Cómo hacer frente a los riesgos del BYOD

Odio los escritos plagados de siglas, así es que vamos a empezar aclarando que BYOD es una tendencia que implica que cada trabajador use su USB, portátil, smartphone o tablet personal para temas profesionales.

Esta es una situación cada vez más frecuente, ya que lo que compras tú suele ser mucho mejor que lo que te da tu empresa, y eso cuando tienes suerte y te lo da, así que acabas usándolo también para trabajar, de ahí lo de BYOD (Bring Your Own Device)

El BYOD tiene claras ventajas para la empresa. Según un estudio realizado por BT Group, casi nadie en las empresas duda de que trabajar en movilidad te hace más productivo (64%) y más flexible (48%), con el consiguiente aumento de la satisfacción del cliente (47%). Y si además la empresa ahorra los costes de comprar dispositivos a los empleados, miel sobre hojuelas. Pero parece que el invento también contenta a los empleados. Según otro estudio (Horizons, encargado por Cisco IBSG y realizado en Estados Unidos) la mayoría de la gente prefiere “trabajar a su manera” utilizando sus propios dispositivos y aplicaciones y con la posibilidad de realizar tareas personales en los tiempos muertos del trabajo. Sin embargo, esta valoración tan positiva de todos los implicados, no tiene reflejo en la realidad. A pesar de que tres de cada cuatro empresas adoptan ya algún tipo de política de movilidad, solo el 20% declaran aprovechar las ventajas de una estrategia BYOD en toda regla.

Pero el BYOD es una práctica habitual que afecta a empresas de todos los tamaños. ¿Quién no usa su propio pincho USB o se envía los ficheros a través de su correo personal para acabar el trabajo en el PC de casa? Lo preocupante es que la mayoría de las pymes lo permiten haciendo la vista gorda, porque no son conscientes del peligro que supone para sus datos de negocio el hecho de permitir dispositivos “descontrolados”. A pesar de que nueve de cada diez pymes confirman que tienen datos corporativos sensibles en los smartphones y tablets de sus empleados, sólo una de cada tres ve cierto peligro en ello.

Muchas pymes declaran “sin despeinarse” no estar preocupadas por el robo de datos desde el móvil de un empleado y en términos de protección de dispositivos móviles, creen que las soluciones gratuitas deberían ser suficientes. No ven ningún valor añadido en gastar dinero extra en soluciones dedicadas y sólo dps de cada diez tiene interés por sistemas de gestión integrada de dispositivos personales.

Esto quiere decir que se están exponiendo a un gran riesgo al obviar el gran impacto negativo que puede ocasionar este tipo de prácticas. Que cada empleado use los dispositivos y las aplicaciones que quiera, legales o no (y esto es un matiz importante) difumina peligrosamente las fronteras y supone un riesgo para todos, pero ¿quién te va a decir qué aplicación o qué juego puedes o no descargarte en tu propio teléfono? Sin duda es imprescindible plantearse una estrategia que analice la situación concreta de cada empresa y establezca las medidas preventivas que apliquen en cada caso.

Y, como siempre que se entremezclan lo profesional y lo personal, entran en juego muchos factores, creo que al plantearse un modus operandi que aliente el BYOD equilibrando seguridad de la empresa y privacidad del empleado, es más cierto que nunca eso de que “cada maestrillo tiene su librillo”. Sea cual sea el modo, es conveniente tener en cuenta algunas claves generales que aplican siempre:

• Analizar los riesgos, partiendo de la clasificación de la información para determinar cuáles son los datos sensibles que requieren mayores niveles de protección, a qué información se podrá acceder desde dispositivos personales y a cuál debe restringirse el acceso total. Luego, las medidas de seguridad pueden ser tecnológicas o cuestión de procedimientos, dependerá de tu información y de tu gente.

• Controlar el factor humano, que es siempre el eslabón más débil de la cadena. Además de ocuparnos de malware o ciberataques, tenemos que elaborar un plan de educación para que todos conozcan las implicaciones del uso de sus dispositivos personales, los riesgos a que nos exponen y las medidas de seguridad que deben tener en cuenta. Porque aún hay muchos que no bloquean sus terminales con una contraseña, sin darse cuenta de que si los pierden o se los roban, sus equipos son una puerta abierta al corazón de la empresa. Es imprescindible definir claramente cómo deben o no utilizarse los dispositivos en el plano profesional, qué programas y aplicaciones pueden usar sin riesgo y cuáles pudieran tener limitaciones. Y dar alternativas al uso de servicios como DropBox, que no garantizan el cumplimiento de la LOPD ofreciendo otras opciones más seguras.

• Adoptar la solución tecnológica que se adapte a nuestro tamaño y necesidades. No es fácil encontrar la solución en términos de coste-esfuerzo versus beneficio, que se adapte al perfil de los más pequeños y que permita controlar los accesos a la información según el usuario, el dispositivo y el tipo de aplicación, o lidiar con infecciones de malware que se acaban propagando a todos los dispositivos de empresa.

• Empezar poniendo las aplicaciones en listas blancas y negras es una «técnica popular» que, lejos de ser infalible, ayuda a mantener la seguridad de la empresa y del propio dispositivo. Aquí solo cabe discutir hasta dónde la empresa tiene autoridad para “recomendar” o prohibir el uso de ciertas aplicaciones. Sea como sea, el personal debe sentirse cómodo con la manera en que sus dispositivos personales son monitorizados a efectos de seguridad, ya que el desequilibrio puede provocar conflictos.

• Otro gran paso sería instalar un “cortafuegos multidispositivo” que, pagado por la empresa, haga de antivirus en los dispositivos de los empleados y permita además cierta intervención en caso de robos o pérdidas, localizando o borrando en remoto un terminal perdido.

• A los que ya tienen un número considerable de empleados, recomiendo plantearse la utilización de herramientas como el software de Gestión de Dispositivos Móviles o MDM (Mobile Device Management) que permite asegurar, controlar, gestionar y dar soporte a los dispositivos móviles de empresa y personales. La virtualización de escritorios es muy útil para que los empleados puedan acceder a contenidos corporativos, personales y externos en la misma interfaz sin poner en peligro los datos de la empresa.

En cualquier caso, el hecho es que BYOD ha llegado para quedarse y no sería nada prudente pasarlo por alto, porque aporta importantes beneficios relacionados con la disminución de gastos y el incremento de la productividad que siempre se deriva de la comodidad de los empleados.

Animo, por tanto, a todas las pymes a prestarle atención para poder conocer los riesgos y saber cómo enfrentarlos.

Foto: pixabay