Nuestro folleto
Nuestro folleto

Traiga su propio dispositivo

BYOD se refiere a la política que permite a los empleados usar sus dispositivos móviles personales para acceder a las redes y sistemas de la empresa. Algunos empleados prefieren usar su propio dispositivo móvil, lo que pone a la organización en riesgo de daños a su reputación y demandas legales.

Las empresas necesitan tener una política formal con respecto al uso de dispositivos personales en el trabajo.

Bring Your Own Device (BYOD) se refiere a este tipo de política que define qué dispositivos móviles (si hay alguno) pueden usar los empleados para acceder a las redes/sistemas de la empresa.

¿Qué debe cubrir una política BYOD?

Las empresas necesitan una política que establezca los dispositivos que pueden o no conectarse a su red. También necesitarán procedimientos para garantizar que dispositivos no autorizados nunca se conecten accidentalmente. Finalmente, deben implementarse mecanismos adecuados para mantener la seguridad de los datos personales que puedan almacenarse en dispositivos móviles.

Auditoría de dispositivos existentes y derechos de acceso

El primer paso es realizar una auditoría de la situación actual. ¿Qué dispositivos usan la red y para qué?

¿Qué dice la ley?

Como empleador (que es el responsable del tratamiento de datos), el RGPD tiene la obligación de adoptar medidas técnicas y organizativas adecuadas contra el tratamiento no autorizado o ilícito de datos personales y contra la pérdida o destrucción accidental o el daño de los datos personales.

Existe un alto riesgo de que datos confidenciales corporativos y de clientes puedan llegar a dispositivos personales, que normalmente no son muy seguros y pueden perderse, extraviarse o robarse fácilmente.

Los riesgos de daño a la reputación

Imagine esta situación. Un empleado recibe un correo electrónico con un archivo adjunto que contiene una lista de correo de todos sus clientes y sus datos de contacto. Lo abre y lo guarda en su dispositivo móvil. Si ese dispositivo se pierde, los datos almacenados podrían llegar a ser de dominio público, ser utilizados indebidamente o vendidos a la competencia. Lo peor es que la Oficina del Comisionado de Información deberá ser notificada de la pérdida de datos, al igual que cada persona de esa lista de correo. Esto puede causar un grave daño a la reputación, además de una cuantiosa sanción económica.

¿Qué dispositivos son aceptables?

Después de realizar una auditoría, la segunda etapa es decidir qué incluir o excluir de una política BYOD, y esto generalmente se hace a nivel de dispositivo.

Nivel uno – tolerancia cero
Esta puede ser la solución más rápida, fácil y sencilla, pero no necesariamente la más pragmática o práctica.
También puede servir para obstaculizar en lugar de ayudar a algunos empleados a realizar determinadas tareas, lo que puede generar insatisfacción laboral y una disminución de la moral.
Por lo tanto, una prohibición total podría resultar contraproducente.
También puede ser bastante difícil (y por lo tanto costoso) controlar y vigilar una política de tolerancia cero sin fuertes controles de seguridad de red.
Nivel dos: dispositivos aprobados
Esto permite una lista establecida de dispositivos, o dispositivos con un software operativo particular (por ejemplo, solo dispositivos iOS o solo dispositivos Android y Windows).
El enfoque de dispositivos aprobados puede facilitar la gestión y el control del acceso, pero puede perjudicar a algunos empleados si su dispositivo no está cubierto. Además, puede ser difícil de gestionar, ya que a diario surgen nuevos modelos y dispositivos.
Nivel tres: cualquier dispositivo
Esto permite que cualquier dispositivo se pueda “conectar”.
Este enfoque es totalmente opuesto a la tolerancia cero y permite conectar cualquier dispositivo en cualquier momento. Las ventajas son: a) para el empleado, que no está limitado por el dispositivo, y b) para la empresa, que no tiene que actualizar constantemente una lista de dispositivos aprobados.

Sin embargo, con este tipo de enfoque es necesario emplear controles estrictos, como sistemas de gestión de dispositivos móviles.

¡Una opción alternativa!

En una tendencia creciente, algunas empresas han decidido abandonar el BYOD y tener una política de tolerancia cero, a favor de proporcionar dispositivos a los empleados.

¿Qué aplicaciones son aceptables?

La empresa podría querer restringir el acceso a ciertas aplicaciones, generalmente solo al correo electrónico y al acceso a internet. Se debe evitar el acceso total a redes y aplicaciones siempre que sea posible, salvo desde ordenadores o portátiles, y solo a través de redes confiables o herramientas de acceso remoto seguro.

Uso comercial versus uso privado

Es probable que los dispositivos BYOD propiedad de un empleado se utilicen tanto para fines comerciales como privados.

Por un lado, el empleado debe estar seguro de que la empresa no accederá a material personal almacenado en el dispositivo ni utilizará herramientas de monitoreo del dispositivo, mientras que, por otro lado, la empresa querrá proteger la información confidencial corporativa y del cliente que también puede estar almacenada (o visible) en el dispositivo.

Los empleadores también deben ser conscientes de que los dispositivos pueden ser utilizados (para fines personales) no sólo por el empleado, sino también por otros miembros de la familia.

Seguridad inalámbrica

La forma más fácil y rápida de conectar dispositivos a una red es que los empleados los usen para iniciar sesión de forma inalámbrica. Algunas empresas comparten su clave inalámbrica con los empleados sin saber que la usan en todos los dispositivos, incluidos los personales.

Un método común para garantizar la seguridad de los dispositivos consiste en crear una clave inalámbrica muy robusta (es decir, difícil de recordar), que solo pueda ser introducida en el dispositivo por un miembro del equipo de soporte de TI u otra persona designada. De esta forma, el control a nivel de dispositivo se puede mantener con relativa facilidad. Sin embargo, este enfoque puede requerir mucho tiempo, dependiendo del tamaño o la complejidad de la organización.

Los enfoques más robustos utilizarán hardware de red para crear listas de control de acceso para dispositivos específicos que deben registrarse y, por lo tanto, ser aprobados por la empresa antes de poder conectarse. Las ventajas de este método permiten la auditoría y el control de zonas horarias, como restringir el acceso inalámbrico al horario de oficina.

Registro del dispositivo

La mayoría de las versiones actuales del software operativo de red (Windows y Mac) tienen herramientas de seguridad integradas que pueden usarse para mantener una lista de dispositivos “aprobados”.

Esto se realiza a través de un proceso de registro muy similar al registro de hardware de red, mediante el cual el dispositivo se presenta y se registra en la red.

Si un dispositivo se pierde o un empleado se va, el dispositivo puede bloquearse o eliminarse de la lista de dispositivos registrados.

Si bien este enfoque es útil para bloquear invitados no deseados y controlar el acceso a los recursos de la red, la desventaja es la falta de control cuando un dispositivo de conexión se pierde o es robado.

Gestión de dispositivos móviles (MDM) / Gestión de aplicaciones móviles (MAM)

Un enfoque más sólido para brindar seguridad al dispositivo es utilizar servicios MDM, que pueden proporcionarse como parte del software operativo de la red o pueden ser proporcionados por un tercero.

Hay diferentes niveles de este tipo de servicio, que van desde servicios simples de registro y restablecimiento de dispositivos hasta el sandbox de datos personales y corporativos, que permitirá borrar por separado solo los datos corporativos.

Los empleados deberán aceptar/dar su consentimiento para cualquier sistema de gestión de dispositivos móviles que se utilice si desean adoptar BYOD.

Los empleados también deben aceptar/dar su consentimiento si se utiliza software MDM para monitorear el dispositivo, las actividades que se monitorean y si se utiliza o no la ubicación geográfica.

Por último, los empleados deberán comprender qué sucederá con sus datos personales almacenados en el dispositivo, en caso de que este deba desactivarse.

Este método ofrece la ventaja de ser fácil de usar para el usuario final y muy seguro para la empresa. La empresa también puede realizar operaciones como localizar dispositivos en caso de pérdida o robo, o bloquear y borrar datos de forma remota.

Cifrado de datos

Una política BYOD por sí sola no ofrece suficientes garantías. Todos los datos confidenciales/personales deben estar cifrados. Configurar un documento/hoja de cálculo como de solo lectura o crear una contraseña para abrirlo no equivale a cifrar los datos.

Las empresas deben evaluar qué datos personales se transfieren desde y hacia qué dispositivos. A continuación, realizar una evaluación de riesgos para determinar la probabilidad de que los datos lleguen al dominio público y utilizar métodos de cifrado adecuados para proteger esos datos confidenciales/personales.

Otras cuestiones a considerar

  • Protección con contraseña del dispositivo: cada dispositivo BYOD debe tener una contraseña/PIN de inicio y debe bloquearse si no está activo durante una cantidad específica de minutos, o bloquearse si se ingresa una contraseña/PIN incorrecto durante tantos intentos.
  • Dispositivos extraviados: como parte de la política BYOD, el empleado deberá saber a quién contactar y qué sucederá con el dispositivo si se extravía (es decir, qué datos podrían borrarse del dispositivo).
  • Costo: la empresa puede o no aceptar pagar ciertos cargos de dispositivos móviles o el costo de reemplazo de dispositivos perdidos, robados o dañados cuando se usan para fines comerciales.
  • Política de uso aceptable: la empresa querrá asegurarse de que cualquier política de uso aceptable también se aplique a los dispositivos BYOD.
  • No se deben permitir los dispositivos que hayan sido rooteados o liberados y debe existir una política estricta que establezca que cualquier dispositivo configurado para BYOD no sea posteriormente rooteado o liberado.
  • Medios de almacenamiento: la empresa podría querer especificar el enfoque con respecto a las tarjetas de memoria/SD, en particular si están encriptadas o si se pueden almacenar datos en ellas.

Implementación de la política BYOD

BYOD puede formularse como una política separada, agregarse a una política de uso aceptable existente o agregarse a una política existente de Internet y correo electrónico o de redes sociales.

Los dispositivos de la empresa, por defecto, quedarán dentro del ámbito de BYOD.

A los empleados que tengan sus propios dispositivos personales se les debe dar la oportunidad de optar por no participar o aceptar la política BYOD:

  • Exclusión voluntaria: Rechazar la suscripción a la política BYOD, en cuyo caso el empleado no podrá usar ningún dispositivo personal para trabajar.
  • opt-in – Aceptar registrarse en la política BYOD, en cuyo caso su dispositivo deberá estar registrado en la red y también, si corresponde, en un servicio de administración de dispositivos móviles.

Consulte nuestro resumen para conocer nuestros cuatro sencillos pasos para definir e implementar una política BYOD.

Resumen

Es importante que el empleador (responsable del tratamiento de datos) cumpla con el RGPD en lo que respecta al tratamiento de datos personales. En caso de una vulneración de seguridad, el empleador debe poder demostrar que todos los datos personales almacenados en un dispositivo específico están protegidos, controlados o eliminados. Contar con una política BYOD contribuirá en gran medida a alcanzar este objetivo.

Cuatro pasos para definir e implementar un BYOD

Paso uno: auditar los dispositivos y su uso
  • ¿Qué dispositivos están permitidos actualmente en la red?
  • ¿Qué derechos de acceso tienen?
  • ¿Qué aplicaciones utilizan?
  • ¿Qué datos deben almacenar?
Paso dos: nivel de BYOD
  1. sin dispositivos
  2. lista aprobada
  3. todos/cualquier dispositivo
  4. definir qué aplicaciones son accesibles para dispositivos móviles.
Paso tres: política BYOD
  • Formular y redactar la política BYOD.
  • Realizar cambios de seguridad adecuados en la infraestructura de red y adquirir servicios adicionales (como MDM)
  • Decidir si se requiere seguridad adicional, como herramientas de cifrado de datos
  • Definir y comunicar una fecha para la implementación de la política
Paso cuatro – fecha de implementación
  • Retire todos los dispositivos actuales y asegúrese de que no contengan datos.
  • Registrar dispositivos aprobados
  • Los empleados que poseen dichos dispositivos firman BYOD.
 

12 + 6 =

INFORMACIÓN DE CONTACTO

Correo electrónico: info@facadecreations.co.uk

T: +44 (0) 116 289 3343