2021-11-06 17:54:46
Figura 1: TYOD “Take Your Own Device” vs. BYOD “Bring Your Device”
Asumido esto, vamos a centrarnos en el punto del título de Take Your Own Device, para ver si soy capaz de explicarme. En los casos anteriores hemos visto dos situaciones distintas. En una, el empleador entrega el terminal. En otra, es el empleado el que decide usar su propio dispositivo. Pero esto no es todo el universo de posibilidades.
Supongamos que el empleador entrega el dispositivo móvil al empleado. En este caso, se pueden dar dos situaciones, una en la que el terminal esté totalmente plataformado, con alguna solución de SMDM (Secure Mobile Device Management), donde el sistema operativo, los usuarios del sistema operativo, y las apps, vengan instaladas. O una segunda situación donde el empleador solo reciba el dispositivo sin plataforma, y deba ser él mismo el que lo configure.
Take Your Own Device
En este segundo caso, en el que el empleado recibe un terminal que él se debe configurar nos encontramos con una situación muy particular porque el hardware es de la compañía – del empleador -, pero el sistema operativo y todo lo que hay sobre él se basan en un contrato entre Apple o Google y el usuario, es decir, entre el empleado. Así que, digamos que el hardware es de la empresa, pero el sistema operativo, las apps y los datos, son del empleado. Es decir, Take Your Onw Device es cuando:
La empresa entrega el terminal que tiene que usar el empleado.No lo da plataformado, y obliga de facto, a que ponga una cuenta personal.De hecho, si el empleado tiene ya una larga relación de años con Apple o Google, al configurar su cuenta en un nuevo dispositivo, este será colonizado con datos históricos, que pertenecen, y deben seguir perteneciendo al empleado. Y por eso, debemos cuidarnos de garantizar que así siga siendo.
Así que, si en tu empresa tienes una política de Bring Your Own Device, el usuario será dueño de todo su dispositivo, y solo la información de la compañía será de la empresa, pero en una política de Take Your Own Device, es decir, en la que se entrega el terminal sin plataformar, de facto, el dueño de la información que hay en ese sistema operativo es la persona, es decir, el empleado.
Análisis Forense en políticas de TOYD
Y si ahora tienes que hacer un análisis forense a un terminal Android (https://0xword.com/es/libros/76-malware-en-android-discovering-reversing-and-forensics.html) o un forense a un dispositivo iOS (https://0xword.com/es/libros/39-libro-hacking-dispositivos-ios-iphone-ipad.html) en una empresa con política de Take Your Own Device, es decir, en el que se entrega al empleado un terminal sin plataformar, y por tanto se le obliga a él tener una cuenta de Google o Apple respaldada por un contrato entre el empleado y las compañías, ¿deberías hacerlo sin el permiso de la persona?
10 views14:54