¿Qué son las políticas de uso de dispositivos personales en el trabajo?

La consumerización de las TI ha tenido una gran repercusión. Los empleados desean cada vez más utilizar sus dispositivos favoritos, ya sean Mac, ordenadores portátiles, iPhone, Android o cualquier otro. Como resultado, las empresas han creado aplicaciones móviles que, en muchos casos, ofrecen a los propietarios de empresas soluciones sencillas y más fáciles de gestionar. Existen varias razones por las que el uso de dispositivos personales en el trabajo es importante, entre ellas:

• Mayor productividad de los empleados: es probable que los empleados que tienen la posibilidad de utilizar un dispositivo conocido sean más productivos que aquellos que se ven obligados a aprender los entresijos de equipos con los que no están familiarizados. Y, lo que es más importante, a los empleados les resulta más fácil trabajar desde casa u otras ubicaciones cuando no tienen que cambiar de dispositivo.
• Ahorro de costes en dispositivos: el uso de más dispositivos personales se traduce en menos activos de la empresa que emitir, controlar, gestionar, reparar, actualizar y mantener.
• Incorporación y salida simplificadas: las herramientas de gestión de dispositivos móviles (MDM) personales que se usan en el trabajo pueden autorizar o denegar el acceso a la red de la empresa sin tener que hacer cambios en el dispositivo BYOD.
• Mejores relaciones con los empleados: los empleados con dispositivos BYOD sienten que tienen más control de su entorno, suelen ser más productivos cuando los utilizan y son más propensos a trabajar de forma remota cuando no tienen que cambiar de herramienta de trabajo.
• Incentivos: para muchos empleados, el uso de dispositivos personales en el trabajo demuestra que la empresa es avanzada y conocedora de la tecnología. La mayoría de los empleados reciben algún reembolso por el uso de sus dispositivos BYOD, ya que las organizaciones disfrutan de ahorros importantes por no tener que comprarlos ni mantenerlos.
  

Las estrategias BYOD tienen varias formas de funcionar. En primer lugar, la organización debe establecer políticas de seguridad para todos los dispositivos, ya que los dispositivos y las contraseñas poco seguros pueden provocar la pérdida de datos. Las políticas BYOD deben establecer lo siguiente:

• Los controles de seguridad mínimos que van a implementarse, incluidos el cifrado de datos y la seguridad de las contraseñas.
• Qué tipo de datos empresariales se pueden almacenar en los dispositivos locales (si lo hay).
• Si van a aplicarse o no controles del tiempo de espera y funciones de autobloqueo.
• El software de seguridad de dispositivos móviles o de gestión de dispositivos móviles (MDM) que debe instalarse en los dispositivos BYOD (si corresponde).
• Si la organización está autorizada a borrar de forma remota la información empresarial del dispositivo en caso de pérdida, de rescisión del contrato laboral o de detectarse la vulneración de alguna política.

El nivel de los procedimientos de seguridad de una empresa dependerá del tipo de organización; por ejemplo, las organizaciones financieras o sanitarias requieren niveles de seguridad más altos que una pequeña empresa emergente de diseño web. Una vez establecidas las políticas de seguridad, las organizaciones deben definir directrices de uso aceptables para determinar cómo se pueden utilizar los dispositivos BYOD durante el desarrollo de las actividades empresariales. Esto ayudará a evitar que los programas maliciosos o los virus accedan a través de sitios web y aplicaciones no seguros. Estas políticas deben abordar las siguientes áreas:

• Aplicaciones aceptables a las que los empleados pueden acceder desde dispositivos personales, con una delimitación clara de los tipos de aplicaciones aceptables y las que no lo son
• Sitios web que están prohibidos mientras estén conectados a recursos empresariales, a la red corporativa o a la VPN
• Aplicaciones y datos empresariales a los que se puede acceder desde los dispositivos del usuario (por ejemplo, correo electrónico, calendario, mensajes, contactos, etc.)
• Almacenamiento y transmisión de material ilícito o utilización de dispositivos para otras actividades empresariales externas desde dispositivos personales

Las políticas deben aplicarse mediante el uso de software MDM específico para BYOD, que permite supervisar, gestionar y configurar los dispositivos BYOD y propiedad de la empresa desde un único panel de gestión central. Las funciones típicas de las herramientas MDM para BYOD son las siguientes:

• Análisis automáticos de dispositivos BYOD para la detección de amenazas, incluido el bloqueo de aplicaciones peligrosas de la red corporativa
• Envío de actualizaciones contra programas maliciosos a los dispositivos y garantía de su instalación
• Instalación remota de actualizaciones y parches en sistemas operativos y aplicaciones
• Aplicación de políticas de seguridad
• Copias de seguridad automáticas de las aplicaciones y los datos empresariales de forma periódica o según las necesidades
• Borrado remoto de dispositivos perdidos, robados o en riesgo

Una vez establecidas las políticas BYOD, es necesario comunicarlas a los empleados y proporcionarles la formación necesaria para que la adopción sea sencilla y generalizada. Un manual de formación para los nuevos empleados que describa las políticas y los motivos por los que se eligieron puede ayudar a disipar dudas sobre si la organización «espía» a los empleados y podría ayudarles a sentirse más cómodos con las políticas y el software MDM. Para terminar, todos los empleados que usen dispositivos personales en el trabajo deben confirmar que han leído y entendido estas políticas para proteger a la organización de cualquier responsabilidad derivada del uso ilegal o inapropiado de sus dispositivos.

Por último, los planes BYOD deben incluir un plan de salida para los empleados que abandonen la empresa, independientemente del motivo por el que lo hagan. Este plan debe incluir también un plan de salida del directorio de recursos humanos y de red, así como una lista de comprobación de la salida de los dispositivos BYOD que refleje la desactivación de las cuentas de correo electrónico de la empresa y la eliminación remota de la información de la organización del dispositivo, así como el borrado completo de los dispositivos expedidos por la empresa y el cambio de cualquier contraseña compartida para las cuentas de la empresa.

Además, las políticas BYOD podrían incluir la definición de un estipendio de la empresa para ayudar a pagar los planes de datos de los dispositivos personales que se usan en el trabajo o la conexión de banda ancha del domicilio del trabajador, así como la posibilidad de que los empleados que consultan el correo electrónico o responden a las llamadas de la empresa fuera de las horas de trabajo tengan derecho a una compensación.