BYOD (Bring your Own Device): algunas consideraciones

BYOD ( del Inglés ‘Bring Your Own Device’ o en castellano ‘Trae tu propio dispositivo’) es una tendencia que está cobrando una gran fuerza en el panorama empresarial en los últimos meses. La tendencia es bastante polémica y genera acérrimos defensores y detractores y, en general, es uno de los puntos de atención en la agenda de los responsables de seguridad corporativos.

Lo que se plantea con el modelo BYOD es que de manera más o menos generalizada y con el menor coste para el empresario, los empleados puedan usar sus dispositivos móviles particulares  (tablets, portátiles, móviles) para trabajar localmente o desde casa, democratizando el actual modelo de trabajo “móvil” a todos los empleados.  Esto se dice que redunda en una mayor satisfacción del usuario. Sin embargo, la relevancia del modelo BYOD va más allá de la mera satisfacción de usuario:

–  Existen estudios que apuntan a que esta medida aumenta el rendimiento de los empleados en cerca de un 20%, dado que (como ocurre con el trabajo en remoto en general) permite estar conectado más allá del tiempo de permanencia en la oficina y aprovechar mejor el tiempo para resolver temas pendientes con mayor flexibilidad. El típico ejemplo es aprovechar tiempos muertos en un aeropuerto. Los defensores del modelo argumentan que esto fomenta la flexibilidad laboral y una mejor conciliación de la vida personal y profesional…

– También es cierto que las empresas ven en esta medida un potencial ahorro de costes ya que, llevado al extremo, podrían ahorrarse gran parte del coste de ordenadores, teléfonos, etc…

Lo cierto es que aunque las expectativas son muy altas por ambas partes (usuarios y empresas), al concepto aún le queda algún tiempo para estar totalmente maduro…Esto es así porque aún quedan ciertas cuestiones por resolver.  Uno de los principales retos que se plantea en este modelo es cómo conjugar la seguridad, con la usabilidad propia del dispositivo personal del empleado y sin invadir la esfera de su privacidad… …

Espero que este post pueda ayudar a clarificar expectativas a todos aquellos involucrados en el proceso de definición de un programa de BYOD para su organización.

Contexto del problema

Las empresas que trabajan con información de clientes están obligadas al cumplimiento de unos estándares mínimos de seguridad de la información, de acuerdo a la regulación de protección de datos. En general, la información de negocio, de caer en manos no autorizadas, podría ser usada para la comisión de fraude y, en último término, más allá de las posibles sanciones económicas, causar  un daño a la reputación de la organización, a la confianza que depositan los clientes y/o una pérdida de competitividad de la compañía.

El modelo actual de “trabajo móvil”

En la actualidad, en el modelo más frecuente de teletrabajo (en el que el empleado usa recursos proporcionados y/o controlados por la empresa), la gestión de los riesgos es relativamente sencilla. Normalmente las medidas de seguridad  tienen impacto en la experiencia de usuario (usabilidad), pero el modelo permite proteger razonablemente a la empresa de los riesgos de seguridad de la información. Entre otros, las empresas suelen establecer una serie de requisitos similares a estos:

• Los empleados aceptan unas normas de uso.

• Es posible limitar/excluir el acceso a los sistemas donde se maneja información de negocio más sensible.

• Los equipos usados están configurados de acuerdo a estándares de seguridad reconocidos

• Es posible crear una “jaula segura” de modo que se impida la “mezcla” de información personal del dispositivo hacia la empresa y viceversa. De esta manera, en el caso de equipos propiedad del empelado, es posible aislar la red de la empresa de los virus y software espía que podrían residir en el equipo.

• Es posible establecer mecanismos de monitorización que permiten controlar las actividades realizadas por el empleado con bastante detalle

• En el caso de smartphones y tablets, en caso de pérdida del dispositivo, es posible el borrado y desactivación en remoto del equipo de modo que no se pueda acceder a la información.

Cuestiones a considerar

Cuando se plantea el establecimiento de un programa de BYOD, algunas de las cuestiones principales a tener en cuenta/resolver son:

…relacionadas con la propiedad

En un modelo en el que se usara un dispositivo propiedad del empleado (el que ayudaría en mayor medida la reducción de costes), se plantean cuestiones del tipo:

– Si el dispositivo es propiedad del empleado, ¿Cómo podría la empresa conseguir que el dispositivo tuviera unas mínimas medidas de rendimiento y seguridad (ej: capacidad de sistema, uso de contraseñas, protección antivirus, actualización del sistema, mecanismos de cifrado…).

– Si el dispositivo es propiedad del empleado, ¿Qué capacidad tendría la empresa para llevar acciones sobre el dispositivo?. Por ejemplo, en el caso de un empleado que abandonase la organización, ¿tendría ésta la capacidad para llevar a cabo un borrado de la eventual información de negocio que estuviese almacenada en el dispositivo?.

• En relación con estas cuestiones se plantea la necesidad de la firma por parte del empleado de unas “condiciones de uso” en las que se delimiten las responsabilidades de las partes y se establezcan los derechos de la entidad en la operación y administración remota del dispositivo aún cuando sea propiedad del empleado.

• Conviene considerar modelos mixtos alternativos, en donde el empleado pueda comprar el dispositivo con cierta “subvención” por parte de la empresa. Esto tiene la ventaja de que ayuda a normalizar las características técnicas de los dispositivos y facilita la capacidad de la organización para la operación remota del dispositivo.

• Es importante tener en cuenta que la compatibilidad del dispositivo con los mecanismos de seguridad requeridos, determinará necesariamente el nivel de acceso que se pueda conceder.

…relacionadas con los perfiles de usuario 

Uno de los requisitos previos imprescindible desde mi perspectiva es una definición clara de los distintos perfiles de usuario y permisos de acceso que la empresa quiere establecer. Los mecanismos de control a establecer deberían ser diferentes en función del nivel de acceso a la información y a los sistemas:

• Si sólo se va a acceder al correo corporativo y/o la navegación Internet.

• Si se va a manejar información de negocio considerada sensible.

cuestiones de seguridad básicas

Siendo realistas, el acceso a información corporativa por medio de dispositivos partículares propiedad del empleado, implicará que el dispositivo reúna una serie de condiciones de seguridad mínimas que establece la normativa aplicable a la empresa. Ello implicará obviamente que el usuario acepte la instalación de software y cierta capacidad de administración y operación remota del dispositivo por parte de la organización, incluyendo la contingencia de que el empleado deje de serlo. Aquí el departamento de informática tiene un papel fundamental a la hora de examinar y evaluar todas las tecnologías disponibles para optimizar el equilibrio entre usabilidad, seguridad y coste.

Sin ánimo de ser exhaustivos, algunas de las cuestiones de seguridad básicas a considerar en un programa BYOD son:

• En caso de pérdida del dispositivo debe haber un mecanismo que permita el borrado en remoto del dispositivo  con  información de negocio.

• El acceso a la información y los sistemas de la empresa debe ser coherente con los requisitos de control de acceso. Dependiendo del nivel de acceso, se requerirá desde una simple combinación usuario/password a mecanismos de autenticación fuerte.

• La información de negocio almacenada en el dispositivo debería estar cifrada, de acuerdo a mecanismos homologados por la entidad y la criticidad de la información.

• Dependiendo del nivel de acceso a información, deben garantizarse mecanismos que permitan aislar la información y los sistemas sensibles de la entidad de las amenazas a las que pueda estar sometido el dispositivo personal, por ejemplo en el caos de infección por software espía, virus…

• Deben establecerse mecanismos de monitorización y administración remota que aseguren niveles mínimos de seguridad en temas de protección anti-virus, actualización del sistema operativo, sistemas de backup…

• Desactivación en caso de que se detecte que el dispositivo no cumple requisitos…

Desde mi perspectiva personal, siendo realistas, creo que al menos de manera inmediata va a ser complicado que el cumplimiento de estos requisitos sea totalmente “transparente” desde la perspectiva de experiencia de usuario.

2 Replies to “BYOD (Bring your Own Device): algunas consideraciones”

  1. En los dispositivos móviles de útima generación (tablets principalmente con Android) existe además una limitación técnica que es que no existe la administración de dispositivos en remoto tal y como la conocemos, como si ocurre en plataformas Windows o Unix, por lo que sería bastante complicado realizar las diferentes labores de mantenimiento de los dispositivos online. (Parcheos, análisis de aplicaciones y de virus, etc)

    Si que se permite fijar una politica de seguridad en los dispositivos (Muy básica por cierto, que incluye básicamente el forzado de contraseña, cifrado del dispositivo y bloqueo por pérdida o sustracción) (Ver Google Apps Device Policy y MDM de Apple, esta última más robusta pero que no cubre todas las necesidades de una Organización)

    Además se junta la complejidad de la diversidad de Marcas, Sistemas Operativos del Mercado, por lo que puede dificultar enormemente uniformalizar los dispositivos para una efectiva gestion de los mismos desde la Empresa.

    En el caso de querer llevar a buen puerto el BYOD, sería necesario que la organización correspondiente unífique los dispositivos / sistemas operativos a utilizar por una parte (Requisitos del dispositivo que se le pedirían al trabajador), y que adopte un sistema que le permita el control del dispositivo como si de un puesto en local se tratase, cosa que aún falta tiempo a que llegue a estar plenamente depurado. (Microsoft con Windows 8 parece ser que si permite mayor flexibilidad en este punto al ser un sistema que está preparado para ambas plataformas PC – Tablet o duos)

    El tema de este post resulta apasionante, es el futuro a corto plazo que aún no hemos hayado el camino de materializarlo del todo. Me ha gustado el artículo.

    Un saludo

  2. Saludos Javier, muchas gracias por tu aportación.

    Es cierto que de manera nativa muchos dispositivos no tienen facilidades para la gestión remota. A nivel empresarial es necesario recurrir en estos casos a soluciones de terceros para suplir esta carencia. Por ejemplo, Good for entrerprise tiene una solución bastante buena. En algún momento escribiremos un pequeño artículo haciendo una revisión de estas soluciones.

    Muchas gracias otra vez por tu comentario y espero que sigas leyéndonos…

Deja un comentario