Archivo de la etiqueta: política de BYOD

Cuáles son los riesgos de BYOD y de Cloud Computing

Si bien las tendencias BYOD y Cloud computing en materia tecnológica presentan numerosas ventajas, como por ejemplo una reducción inicial en la inversión que se realice en equipos,  también es interesante analizar cuáles son los costos ocultos y los riesgos que conlleva su uso.

Por ejemplo, con relación al BYOD algunos de los costos ocultos serían:

  • La obligación por parte de los empleados de tener que rendir informes detallados del uso corporativo de los dispositivos BYOD que estén usando para llevar a cabo su trabajo.
  • Otro costo sería para la empresa tener que invertir más dinero en mantenimiento de diferentes tipos de equipos o dispositivos móviles con sistemas operativos diferentes, en vez de tener simplemente unificado el mantenimiento de todos los equipos de igual marca y similares especificaciones técnicas y operativas.
  • Esto implica por consiguiente que el departamento de TI tendría que tener mayores conocimientos para ofrecer soporte a una mayor variedad de equipos diferentes, de diferentes marcas, especificaciones…
  • Con relación a la información transmitida a través de los dispositivos BYOD es importante tener en cuenta que hay que asegurar altos niveles de seguridad para los datos empresariales, para evitar fugas o robos de información, y así conservar el control que se tine sobre la información de la empresa.

Y con relación a la tendencia Cloud computing, podemos afirmar que,  independientemente de las ventajas que ya se conocen como por ejemplo no tener que realizar  una inversión en infraestructura y equipos innecesarios, también hay que indicar   los siguientes costos ocultos:

  • Si la empresa tiene un servicio de SaaS (software as a service), hay que identificar muy bién quién es el proveedor de las aplicaciones que se utilicen, los parámetros de seguridad utilizados para protección de datos y  la ubicación de los datos de la empresa.
  • Hay que saber qué tipo de nube o cloud se está contratando, ya que no es igual contratar los servicios con una nube privada, donde se tiene más control de los datos que una nube pública, ya que el tipo de datos que se subirán a una nube pública no deberían ser datos que requieran ser catalogados como sensibles o vulnerables, o que deban permanecer en secreto o con mayor protección.
  • Es necesario conocer igualmente las políticas de protección de datos que el proveedor está manejando para no tener problemas posteriormente.

En el siguiente video se explican con mayor detalle  cuáles serían estos costos ocultos y estos riesgos.

¿Cómo establecer una política exitosa de BYOD en 7 pasos?

BYOD
imagen: trendmicro.es

Cuando las empresas optan por la opción de permitir que sus empleados traigan al trabajo sus propios dispositivos móviles y trabajen con ellos (ésta práctica es más conocida como BYOD o Bring Your Own Device (en inglés: traiga su propio dispositivo), se abre un campo de nuevas posibilidades laborales tanto para la empresa como sus trabajadores que en muchos sentidos son beneficiosas para ambas partes.
Pero el hecho de que la empresa permita a sus empleados llevar sus propios PC y dispositivos, no quiere decir que el empleado ahora sí pueda ser libre en el uso de los equipos y que no exista un control por parte de la compañía.
Por eso existen ciertas pautas básicas que deberían ser adoptadas por las empresas a la hora de implementar una política corporativa (o de buenas prácticas) de BYOD. ¿Cuáles serían estas pautas?

1. Establecer pautas mínimas de utilización: Por supuesto, no existe un manual infalible aplicable a todas las empresas, pues cada una verá cuáles son los puntos más convenientes. Pero ante todo es indispensable establecer qué tipo de comportamientos son aceptables y cuáles no, y a qué tipo de información podrá tener acceso un usuario específico y a qué información no. Más aún, se debe establecer qué usuarios tendrán acceso a determinada información. Todo esto podría resumirse en algo que podría llamarse «pautas de uso aceptable».

2. Selección de los equipos y versiones: Habría que seleccionar qué tipos (y marcas) de dispositivos, tabletas, pc…y qué versiones de estos equipos tendrán acceso a la información de la empresa.

3. Explicar la política de uso y reembolso de los dispositivos: las empresas pueden en ciertos casos prestar, alquilar o simplemente subsidiar el uso de los equipos bien sea suministrando el equipo mismo o asumiendo la totalidad o parte de los costos de utilización y mantenimiento. Esto debe quedar claramente definido por escrito en un manual de buenas prácticas. Aquí también se incluiría la parte explicativa de cómo se asumen los costos del equipo en caso de daño, pérdida o robo.

4. Seguridad de datos y aplicaciones: y hablando de cuestiones de seguridad, también hay que implementar políticas mínimas de seguridad de datos. Por ejemplo, es muy común establecer listas negras de aplicaciones que no deberían usarse dentro de la empresa o cuando se está usando el equipo para trabajo corporativo. La política de seguridad de la empresa debe dejar claro que el departamento de TI de la empresa tiene la potestad de bloquear o impedir el acceso a aplicaciones que se encuentren en listas negras y que violen las políticas de seguridad y buenas prácticas de la compañía. Otro aspecto que se debe cubrir es el asunto de la seguridad de datos, los antivirus, las configuraciones de firewalls y demás softwares de seguridad.
Aparte de lo anterior, es indispensable establecer cuál es la información que la empresa considera «sensible» y qué se debe hacer en caso de una brecha de seguridad o fuga de información (incluso se deben explicar las consecuencias legales de infringir estas normas).

5. Utilizar un software de administración de dispositivos móviles o (MDM): esto le permite al departamento de TI tener mayor monitoreo sobre los smartphones, controlar acceso a la información e incluso borrar datos. La utilización de este software forma parte de algo mayor: la gestión de la movilidad empresarial, que debe actuar de la mano con las políticas de buenas prácticas de BYOD.

6. Ponerlo todo por escrito: indispensable para darle seriedad y transparencia a toda la gestión. Por eso no solo basta con escribir un manual de buenas prácticas, también hay que involucrar de lleno al empleado (éste puede firmar un contrato de compromiso del buen uso de BYOD) para que funcione.

7. Definir las fronteras entre el uso personal y el uso para negocios del dispositivo: esto puede resultar problemático debido a que la línea entre la protección y seguridad de los datos de la empresa y la violación de la privacidad es muy delgada. Por eso lo mejor es asesorarse legalmente, de un abogado experto, para saber cuáles son las leyes que regulan las políticas de BYOD y evitarse así problemas y pleitos.