La nube ha revolucionado la manera en que hacemos negocios y el panorama va cambiando rápidamente hacia la opción de tener más empleados en forma remota o sin horario. Así, BYOD, “Bring Your Own Device”, se va transformando en una norma, y poco a poco veremos cómo la información de nuestros negocios y empresas se dispersa en los dispositivos personales de nuestros empleados. Una tendencia en alza que, para muchos profesionales TI, se transforma en “Bring Your Own Disaster”.
Hagamos un rápido análisis de los pro y contras de esta tendencia.
A su favor podemos decir que:
• Muchos empleados prefieren sus propios equipos, porque los hacen sentir más cómodos, lo que se puede traducir en un aumento de la eficiencia.
• Sabemos que las personas cuidan más sus propias cosas que las de la empresa.
• Muchas organizaciones no tienen fondos para mantener una actualización constante de su equipamiento, y sus empleados sí lo hacen, por propio interés.
• La organización ahorra dinero en compra de equipos o, según la política, en arriendos mensuales.
• Soluciona las quejas de aquellos empleados que se niegan a cargar con múltiples equipos: personales y de trabajo.
En su contra hay argumentos como:
• La seguridad. Sin duda, éste es el tema Nº1 del BYOD: si el equipo no es de la empresa, no es posible monitorear su uso.
• Aquellos empleados que utilizan sus propios dispositivos pueden comprometer la información de la compañía, al no tener la seguridad necesaria con ellos.
• Los dispositivos de nuestros empleados pueden tener virus y malware que traspasen nuestra red y/o la de nuestros clientes.
• Si el equipo falla, se pierde o destruye, perdemos información y, en el peor de los casos, esto nos puede llevar a serios incumplimientos.
• Y, ¿qué sucede cuando un empleado se va? No podemos pedirle su equipo, y se puede ir con información importante y sensible en su dispositivo.
Algunas “best practices”
Ahora bien, ¿tiene usted una política de BYOD en su empresa? La tenga o no, sus empleados están usando sus dispositivos en el trabajo. Es una tendencia creciente y es tiempo de poner las políticas sobre la mesa. Janco Associates, consultora en gestión y manejo de información, nos entrega algunas “best practices” a tener presentes al momento de analizar la implementación de políticas de BYOD (Fuente: www.readwrite.com)
1. A medida que el número de dispositivos personales que se utilizan crece, la probabilidad de que uno de ellos se pierda o sea robado también aumenta. Tengamos en cuenta, entonces, que una limpieza remota que se puede generar desde dentro de la empresa, puede evitar muchos dolores de cabeza con aquellos dispositivos fuera de alcance.
2. Su fuerza de trabajo contiene diferentes niveles de aptitud tecnológica. Por lo tanto, las soluciones proporcionadas necesitan ser de fácil uso y amigables.
3. Se debe diseñar un acuerdo de aceptación mutua, para hacer frente a los empleados despedidos. Considere que los riesgos de seguridad y pérdida de información se magnifican una vez que comienza el proceso de término, ya sea voluntaria o involuntariamente.
4. Los dispositivos personales están llenos de información personal, documentos y aplicaciones para fines no laborales. Debe haber una manera de identificar los contenidos personales v/s los que son propiedad de la empresa, entregando y aplicando una política en particular para ocultar la información personal de los administradores de TI.
5. Es imprescindible implementar una política clara de gestión de registros de negocios, controlada por la empresa y que no resida en los usuarios individuales.
6. Se debe ser capaz de aislar los datos corporativos en cada dispositivo, lo que incluye, pero no está limitado, a los requisitos de gestión de registros obligatorios para archivar y recuperar lo relacionado a la recuperación de desastres y la continuidad operacional, cuentas de e-mail, configuración de VPN y accesos inalámbricos, aplicaciones empresariales y documentos.
7. Finalmente, la empresa debe tener la capacidad de controlar el acceso de cada dispositivo a la red, sea éste aprobado o no, monitoreando estos accesos en base a sencillas preguntas: ¿Está el dispositivo inscrito? ¿Cumple con la normativa y las políticas? ¿Dispone de nuevas aplicaciones? Y generando ajustes sobre la base de los datos que está viendo. Las acciones que se pueden tomar incluyen -pero no deben limitarse- al envío de una notificación al usuario con pasos a seguir, el bloqueo del dispositivo de acceso a la red corporativa y/o al e-mail, y limpieza del dispositivo (borrado completo o selectivo).
