lunes, 23 de julio de 2012

BYOD (o TSPD "Traiga su propio dispositivo")

A raíz de uno de los encuentros Picnic4Working organizados por ATI Catalunya, ya cité en un post anterior el concepto de consumerización (fenómeno por el cual las nuevas tecnologías de la información surgen primero en el mercado de consumo y después se implantan en las empresas). Ahora, con la consumerización nos ha llegado un nuevo concepto: BYOD (Bring your own device), al que aquí podríamos llamar TSPD (Traiga su propio dispositivo) ¿no?.

Recuerdo reuniones para redactar las políticas de seguridad de las empresas en las que era usual incluir una cláusula mediante la cual se prohibía el uso (o la conexión) de cualquier dispositivo ajeno a la compañía. - Por motivos de seguridad” intentaba explicarles, aunque Dirección solo viera en ello una manera de impedir que los empleados utilizaran esos recursos para cuestiones extralaborales. No les negaré sus razones, ya que en una ocasión recibí una petición de un usuario (formal, eso sí, siguiendo todo el circuito) solicitando acceso a la Wi-Fi corporativa ¡para la PSP!.

Pues bien, actualmente en el mismo tipo de reuniones se genera un controvertido debate sobre si autorizar a los usuarios a utilizar sus propios dispositivos (generalmente smartphones, tablets y notebooks). Aunque con conclusiones diversas - según la tipología de la empresa - observo una tendencia generalizada a permitir el uso de smartphones y tablets personales. Eso, claro está, para los que han debatido esta cuestión; muchas empresas ni siquiera se lo han planteado y de repente se encuentran con que los usuarios están utilizando sus propios BYOD sin ningún control.



A modo de entretenimiento he definido lo que llamo el índice de BYOD que es algo tan sencillo como determinar el número de usuarios de una compañía que utilizan al menos un dispositivo propio para acceder a recursos corporativos.


Se entiende por dispositivo propio aquel que ha costeado el usuario y utiliza libremente, es decir, que no deberá devolver a la compañía en caso de finalización de la relación laboral.

El índice se calcula por usuario (no por dispositivo), así en la organización para la cual trabajo (de alrededor de 30 usuarios) podemos decir que hay un índice de BYOD del 56%, que se eleva al 73% si sólo consideramos a los profesionales, sin tener en cuenta al personal auxiliar y administrativo. ¿Sabes cual es el índice de BYOD de tu empresa?

Un reciente estudio de Fortinet desvela que “los empleados consideran un privilegio poder utilizar sus propios dispositivos para trabajar y les permite ser más efectivos en el trabajo”.

No obstante, la presencia de dispositivos BYOD en la empresa plantea verdaderos problemas de seguridad. Aun cuando la empresa disponga de un entorno de red protegido, ¿como controlar a que tipo de amenazas de seguridad se expone el dispositivo cuando está fuera de la red corporativa? (bien sea en la red doméstica del usuario o en otras redes externas). Por ello es importante fijar sobre quien recae la responsabilidad de mantener el dispositivo actualizado (con la últimas actualizaciones de seguridad del sistema operativo y las aplicaciones) y que medidas de protección antimalware se adoptan.

Por otro lado, también es necesario contar con una política de “váyase usted con su propio dispositivo (pero devuélvame mis datos)”, es decir, ¿que sucede cuando el empleado se va de la compañía?. Si se han hecho las cosas bien, el Documento de Seguridad debería contener un inventario de los dispositivos BYOD con acceso a datos personales y, del mismo modo, un procedimiento que asegure que, en caso de baja del empleado, en el dispositivo no vaya a quedar ni un solo dato personal cuyo Responsable sea la empresa y que el mismo tampoco podrá acceder remotamente a los datos (o recursos) de la compañía.

Si a todo ello añadimos el incremento en consumo de recursos (ancho de banda) y la disponibilidad de recursos de red que requiere, sin lugar a dudas, este fenómeno supone uno de los grandes retos actuales y venideros para los departamentos de IT de las compañías. Espero poder profundizar en algunos aspectos concretos de este tema en posts posteriores.

No hay comentarios:

Publicar un comentario