Guía básica para políticas de empresa en entornos BYOD

La flexibilidad que proporciona el fenómeno BYOD en la que los empleados «traen sus propios dispositivos» a las empresas suponen también un trabajo extra de planificación y gestión.

Tradicionalmente ha sido la empresa quien siempre ha elegido el tipo de dispositivo, pagándolo, entregándolo, manteniéndolo y retirándolo llegado el momento. Pero parte de esta responsabilidad pasa con el BYOD a los empleados, que pueden ganar en comodidad –cada cuál elige con qué aparato quiere trabajar–, modernidad –los dispositivos tienden a estar más «a la última» y mejor cuidados– y costes –los aparatos duran más y se adaptan a lo que cada cual necesita– aunque todo ello requiere llegar a ciertos compromisos.

5 preguntas que debes hacerte antes de desarrollar las políticas de tu empresa para entornos BYOD

Las listas de recomendaciones respecto al BYOD suelen ser enormes, e involucran a diversos departamentos de las empresas. En general pueden dividirse en recomendaciones técnicas sobre cómo gestionar esos equipos y en políticas de la empresa que pueden tomar la forma de preguntas y respuestas.

Estas son algunas de las preguntas a las que deben responder las políticas BYOD:

• ¿De quién es propiedad cada dispositivo?
• ¿Quién paga por el mantenimiento de los dispositivos y los seguros?
• ¿Qué dispositivos están permitidos y cuáles no?
• ¿Qué sucede cuando los empleados dejan la empresa?
• ¿Qué sucede si una persona no sigue las recomendaciones fijadas?

Las primeras cuestiones tienen mucha relación unas con otras: los equipos pueden comprarse y cederse, utilizando fórmulas como el renting o el leasing, o a veces los empleados son los propietarios. Pero no siempre es conveniente que cualquier dispositivo entre en el programa BYOD de la empresa, ya sea por seguridad o coste extra; puede requerir seguros o mantenimiento adicional, que sea intratable por el equipo de soporte, necesite una seguridad que no pueda garantizar y demás.

Esto es especialmente importante de aclarar para que llegado el momento de la separación entre el empleado y la empresa esté claro qué pertenece a quién, especialmente los datos que tienen los dispositivos. En esos dispositivos (portátiles o móviles) puede haber mensajes, documentos o fotografías profesionales y personales y el empleado debe tener oportunidad de separarlo. También puede haber cuentas o tokens de acceso a aplicaciones de las empresas, que hay que proteger. La solución última es el borrado total del dispositivo, algo que debería hacerse una vez cada parte ha recuperado de él lo que necesita.

También es importante fijar qué sucede si un empleado no sigue las recomendaciones BYOD: si pone en peligro datos confidenciales por acceder a redes inseguras, si instala apps no permitidas que puedan robar datos o si utiliza recursos de la empresa para fines personales. Dejarlo todo claro antes de empezar es la mejor forma de evitar problemas. Últimamente por ejemplo hay más concienciación sobre que los dispositivos wereables y de la Internet de las Cosas (IoT) suponen «pequeñas amenazas» difíciles de gestionar; eliminarlos del uso autorizado corporativo y restringirlo al personal puede ser buena idea. También hay que dejar claro quién es propietario de las cuentas en servicios como redes sociales y similares; los departamentos legales pueden preparar documentos respecto a esto.

Descarga la guía para proteger tu negocio

Recomendaciones técnicas para proteger tu negocio en entornos BYOD

En cuanto a las recomendaciones y normas BOYD más habituales, esta es una lista de lo más importante aunque no es exhaustiva porque dependiendo de la organización se puede afinar mucho más:

• Utilizar contraseñas y PIN en todos los dispositivos, y distintos para cada uno de ellos.
• Desactivar la conectividad Wi-Fi y Bluetooth cuando no se use.
• Mantener el sistema y las aplicaciones actualizadas.
• Hacer copias de seguridad de forma regular.
• Pasar periódicamente un antivirus.
• Utilizar una Red Privada Virtual (VPN).
• Comprobar qué apps están autorizadas y cuáles no (y evitar las «gratuitas»).
• Activar funciones como «localizar dispositivos» y «borrado remoto».

Los primeros consejos son tan habituales que mucha gente los lleva a cabo en su día a día, pero no está mal recordarlos, especialmente el de que no conviene reutilizar la misma contraseña en varios sitios. La empresa puede realizar auditorías o simples comprobaciones acerca de si los sistemas operativos, apps, copias de seguridad y antivirus se actualizan periódicamente. Incluso cursos de refresco sobre las ciberamenazas más habituales, que nunca está de más. También pueden forzar el uso de la VPN en sus locales, aunque lo verdaderamente importante suele ser que se usen en las conexiones externas (hoteles, lugares públicos, u otras oficinas).

Como parte del protocolo, el hecho tener localizados físicamente los dispositivos y poder borrarlos de forma remota en caso de robo o pérdida es importante. Esto junto con la existencia de copias de seguridad actualizadas minimiza la posibilidad de que los datos lleguen a personas extrañas, al tiempo que no supondrá un problema que alguien pierda el portátil o el smartphone en un taxi porque siempre se podrá borrar en remoto y recuperar la información a partir de las copias de seguridad.