sábado, noviembre 06, 2021

TYOD “Take Your Own Device” vs. BYOD “Bring Your Device”

Hoy en día tenemos básicamente dos sistemas operativos móviles: iOS y Android. Es cierto que hay otros, pero son minoritarios. Muy minoritarios. Así que la mayoría de las empresas en las que se aplica la política de Bring Your Own Device donde se le invita a un trabajador a traer su propio terminal al trabajo, o en las que se entrega un terminal al usuario para que lo utilice, el sistema operativo es Android o iOS.

Figura 1: TYOD “Take Your Own Device” vs. BYOD “Bring Your Device”

Asumido esto, vamos a centrarnos en el punto del título de Take Your Own Device, para ver si soy capaz de explicarme. En los casos anteriores hemos visto dos situaciones distintas. En una, el empleador entrega el terminal. En otra, es el empleado el que decide usar su propio dispositivo. Pero esto no es todo el universo de posibilidades.

Supongamos que el empleador entrega el dispositivo móvil al empleado. En este caso, se pueden dar dos situaciones, una en la que el terminal esté totalmente plataformado, con alguna solución de SMDM (Secure Mobile Device Management), donde el sistema operativo, los usuarios del sistema operativo, y las apps, vengan instaladas. O una segunda situación donde el empleador solo reciba el dispositivo sin plataforma, y deba ser él mismo el que lo configure.
 
Take Your Own Device

En este segundo caso, en el que el empleado recibe un terminal que él se debe configurar nos encontramos con una situación muy particular porque el hardware es de la compañía – del empleador -, pero el sistema operativo y todo lo que hay sobre él se basan en un contrato entre Apple o Google y el usuario, es decir, entre el empleado. Así que, digamos que el hardware es de la empresa, pero el sistema operativo, las apps y los datos, son del empleado. Es decir, Take Your Onw Device es cuando:
  • La empresa entrega el terminal que tiene que usar el empleado.
  • No lo da plataformado, y obliga de facto, a que ponga una cuenta personal.
De hecho, si el empleado tiene ya una larga relación de años con Apple o Google, al configurar su cuenta en un nuevo dispositivo, este será colonizado con datos históricos, que pertenecen, y deben seguir perteneciendo al empleado. Y por eso, debemos cuidarnos de garantizar que así siga siendo.

Así que, si en tu empresa tienes una política de Bring Your Own Device, el usuario será dueño de todo su dispositivo, y solo la información de la compañía será de la empresa, pero en una política de Take Your Own Device, es decir, en la que se entrega el terminal sin plataformar, de facto, el dueño de la información que hay en ese sistema operativo es la persona, es decir, el empleado.

Análisis Forense en políticas de TOYD

Y si ahora tienes que hacer un análisis forense a un terminal Android o un forense a un dispositivo iOS en una empresa con política de Take Your Own Device, es decir, en el que se entrega al empleado un terminal sin plataformar, y por tanto se le obliga a él tener una cuenta de Google o Apple respaldada por un contrato entre el empleado y las compañías, ¿deberías hacerlo sin el permiso de la persona?

Figura 2: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo Gonzáleez y Alejandro Ramos entre otros.

Desde luego, mi opinión es que nadie de la empresa debería poder tocar el sistema operativo de ese terminal sin el permiso expreso de su dueño, porque si alguien de seguridad está haciendo un análisis forense a un terminal en el que el usuario que está configurado pertenece al empleado y no a la empresa, te estarías metiendo en ese contrato entre Apple y/o Google y el empleado, que corresponde a su vida personal, por mucho que el hardware sea de la empresa.

Figura 3: Malware en Android. Discovering,
Reversing & Forensics

Sin embargo, en algunas empresas con política de Take Your Own Device he visto que se le retira el terminal al empleado y se pide al equipo de seguridad que haga un análisis forense del mismo, metiéndose en una cuenta personal de esa persona. Yo, personalmente, no creo que esté bien y se deba hacer. De hecho, mi opinión es que en empresas con políticas de TYOD se debe garantizar la privacidad de los datos que haya en ese terminal, por mucho que el hardware sea de la empresa.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


1 comentario:

  1. Totalmente de acuerdo Chema, aunque el HW sea de compañía, el contrato entre proveedor y usuario debe respetarse, y salvo permiso expreso de ese usuario, no involucrar al departamento de seguridad en un análisis forense. Saludos no tan malignos.

    ResponderEliminar