Qué fácil era cuando todos teníamos Blackberry, pero ahora vemos una larga variedad de equipos móviles en la oficina: smartphones, tablets, netbooks y las laptops de toda la vida. Bien por el consumidor, que ahora tenemos muchas opciones y mejores precios. Pero, cuando lo analizamos desde el punto de vista corporativo, la cosa ya toma otro matiz.
Desde hace un tiempo las empresas están aceptando que sus trabajadores usen sus equipos personales en la oficina. Es decir, que configuren el correo corporativo en el smartphone personal, que guarden documentos de clientes en sus laptops o accedan a aplicativos de la empresa desde sus iPads. Si no es política de la organización entregar estos equipos a sus empleados, la alternativa viene siendo que traigan los suyos propios para trabajar. Así nace una tendencia a nivel mundial llamada BYOD (Bring Your Own Device).
Muchos la vienen adoptando con entusiasmo. Sin embargo, hay un potencial riesgo de seguridad y privacidad que puede resultar siendo más costoso. ¿Se han preguntado qué sucede con la información que contiene un smartphone cuando se pierde o es robado?
The Lost Smartphone Problem [1] fue estudio realizado en organizaciones pertenecientes a diferentes sectores de la economía estadounidense. El mismo señala que al año se pierden o roban más de 140 mil smartphones, de los cuales el 47% de casos se ha dado cuando el trabajador está fuera de la empresa, 29% mientras estuvieron de viaje, 13% en la oficina y el 11% restante no sabe ni dónde ni cómo.
Por su parte, The Symantec Smartphone Honey Stick Project [2] fue un interesante experimento que consistió en abandonar 50 smartphones en diferentes ciudades de los EE.UU, con mecanismos para monitorear qué pasaba con ellos luego de ser encontrados por extraños (ver infografía [3]). Los resultados mostraron que el 83% de quienes los encontraron accedieron a información personal y corporativa, y sólo el 50% se pusieron el contacto con el dueño para devolverlo. ¿Qué pasaría en el Perú en un ejercicio como este?
El punto es que los dispositivos pueden ser reemplazados, pero la información almacenada en ellos se encuentra en riesgo a menos que se tomen las precauciones necesarias para protegerla. Lo más grave es que las empresas no son conscientes de ello dejando muchas veces la seguridad en manos de los dueños de esos equipos.
Políticas de seguridad
Particularmente, considero un riesgo utilizar equipos personales para el trabajo, debido que la empresa tiene restricciones sobre ellos, con respecto a la ejecución de mecanismos de seguridad. Si los equipos son de la empresa se podrían implementar medidas como:
- Contraseñas de bloqueo cada cierto tiempo de inactividad.
- Mecanismo para formatear el equipo remotamente.
- Encriptación de la información (correos, documentos, etc)
- Instalar y mantener actualizado el antivirus y antispam.
- Mantener actualizado el sistema operativo y otras aplicaciones (parches de seguridad)
- Limitar o controlar la instalación de aplicaciones (evitar programas maliciosos)
- Rastrear el equipo a través de un GPS.
BYOD
Si la tendencia va por el lado de permitir un esquema BYOD, mi recomendación es configurar una conexión remota a través de una VPN (Virtual Private Network). Esto aseguraría que en el equipo se conserve la menor cantidad de información de trabajo.
Paralelamente, antes de lanzar el proyecto sería saludable responder a las siguientes interrogantes:
- ¿Se permitirían todo tipo de modelos de smartphones o tablets?.
- ¿La conexión a los recursos de la empresa sería directa (correo, agendas, aplicativos) o a través de VPN?
- ¿La empresa estará en la capacidad de implantar una configuración básica, exigiendo tener instalado (y actualizado) un mínimo de aplicaciones a fin de resguardar la seguridad de la información?
- ¿Se aceptará la posibilidad de formatear el equipo como consecuencia de alguna falla o aplicación maliciosa, sin que la empresa se haga responsable de la información o aplicaciones personales que no se puedan recuperar (fotos, videos, aplicaciones, etc)?
- ¿Será posible comprometer al dueño del equipo que, por razones de seguridad, se limitará o bloqueará la descarga e instalación de archivos y aplicativos riesgosos o que infrinjan el derecho de propiedad intelectual?
- En caso el trabajador deje la organización ¿cómo asegurar que la información corporativa no se vaya con él?
- ¿Cuál sería el nivel de soporte informático que la empresa ofrecería para estos equipos? Estaría limitado sólo a aplicaciones de índole laboral (correo electrónico, agendas, etc)?
- Para los casos de accidente, pérdida o robo ¿habrá reposición? Para los casos de desperfectos ¿se ofrecerán equipos temporales?
Pienso que aclarando estas dudas se puede llegar a tener un dimensionamiento claro sobre lo que puede significar, realmente, adoptar un esquema BYOD en la organización.