BYOD, esas siglas que ya conviven con nosotros

Negocios
Philippe Ortodoro, WatchGuard

Philippe Ortodoro, Vicepresidente de Ventas para EMEA de WatchGuard, propone los puntos que un responsable de tecnología debería considerar como parte de su planificación BYOD.

Las siglas BYOD significan literalmente “trae su propio dispositivo”, y se utilizan para describir la práctica, cada vez más habitual, por la cual los empleados conectan a la red corporativa y utilizan sus dispositivos móviles y equipos informáticos personales para trabajar. Este fenómeno se está produciendo en las organizaciones de todos los tamaños y aporta muchas ventajas en términos de ahorro, incremento de la productividad, satisfacción y colaboración entre los empleados, pero también lleva consigo una serie de desafíos, tanto desde el punto de vista de negocio como desde el técnico, de gestión y, por supuesto, la seguridad.

Es un hecho que la consumerización de las TI, y por extensión, el BYOD, se han impuesto en la forma de trabajar y de acceder a la información hoy en día y, a muchas compañías, les ha cogido desprevenidos. Para hacer frente al BYOD, cualquier compañía, independientemente de su tamaño, debe diseñar y aplicar una estrategia específicamente pensada para abordar este fenómeno. Tener esto en cuenta podrá ayudar mucho y facilitar el trabajo de los departamentos de TI.

A continuación proponemos diez puntos estratégicos que los administradores de tecnología deben considerar como parte de su planificación BYOD:

1. Observar y analizar: existen errores comunes en la creación de una estrategia BYOD. El primero de ellos está relacionado con el hecho de no saber lo que los empleados están haciendo en la red. Al realizar una instantánea tomando como referencia los registros del firewall e informes, el departamento de TI adquiere una  perspectiva muy valiosa sobre qué dispositivos están actualmente conectados a la red, e igualmente importante, qué aplicaciones están utilizando.

2. Apoyar las redes sociales: no asuma de forma inmediata que el uso de Facebook y otras aplicaciones de medios sociales significa que los empleados están perdiendo el tiempo. Al  contrario, es mucho mejor revisar y examinar la naturaleza de las aplicaciones que circulan por la red corporativa antes de realizar cualquier movimiento radical que pudiera reducir de forma drástica la productividad.

3. Gestionar las contraseñas: otro error está relacionado con evitar la administración de contraseñas. Con demasiada frecuencia, las empresas recurren a las contraseñas generadas por el usuario como parte de sus controles de acceso. Esto puede llevar a que existan contraseñas muy débiles, lo que puede comprometer los sistemas de TI. Las políticas de contraseñas para dispositivos BYOD no deberían ser diferentes de los requisitos que se deben cumplir para establecer contraseñas seguras para los activos de TI tradicionales tales como ordenadores portátiles o equipos de escritorio.

4. Establecer políticas: los administradores de TI deberían “hacer el BYOD sencillo, fácil”. El departamento de tecnología debería aceptar una amplia lista de dispositivos que se puedan conectar a la red corporativa. Además, también debería indicar qué dispositivos /sistemas operativos va a apoyar y cuáles no. De esta manera, los empleados podrán saber con qué tecnologías cuentan y utilizar aquellas que más les gusten, sabiendo que ellos son los responsables de la gestión y el cuidado de sus dispositivos si el departamento de TI no los soporta.

5. Separar trabajo y diversión: sería recomendable que TI contemplara en sus políticas que la información del entorno laboral debe mantenerse separada de la información personal siempre que sea posible.  Así, se podría considerar establecer un procedimiento estándar por el cual, cuando los empleados accedan a la red corporativa desde su propio dispositivo, también estén de acuerdo en cumplir las políticas de la empresa, además de la monitorización y las herramientas de gestión de riesgos.

6. Uso aceptable: según las prácticas de seguridad estándar, las compañías siempre deben cumplir los controles de acceso mínimo. En otras palabras, incluso con BYOD, una sólida política de seguridad podría denegar todo, excepto para los dispositivos, aplicaciones y usuarios que estén permitidos. Cada negocio es diferente. Por tanto, es muy importante conocer de antemano las políticas de seguridad respecto a los controles de acceso.

7. Limitar el acceso a través de las tecnologías VPN: en el caso de empresas que requieren un mayor grado de protección, los administradores de TI pueden querer limitar los controles de acceso a dispositivos que admiten un cierto nivel de conectividad VPN. De esta manera, independientemente de dónde se utiliza un dispositivo de consumo, se requiere una conexión segura para acceder a datos corporativos.

8. Ver más allá del dispositivo: las estrategias de control de aplicaciones juegan un papel importante en el establecimiento de una política BYOD segura y eficiente. Asegúrese de que su política BYOD también contempla las aplicaciones específicas que son aceptadas, así como las que no lo son. Con los controles de aplicación instalados, la red se convierte en “agnóstica” al dispositivo y, en su lugar, puede hacer cumplir las políticas basadas en aplicaciones aceptadas y específicas.

9. Aplicar la política a una red segmentada: los datos confidenciales deben residir siempre en una red distinta a la que está abierta a invitados, contratistas u otras personas que no son empleados. Una red segmentada permite aplicar un conjunto de políticas para los empleados y otro distinto para los huéspedes.

10. Comprender el cumplimiento normativo: es importante analizar qué más puede estar en riesgo. ¿Se encuentra su organización sometida a controles regulatorios como HIPAA o PCI DSS? ¿Existen controles de daños en las instalaciones de modo que, si un empleado pierde su smartphone o tablet, estos se puedan limpiar para evitar la pérdida de datos?

Por último, la notificación es fundamental para evitar responsabilidades legales. Asegúrese de que su política BYOD se comunica a todos los empleados con regularidad. Cuente con un documento escrito donde se establezcan los derechos a los que un empleado renuncia con el fin de obtener acceso a los recursos corporativos con un dispositivo de propiedad de los empleados.

No olvide que BYOD ha llegado para quedarse y que, al fin y al cabo, la mejor estrategia BYOD se va a asentar sobre una base sólida de unas buenas prácticas de seguridad y el refuerzo a las políticas del usuario final.

Lea también :