la información que posea sobre su negocio, útil para examinar sus
Fortalezas, Oportunidades, Debilidades y Amenazas.
Este tipo de análisis representa un esfuerzo para examinar la interacción
entre las características particulares de su negocio y el entorno en el cual éste
compite. El análisis FODA tiene múltiples aplicaciones y puede ser usado por
todos los niveles de la corporación y en diferentes unidades de análisis tales
como producto, mercado, producto-mercado, línea de productos, corporación,
empresa, división, unidad estratégica de negocios, entre otros).
El nombre lo adquiere de sus iníciales FODA:
Fortalezas: también llamadas puntos fuertes: son capacidades, recursos,
posiciones alcanzadas y, consecuentemente, ventajas competitivas que
deben y pueden servir para explotar oportunidades.
Oportunidades: es todo aquello que pueda suponer una ventaja
competitiva para la organización, o bien representar una posibilidad para
mejorar la rentabilidad de la misma o aumentar la cifra de sus negocios.
Debilidades: también llamadas puntos débiles: son aspectos que limitan
o reducen la capacidad de desarrollo efectivo de la estrategia de la
organización, constituyen una amenaza para la organización y deben, por
tanto, ser controladas y superadas.
Amenazas: se define como toda fuerza del entorno que puede impedir la
implantación de una estrategia, o bien reducir su efectividad, o
50
incrementar los riesgos de la misma, los recursos que se requieren para
su implantación, o bien reducir los ingresos esperados o su rentabilidad.
Matriz FODA
Tabla No.2.Matriz FODA.
De la combinación de fortalezas con oportunidades surgen las
potencialidades, las cuales señalan las líneas de acción más prometedoras para
la organización. Las limitaciones, determinadas por una combinación de
debilidades y amenazas, colocan una seria advertencia.
Mientras que los riesgos (combinación de fortalezas y amenazas) y los
desafíos (combinación de debilidades y oportunidades), determinados por su
correspondiente combinación de factores, exigirán una cuidadosa consideración
51
a la hora de marcar el rumbo que la organización deberá asumir hacia el futuro
deseable.
1. En cada mercado, el FODA debe relacionarse con la estrategia
competitiva de la empresa.
2. Las estrategias competitiva y de portafolio se impactan mutuamente.
3. Ambas decisiones estratégicas son los únicos instrumentos de Creación
de Valor Económico en el marco de un nivel asumible y aceptable de
exposición al riesgo.
4. No es suficiente quedarnos en la fase de diagnóstico del FODA: debemos
procurar instalar un Sistema Integral de Innovación.
5. El proceso del FODA debe ser interfuncional y en grupo.
6. El Sistema de Gestión de Proyectos debe alimentarse a través del
Sistema Integral de Innovación, y debe asegurar su implementación.
7. Dado que seguramente se necesitarán cambios, es importante que se
revisen las innovaciones implementadas.
8. Un FODA puede ocasionar resistencia al cambio por parte de los
empleados, por lo que será necesario trabajar en este sentido.
9. Al realizar el análisis, descubriremos que hay mucha información que no
conocemos (principalmente sobre la competencia). Así, el FODA nos
servirá para saber qué no sabemos y para decidir si queremos saberlo o
no nos importa o es muy caro (y asumimos el riesgo).
10.El FODA no es algo que se realice de una vez y para siempre, es un
procedimiento que no termina nunca y que debe convertirse en parte de
la cultura de la empresa.
52
Segundo método: Análisis mediante tablas
Análisis de la distinción y separación de las partes de un todo hasta llegar a
conocer sus principios o elementos. En el análisis de riesgos hay que trabajar
con múltiples elementos que hay que combinar en un sistema para ordenarlo por
importancia sin que los detalles, muchos, perjudiquen la visión de conjunto.
La experiencia ha demostrado la utilidad de métodos simples de análisis
llevados a cabo por medio de tablas que, sin ser muy precisas, sí aciertan en la
identificación de la importancia relativa de los diferentes activos sometidos a
amenazas. Sea la escala siguiente útil para calificar el valor de los activos, la
magnitud del impacto y la magnitud del riesgo:
Muy Alta (MA) = 5 La amenaza está altamente motivada y es suficientemente
capaz de llevarse a cabo.
Alta (A) = 4 La amenaza está fundamentada y es posible.
Media (M) = 3 La amenaza es posible.
Baja (B) = 2 La amenaza no posee la suficiente capacidad.
Muy Baja (MB) = 1 La amenaza no posee la suficiente motivación y capacidad.
Estimación del impacto
Se puede calcular el impacto en base a tablas sencillas de doble entrada:
53
Tabla No. 3.Estimación de riesgo primera parte.
Estimación del riesgo
Por otra parte se modela la frecuencia por medio de alguna escala sencilla:
Muy Frecuente (MF) = 4 La amenaza se frecuenta a diario.
Frecuente (F) = 3 La amenaza se frecuenta mensual.
Frecuencia Normal (FN) = 2 La amenaza se frecuenta anual
Poco Frecuente (PF) = 1 La amenaza se frecuenta cada varios años.
Pudiendo combinarse impacto y frecuencia en una tabla para calcular el riesgo:
Tabla No. 4.Estimación de riesgo segunda parte.
54
Tercer método: Análisis algorítmico
Se refiere al análisis de la distinción y separación de las partes de un todo
hasta llegar a conocer sus principios o elementos. En ciencias químicas, dícese
análisis cualitativo del que tiene por objeto descubrir y aislar los elementos o
ingredientes de un cuerpo compuesto. A diferencia del análisis cuantitativo que
es el que se emplea para determinar la cantidad de cada elemento o ingrediente.
Dentro del análisis algorítmico se pueden identificar dos enfoques distintos:
el modelo cualitativo que busca una valoración relativa del riesgo que corren los
activos, y el modelo cuantitativo que propone responder a la pregunta de cuánto
más y cuánto menos.
Un modelo cualitativo
En un análisis de riesgos cualitativo se busca saber qué es lo que hay, sin
cuantificarlo con precisión más allá de relativizar los elementos del modelo.
En esta sección se presenta un modelo de cálculo que trabaja sobre una
escala discreta de valores.
En un análisis de riesgos es necesario poder valorar, al menos
relativamente, los elementos involucrados. En particular, los activos, el impacto
de las amenazas y el riesgo que se corre. El riesgo se mide por medio de la
escala de valores, siendo una función del impacto y la frecuencia:
Riesgo = ℜ(impacto, frecuencia)
El modelo pues combina los siguientes parámetros de análisis:
Calibración del valor del activo por medio de una escala discreta.
Calibración de la degradación que supone una amenaza como un
porcentaje.
55
Calibración de la frecuencia de ocurrencia de la amenaza por medio de
una escala discreta.
Vertebración de un paquete de salvaguardas.
Calibración de la eficacia de las salvaguardas por medio de un
porcentaje.
Parámetros todos ellos que permiten moverse arriba y abajo por la escala
de valores.
Un modelo cuantitativo
En un análisis de riesgos cuantitativo se busca saber qué y cuánto hay,
cuantificando todos los aspectos posibles. El modelo que sigue no trabaja sobre
una escala discreta de valores, sino con números reales (en el sentido
matemático) positivos.
El riesgo se calcula como riesgo = impacto × frecuencia
Es un valor real, mayor que cero.
El modelo pues combina los siguientes parámetros de análisis:
Calibración del valor del activo por medio de una cantidad numérica.
Calibración de la dependencia entre activos por medio de un porcentaje.
Calibración de la degradación que supone una amenaza por medio de un
porcentaje.
Calibración de la frecuencia de ocurrencia de la amenaza por medio de
una frecuencia.
Vertebración de un paquete de salvaguardas.
Calibración de la eficacia de las salvaguardas por medio de un
porcentaje.
56
3.5 Matriz de riesgo
El método que se utilizara para realizar el análisis de riesgo es el análisis
mediante tablas.
La matriz de riesgo muestra las vulnerabilidades de la organización para la
prestación del servicio en cuanto a tecnologías de información se refiere.
El impacto se evalúa en una escala del 1 al 5 y la probabilidad en una
escala del 1 al 4, siguiendo los criterios que expresan a continuación.
Estimación del Impacto
Tabla No. 5.Estimación del impacto.
Valoración Peso MotivoMuy Alta 5 La amenaza está altamente motivada y es
suficientemente capaz de llevarse a cabo.Alta 4 La amenaza está fundamentada y es posible.Media 3 La amenaza es posible.Baja 2 La amenaza no posee la suficiente capacidad.Muy Baja 1 La amenaza no posee la suficiente motivación y
capacidad.
Estimación de la probabilidad
Tabla No. 6.Estimación de la probabilidad.
Valoración Peso MotivoMuy Frecuente 4 La amenaza se frecuenta a diario.Frecuente 3 La amenaza se frecuenta mensual.FrecuenciaNormal
2 La amenaza se frecuenta anual
Poco Frecuente 1 La amenaza se frecuenta cada varios años.
57
Matriz de Riesgo
En la matriz se aprecia:
1. La vulnerabilidad identificada.
2. La amenaza que representa para la organización si un agente
amenazador logra explotar dicha vulnerabilidad.
3. La posibilidad de que se materialice la explotación de la vulnerabilidad, la
probabilidad de ocurrencia y el riesgo.
4. La ocurrencia en el sector de la explotación de dicha vulnerabilidad.
5. La probabilidad de que esa vulnerabilidad sea explotada en la
organización.
6. El cálculo se realiza multiplicando el impacto por la probabilidad. El
resultado es el riesgo que representa la vulnerabilidad para la
organización.
Tabla No. 7.Matriz de riesgo
58
3.6 Análisis Financiero
Un sinnúmero de empresas y organizaciones utilizan las tecnologías de la
información en la gran parte de sus procesos de negocio, y debe de existir una
conciencia real de los costos que esta tecnología supone.
Los elementos de costo que se pueden clasificar de forma genérica en:
Costos de hardware y software.
Costos de personal.
Costos de administración.
El análisis de riesgo y los controles de seguridad expuestos en la matriz
de riesgo conllevan un costo de implementación que incurriría dentro de los
gastos de adopción y control del fenómeno Bring Your Own Device. Estos costos
se exponen a continuación:
59
Tabla No. 8.Análisis financiero
La estimación de los costos asociados a esos elementos no es siempre
una tarea sencilla y a menudo influyen factores externos que no se encuentran
bajo el control directo de la organización TI.
Se debe tener en cuenta que dentro de la organización la mayor
satisfacción en la seguridad de los sistemas conlleva un gasto. Sin embargo el
60
costo de aplicación de la seguridad no debe de exceder el costo de lo protegido.
En el caso de la adopción y control del fenómeno Bring Your Own Device
(BYOD) en INCA en miras a aumentar la productividad de los empleados, el
costo de implementación para proteger la data y la infraestructura es una mínima
parte comparado con el costo del daño causado que resultaría en millones de
pesos por perdida de información, fraude, saturación de la infraestructura, entre
otros.
61
CONCLUSIÓN Y RECOMENDACIONES
Al finalizar la investigación se puede concluir afirmando que la adopción
de esta tendencia puede traer grandes beneficios relacionados con la
disminución de gastos en infraestructura, la comodidad de los empleados para el
manejo de la información y por tanto el incremento de la productividad.
La problemática planteada en Industrias Nacionales S.A (INCA) recae en
la seguridad a la hora de adoptar la tendencia BYOD, tanto a su empresa como
a sus respectivos empleados, lo cual incurre en nuevas amenazas que deben
ser gestionadas, las principales y quizás la mas importantes, son la fuga y el
acceso no autorizado a la información.
Para la realización del análisis expuesto se tomaron en cuenta las
principales características técnicas que afectan a los riesgos del fenómeno Bring
Your Own Device, como por ejemplo:
El acceso a la información debe ser restringido de forma que se garantice
que solo podrán acceder a la información aquellas personas que
realmente estén habilitadas para ello.
Teniendo en cuenta la amplia variedad de dispositivos en el mercado, es
prudente hacer un análisis de para saber cuales son los mas adecuados
para manejar la información de la empresa.
Para garantizar que ningún código malicioso afecte los datos, todos los
dispositivos personales deberían contar con soluciones de seguridad que
detecten proactivamente este tipo de amenazas.
El tráfico de dispositivos BYOD debería ser claramente identificable y
contar con un control estricto.
A raíz de la diversidad de dispositivos y aplicaciones que se pueden
manejar, es necesario redactar una política que aclare que dispositivos
pueden acceder a la información corporativa.
62
El resultado alcanzado ha sido muy satisfactorio para Industrias
Nacionales S.A. (INCA), ya que podrá lograr una adopción segura de la
tendencia BYOD, realizando una combinación entre políticas claras para el
manejo de la información y el uso de herramientas adecuadas que permitan la
gestión de la seguridad de la misma, sin dejar de lado la educación de los
empleados para que conozcan los riesgos y sepan como enfrentarlos.
Dicho esto, se concluye que el aprovechamiento de la tendencia BYOD
se puede utilizar para incrementar la productividad, reducir los costos y lograr
mejor desempeño profesional.
63
BIBLIOGRAFÍA
Bolbeck, Flambard. (2012) Consumerization: 5 Steps to a successful
BYOD strategy. Estados Unidos. Amazon Media EU.
BYOD: una perspectiva global Cómo aprovechar la innovación liderada
por los empleados. (2012) Cisco IBSG Horizons.
Bring your own device - Unlock value for your organization. (2013).
Deloitte.
Bradford Networks. (2011). Bring Your Own Device (BYOD) Unleashed in
the Age of IT Consumerization. Recuperado de
(http://resources.idgenterprise.com/original/AST-
0055442_BradfordWP0103_2_.pdf)
BYOD - Retos de seguridad. (2012) Eset. USA.
Daniela Pinto. (2010) INFOWEEK LA Nueva Alternativa que
Revolucionara la Forma de Hacer Negocios.
Donahue, Tom. (2012) The RSVP to BYOD: How IT Can Overcome the
New Technology Challenge. Estados Unidos. Amazon Media EU.
González Arencibia, M. (2007) Paradigma empresarial en las condiciones
de la revolución electrónica-informática.
Gledhill, Chris F.B. (2012) Consumerization: The Enterprise Guide to
BYOD. Estados Unidos. Amazon Media EU.
Horwath, Jim. (2013) Managing the Implementation of a BYOD Policy.
Bethesda: SANS.
IT Governance Institute. (2005) COBIT 4.0. USA.
Johnson, K. (2011) Security 571: Mobile Device Security. Bethesda:
SANS.
Jean-Marc Royer. (2004) Seguridad en la informática de empresa:
riesgos, amenazas, prevención y soluciones. Barcelona, España.
Ediciones ENI
64
Llevar los dispositivos móviles personales al trabajo: Cómo convertir este
fenómeno en productividad. (2012) Aerohive Networks, Inc.
Mobile Malware Evolution: An Overview. Recuperado el 17 de junio de
2011 de (http://www.securelist.com/en/analysis/204792168)
Micro. (n.d.). BYOD - Consumerization of IT & Mobility - Trend Micro USA.
Content security software - Internet Security & Cloud - Trend Micro USA.
Recuperado el 11 de febrero de 2013 de
(http://www.trendmicro.com/us/enterprise/challenges/it-
consumerization/index.html)
Royer, Jean-Marc. (2004) Seguridad en la informática de empresa:
riesgos, amenazas, prevención y soluciones. Barcelona, España.
Ediciones ENI.
Retos de seguridad para las empresas a partir de BYOD. (2012) Eset.
USA.
Wright, J. (2012) Security 575: Mobile Device Security - Mobile Device
Threats, Policies, and Security Models. Bethesda: SANS.
Willey, Erik. (2013) BYOD y Virtualización - Administración de dispositivos
móviles desde el escritorio. ViewSonic Corporation.
Revistas
Rojas, Jeniffer (2012). BYOD acarrea retos de seguridad corporativa.
Revista IT NOW, 30, 2-3.
Internetgrafía
http://www.baquia.com/blogs/baquia-mobile/posts/2012-08-24-el-
fenomeno-byod-genera-empleados-adictos-al-trabajo
http://www.idg.es/cio/estructura/imprimir.asp?id=122208&cat=not
http://www.cisco.com/web/LA/soluciones/strategy/education/connection/ar
ticles/edition2/article3.html
65
http://www.techvalley.com.mx/analisis/que-es-el-fenomeno-byod-123/
http://www.networkworld.es/ItSMF-investiga-a-nivel-mundial-el-fenomeno-
BYOD/seccion-actualidad/noticia-128065
http://www.telecomunicacionesparagerentes.com/ventajas-y-retos-del-
fenomeno-byod-en-la-movilidad-corporativa/
http://www.baquia.com/blogs/baquia-mobile/posts/2012-08-24-el-
fenomeno-byod-genera-empleados-adictos-al-trabajo
http://www.networkworld.es/Los-CIO-empiezan-a-aceptar-el-fenomeno-
BYOD/seccion-actualidad/noticia-122017
ANEXOS
Escuela de Graduados
TRABAJO FINAL PARA OPTAR POR EL TITULO DE:
Maestríaen Gerencia y Productividad
Título:
“Análisis del fenómeno Bring Your Own Device (BYOD) en
Industrias Nacionales S.A en República Dominicana en el
año 2013”
Sustentante:Nombre: Matrícula
Carlos Vargas 2004-1676
Asesor (a):EDDA FREITES, MBA
Santo Domingo, D. N.
Diciembre 2013
1
“Análisis del fenómeno BringYourOwnDevice (BYOD) en IndustriasNacionales S.A en República Dominicana en el año 2013.”
1.1 Planteamiento del problema.
Las opciones y modalidades para el acceso sobre las infraestructuras TIC, con
la posibilidad de utilizar los recursos tecnológicos de la empresa, está tomando
auge en el uso cotidiano como herramienta de trabajo. La causa principal de
esta nueva tendencia se le atribuye a que mas personas están utilizando sus
dispositivos móviles personales para acceder a sistemas corporativos seguros.
El aumento en el uso de teléfonos inteligentes, y otros dispositivos móviles como
las tabletas como herramienta de trabajo es directamente proporcional a la
seguridad que este fenómeno le brinda a la empresa. Es por esto, que la
seguridad de datos en las redes empresariales no está garantizada con la
entrada de BYOD sobre infraestructuras TIC convencionales.
Es posible afirmar que el fenómeno BringYourOwnDevice (BYOD) representa un
problema de seguridad para las empresas. Un agente amenazador puede
adquirir información y ocasionar los siguientes daños:
- Obtener información de la empresa que pudiera utilizar a su conveniencia.
- La propagación de una infección de malware a todos los dispositivos de la red
corporativa.
- El aumento de los costos de incidentes de seguridad, con una bajada de la
productividad y la pérdida de confianza de los clientes.
- El acceso no autorizado a recursos corporativos.
2
1.2 Formulación del problema.
¿Cuáles son los indicadores necesarios para evaluar las ventajas y desventajas
del fenómeno BYOD en Industrias Nacionales S.A. en el año 2013?
1.3 Sistematización.
¿Qué nivel de eficiencia aporta el fenómeno BYOD en el área de
tecnología en INCA, S.A?
¿Cuáles son las ventajas y desventajas de dicho fenómeno?
¿Cuáles medidas de seguridad se deben de implementar en conjunto al
fenómeno BYOD en INCA, S.A?
¿Cuáles medidas debe tomar la empresa para que dicho fenómeno sea
exitoso?
2. Objetivos.
2.1 Objetivo general.
Analizar el nivel de riesgo que existe en el fenómeno BringYourOwnDevice
(BYOD) en la empresa Industrias Nacionales S.A en el año 2013.
2.2 Objetivosespecíficos. Medir el nivel de riesgo de BYOD.
Demostrar las vulnerabilidades que pueden tener los teléfonos móviles y
tabletasen infraestructuras convencionales de TIC.
Detectar posibles amenazas de BYOD.
3
3. Justificación de la investigación.
Los teléfonos inteligentes o smartphones están en manos de cientos de millones
de empleados en todo el mundo, y otros dispositivos móviles como las tabletas
son también un fenómeno creciente. Esta afluencia de dispositivos de consumo
en el entorno empresarial ha provocado temores de pérdida de datos dentro de
muchas organizaciones de TI.
Es por esto que es necesario conocer los riesgos, vulnerabilidades y amenazas
del fenómeno BringYourOwnDevice (BYOD), que proporcionen la base de
conocimiento necesaria para implementar los controles que garanticen un nivel
de seguridad razonable, acorde a las expectativas de los stakeholders.
3.1 Justificación teórica.
La investigación es teórica porque existen documentos suficientes para realizar
la investigación, en libros, revistas, internet y documentos del departamento de
tecnología de la empresa.
3.2 Justificación metodológica.
En la investigación se utilizarán los métodos de adquisición de información
necesarios para estructurar y darle solución al problema. Estas técnicas a utilizar
son: Bechmarking con otros departamentos de Tecnología de la Información,
implementación de herramientas específicas para la administración y control de
BYOD como el software de Gestión de Dispositivos Móviles (MDM) y adopción
de soluciones de comunicaciones unificadas y de colaboración (UCC).
3.3 Justificación práctica.
El tema de investigación es importante tanto para Industrias Nacionales S.A.
(INCA), como para el departamento de Tecnología de la Información, ya que en
4
el desarrollo de este se pondrán en práctica todas las técnicas y conocimientos
adquiridos para buscar solución al problema del fenómenoBringYourOwnDevice
(BYOD).
4. Marco referencial.
4.1 Marco teórico.
“La aparición del fenómeno BringYourOwnDevice (BYOD) ha obligado a las
empresas a revaluar los tipos de dispositivos de computación que sus
empleados pueden y van a utilizar, y cómo estarán conectados de manera
segura a las redes corporativas" (Wilson, 2012, s/p).Conocer los riesgos a los
que está sometido el aumento del fenómeno BYOD es imprescindible para lograr
una gestión eficaz y con el sentido común necesario para lograr ventajas
competitivas que generen mayores oportunidades de negocio.
“Si las empresas están verdaderamente interesadas en adoptar soluciones
BYOD, el aumento de la demanda ocasionado por la diversidad de móviles debe
ser abordado según el diseño y gestión de las redes corporativas. Las
organizaciones deben implementar infraestructuras capaces de soportar una
amplia gama de dispositivos móviles, sin sobrecargar a su personal de
TI”(Kozup, 2012, s/p).Acceder desde un dispositivo personal a la red y bases de
datos corporativas es observado con preocupación por los responsables de este
terreno. Sin embargo, la adopción de este fenómeno es cada vez mayor y así, la
incorporación de dispositivos personales en el trabajo ha crecido a medida que
el mercado se ve inundado con nuevos dispositivos. Y la tendencia apunta a que
este crecimiento cada vez va a ser superior.
"El fenómeno BYOD efectivamente nos está convirtiendo en una generación de
adictos al trabajo productivo, con muchos trabajadores aparentemente felices de
poder trabajar durante su tiempo libre a cambio de flexibilidad en la forma en la
que trabajan" (Hendrikse, 2012, s/p). El aumento en el uso de los teléfonos
5
inteligentes y tablets abre una serie de posibilidades que, bien administradas,
pueden generar un aumento en la productividad de los empleados y una mayor
satisfacción en el trabajo.
4.2 Marco conceptual.
Acceso
Es la habilidad de permitir o denegar el uso de un recurso particular a una
entidad en particular.
Los mecanismos para el control de acceso pueden ser usados para cuidar
recursos físicos (ej: acceso a una habitación donde hay servidores),
recursos lógicos (ej: una cuenta de banco, de donde solo determinadas
personas pueden extraer dinero) o recursos digitales (ej: un archivo
informático que sólo puede ser leído, pero no modificado). (Diccionariode informática ALEGSA, Pag.14)
Herramienta de trabajo
Es un instrumento que permite realizar ciertos trabajos. Estos objetos fueron
diseñados para facilitar la realización de una tarea mecánica que requiere del
uso de una cierta fuerza.
Más allá del objeto físico, el concepto de herramienta también se utiliza para
nombrar a cualquier procedimiento que mejora la capacidad de realizar ciertas
tareas. De esta forma, es posible hablar de herramientas informáticas: “Microsoft
Office es una herramienta para desarrollar tareas de oficina”. Cabe destacar
que, según este uso más amplio del término, queda de lado la definición que
resalta que la herramienta es un medio para la aplicación controlada de energía.
Con una herramienta informática, el ser humano no realiza ningún tipo de fuerza.
(http://definicion.de/herramienta/)
6
Tablet
Es un tipo de computadora portátil, de mayor tamaño que un teléfono inteligente
o una PDA, integrado en una pantalla táctil (sencilla o multitáctil) con la que se
interactúa primariamente con los dedos o una pluma stylus (pasiva o activa), sin
necesidad de teclado físico ni ratón. Estos últimos se ven reemplazados por un
teclado virtual y, en determinados modelos, por una mini-trackball integrada en
uno de los bordes de la pantalla. (http://es.wikipedia.org/wiki/Tableta)
Seguridad informática
Es una disciplina que se encarga de proteger la integridad y la privacidad de la
información almacenada en un sistema informático. De todas formas, no existe
ninguna técnica que permita asegurar la inviolabilidad de un sistema.
Un sistema informático puede ser protegido desde un punto de vista lógico (con
el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por
ejemplo). Por otra parte, las amenazas pueden proceder desde programas
dañinos que se instalan en la computadora del usuario (como un virus) o llegar
por vía remota (los delincuentes que se conectan a Internet e ingresan a
distintos sistemas).(http://definicion.de/seguridad-informatica/)
Riesgo
Estimación del grado de exposición a que una amenaza se materialice sobre
uno o más activos causando daños o perjuicios a la Organización. La noción de
riesgo suele utilizarse como sinónimo de peligro. El riesgo, sin embargo, está
vinculado a la vulnerabilidad, mientras que el peligro aparece asociado a la
factibilidad del perjuicio o daño. Es posible distinguir, por lo tanto, entre riesgo (la
posibilidad de daño) y peligro (la probabilidad de accidente o patología). En otras
palabras, el peligro es una causa del riesgo.(http://definicion.de/riesgo/)
7
4.3 Marco espacial.
El estudio se realizara en la Industrias Nacionales S.A. (INCA), Carretera de Villa
Mella. Zona Industrial La Isabela, Santo Domingo Norte, República Dominicana.
4.4 Marco temporal.
El estudio se realizará desde el 13 de septiembre hasta el 29 de noviembre.
5. Hipótesis.
5.1 Hipótesis de primer grado.
En el año 2013 se incrementó el uso del fenómeno BYOD en la empresa
INCA, S.A.
5.2 Hipótesis de segundogrado.
La empresa INCA, S.A., ajena a dicha situación, no está implementando
las medidas necesarias para mantener la seguridad de la empresa.
Variables Indicadores
Equipos propios Cantidad de personas que llevan su
propio equipo
Acceso Eficiencia del control de acceso
Seguridad Filtro de información
6. Aspectos metodológicos.
8
6.1 Tipos de estudios.
La siguiente investigación utilizará los métodos de análisis y observación para
identificar cada una de las partes que caracterizan la realidad. De esa manera se
establecerá la relación causa-efecto entre los elementos que componen el objeto
de investigación. Además, se utilizará el método deductivo que tiene como
propósito señalar las verdades particulares contenidas explícitamente en la
situación general.
6.2 Métodos de estudios.
En esta investigación utilizaremos los siguientes métodos: observación, análisisy
deductivoque tienen como propósito señalar las verdades particulares
contenidas explícitamente en la situación general.
El método de la observación será el punto de partida de la investigación, el cual
nos permitirá obtener los primeros datos acerca del problema.
Mediante el método deductivo se pretende partir de la información general y
desglosarla en particulares.
El método de análisis se utilizará con la finalidad de analizar cada una de las
variables y los indicadores del problema.
6.3Fuentes y técnicas.
6.3.1 Fuentes.
Las fuentes primarias que se utilizarán para la presente investigación serán las
investigaciones científicas, publicaciones de periódico, revistas e internet que
tengan el autor identificado.
9
Por otro lado, las fuentes secundarias que se utilizarán son: las enciclopedias,
publicaciones en revistas y periódicos e internet, que el autor no esté
identificado.
6.3.2 Técnicas.
Observación directa no participante
Para llevar a cabo la investigación se utilizará la técnica de observación no
participante, ya que se pretende observar el fenómeno BringYourOwnDevice
(BYOD), en los distintos departamentos deIndustrias Nacionales S.A. (INCA)
para poder hacer las anotaciones necesarias que ayuden a plantear las posible
soluciones.
Encuesta
Se realizaran entrevista a los encargados del departamento de tecnología y al
50% de los colaboradores de los departamentos administrativos de INCA se les
realizaran cuestionarios.
6.4 Tratamiento de la investigación.
La investigación se apoyaráen técnicas estadísticas que permitirá examinar los
datos de manera numérica.
Se utilizará este método porque la investigación se basa en la recolección de
información y análisis del fenómeno BYOD en la empresa INCA y su impacto al
departamento de tecnología, para así obtener una matriz de información
confiable a partir del estudio de relación entre variables.
10
7. TABLA DE CONTENIDO.
CAPITULO I. ANÁLISIS DE LA EMPRESA
1.1 Antecedentes la empresa INCA
1.2 Origen de la empresa INCA
1.3 Filosofía de la empresa INCA
1.4 Aspectos metodológicos
1.5 Estructura de riesgo de BYPOD en la empresa INCA
CAPITULO II. BRING YOUR OWN DEVICE (BYOD)
2.1 Fenómeno BYOD
2.2 Requerimientos
2.3 Proceso de conexión
2.4 Personas involucradas
2.5 Servicios de infraestructura
CAPITULO III. BYOD: LA REVOLUCION DE LOS EQUIPOS MOBILES
3.1 Revolución del fenómeno BYOD
3.2 Modelo de negocio
3.3 Modelo de riesgo
3.4 Mapa de riesgo
3.5 Gestión de riesgo
3.6 Salvaguardas
3.7 Evaluación de la seguridad
11
8. Bibliografía.
Bolbeck, Flambard. (2012) Consumerization: 5 Steps to a successful BYOD
strategy. EstadosUnidos. Amazon Media EU.
Donahue, Tom. (2012) The RSVP to BYOD: How IT Can Overcome the New
Technology Challenge. Estados Unidos. Amazon Media EU.
Gledhill, Chris F.B. (2012) Consumerization: The Enterprise Guide to BYOD.
Estados Unidos. Amazon Media EU.
Royer, Jean-Marc. (2004) Seguridad en la informática de empresa: riesgos,
amenazas, prevención y soluciones. Barcelona, España. Ediciones ENI.
Revistas:
Rojas, Jeniffer(2012). BYOD acarrea retos de seguridad corporativa. Revista IT
NOW, 30, 2-3.
Internet:
http://www.baquia.com/blogs/baquia-mobile/posts/2012-08-24-el-fenomeno-
byod-genera-empleados-adictos-al-trabajo
http://www.idg.es/cio/estructura/imprimir.asp?id=122208&cat=not
http://www.cisco.com/web/LA/soluciones/strategy/education/connection/articles/e
dition2/article3.html
http://www.techvalley.com.mx/analisis/que-es-el-fenomeno-byod-123/
http://www.networkworld.es/ItSMF-investiga-a-nivel-mundial-el-fenomeno-
BYOD/seccion-actualidad/noticia-128065
12
http://www.telecomunicacionesparagerentes.com/ventajas-y-retos-del-fenomeno-
byod-en-la-movilidad-corporativa/
http://www.baquia.com/blogs/baquia-mobile/posts/2012-08-24-el-fenomeno-
byod-genera-empleados-adictos-al-trabajo
http://www.networkworld.es/Los-CIO-empiezan-a-aceptar-el-fenomeno-
BYOD/seccion-actualidad/noticia-122017
9. Cronograma.
Fecha ActividadDuración (3 meses) 13 de septiembre de 2013
hasta el 29 de noviembre de 20131 2 3 4 5 6 7 8 9 10 11 12
13/09/2013 Entrega primer borradoranteproyectoon
20/09/2013 Entrega final de anteproyecto27/9/2013 Entrega capítulo 1
04/10/2013 Entrega final capítulo 111/10/2013 Entrega capítulo 2 parte 118/10/2013 Consultas25/10/2013 Entrega capítulo 2 parte B01/11/2013 Consultas08/11/2013 Entrega capítulo 315/11/2013 Entrega 2da parte capítulo 322/11/2013 Revisión preliminar de proyectos29/11/2013 Entrega de proyecto
13
10. Presupuesto.
Ingresos miles RD$ Egresos miles RD$Recursos propios $ 49,800.00 Horario de los profesionales $ 15,000.00
Pago de monográfico $ 10,000.00Libros y papelería $ 5,000.00Copias $ 500.00Impresión y empaste $ 2,300.00Herramienta de prueba $ 12,000.00Otros gastos $ 5,000.00
Total Ingresos $ 49,800.00 Total Egresos $ 49,800.00