Durante la temporada decembrina muchas personas adquieren nuevos dispositivos de cómputo: laptops, teléfonos celulares y tabletas. Estos aparatos recibirán muchos usos personales, desde juegos hasta comunicaciones familiares, compras y reproducción de videos o música. Esto no impedirá que, en muchos casos, su uso principal se dé en el lugar de trabajo.
Llévalo al trabajo
Hay una tendencia creciente entre las empresas a permitir a sus empleados el uso de los dispositivos personales para sus funciones habituales. Esta práctica permite a la gente personalizar su entorno de trabajo e integrar a su vida cotidiana sus gustos y las marcas de su preferencia. Donde ya se ha implementado esta política (conocida como bring your own device, BYOD), la diversidad se expresa inmediatamente: a las tabletas, los teléfonos y las laptops se suman los aparatos híbridos y los convertibles; algunos modelos muy sencillos, otros, a la vez poderosos y portátiles, algunas personas buscan cambiar cada año, mientras otras no encuentran problema para trabajar con equipos de más de una década de uso.
¿Cómo afecta a la empresa?
Esta situación presenta ángulos muy diversos: ayudas para la adquisición de dispositivos, la integración del dispositivo particular a la red de la empresa, etcétera. Uno de los aspectos más complejos es el del riesgo que esta invasión de dispositivos representa para los datos de la organización. La seguridad siempre es más complicada en un entorno diverso, y en las empresas que utilizan BYOD se pueden presentar estas situaciones:
- Marina es una vendedora eficaz que se siente muy cómoda con su Blackberry desde hace casi diez años, a través de ella responde correos al momento y mantiene actualizado su plan diario de trabajo. Ahora la empresa le pide que cambie su dispositivo a uno que sí pueda soportar el software de seguridad de la empresa.
- Samuel es un contador que usa su laptop casi únicamente para cuestiones de trabajo. Así como casi únicamente utiliza las aplicaciones relacionadas con sus balances y reportes, jamás se ha planteado la posibilidad de instalar un antivirus. Y ese equipo se mantiene conectado hasta diez horas diarias al servidor de la empresa.
- Arturo, que trabaja en de área de producción, utiliza poco su computadora. Sin embargo, se ve obligado a llevarla consigo mientras recorre las plantas para revisar esquemas, para dar seguimiento a avances y para mantener actualizada su correspondencia. Por eso no adquirió un equipo nuevo ni lujoso, prefirió tomar la laptop que había usado su hijo, en la que éste instalaba juegos y descargaba música y películas. Arturo no sabe con certeza si las descargas de su hijo eran seguras ni qué juegos instaló.
¿Qué hacer?
La primera pieza en el rompecabezas que representa la seguridad en un entorno BYOD tiene que ver con el sistema de seguridad informática de la empresa. Ésta requiere un firewall capaz de establecer políticas diferenciadas para los distintos usuarios, de modo que detecte los equipos móviles y asigne jerarquías de acceso en función de la confiabilidad de la conexión, de las funciones del propietario y de las garantías de seguridad del dispositivo. También se puede generar otra política adicional para los accesos remotos.
Por supuesto, una directiva corporativa BYOD necesariamente debe tener como soporte lineamientos que los empleados cumplan con cabalidad; la empresa no sólo debe establecer reglas claras, sino también recabar información actualizada sobre el inventario BYOD de sus empleados y abrir líneas de comunicación que den efectividad a las normas: no servirá de nada un reglamento BYOD estricto si vuelve tan complicadas las operaciones que los empleados rutinariamente lo eluden mediante atajos. El trabajo de comunicación interna también es importante para para que los empleados asuman activamente las prácticas de seguridad que deberán implementar en sus propios equipos; en algunas empresas, los empleados han preferido aceptar la instalación de aplicaciones de monitoreo en vez de ingresar contraseñas de seis u ocho caracteres para cada operación.
Igualmente, reglas como las que determinan cuáles son los puntos de acceso permitidos para los dispositivos BYOD y las acciones que debe seguir un usuario tras la pérdida de un aparato sólo pueden funcionar con la colaboración consciente y motivada del personal.
Reglas básicas para una empresa BYOD
Esta navidad puede llevar nuevos integrantes a la red de tu empresa; para que ésta esté preparada, puedes implementar una directiva BYOD basada en las siguientes recomendaciones (algunas elaboradas por el Security for Business Innovation Council):
- Pregunta a tu proveedor de servicios de seguridad los mecanismos que te ofrece para proteger un entorno BYOD.
- Asegúrate de que los usuarios se responsabilicen de respaldar sus datos personales.
- Clarifica las líneas de responsabilidad respecto del mantenimiento, el soporte y los costos de los dispositivos.
- Los empleados deberán eliminar aplicaciones de sus aparatos cuando tu organización lo requiera.
- Corta el acceso a la red de los aparatos en los que se instale una aplicación no autorizada.
- Impide el acceso a la red a los aparatos en los que se hayan modificado el sistema operativo o las aplicaciones de seguridad.
- Deja bien claras las consecuencias de cualquier violación a las reglas BYOD.
- Verifica las funciones de protección y monitoreo que tu firewall ofrece para los dispositivos de tus empleados.