BYOD: ventajas y riesgos del Bring Your Own Device
BusinessBYOD son las siglas de Bring Your Own Device (‘trae tu propio dispositivo’, en español) y se refieren a una práctica que permite a los empleados usar sus propios ordenadores portátiles, teléfonos móviles, tablets u otros dispositivos personales en el trabajo.
Se ha vuelto cada vez más popular en los últimos años, especialmente durante la pandemia de COVID-19, como una forma de facilitar el trabajo remoto.
BYOD: qué es
Las siglas BYOD responden a la práctica de permitir que los empleados de una empresa trabajen con sus propios dispositivos electrónicos, bien desde casa o bien mientras viajan.
Una empresa que se adhiere a la práctica del bring your own device ostenta la propiedad de los datos y recursos corporativos a los que se puede acceder o almacenar en un dispositivo, pero el dispositivo en sí es propiedad del usuario.
BYOD: ventajas
Para algunas empresas, un entorno bring your own device bien controlado puede:
- Optimizar la tasa de flexibilidad laboral.
- Aumentar la movilidad de los RRHH.
- Mejorar la eficiencia y la productividad de la plantilla.
- Incrementar la satisfacción de los empleados.
- Reducir el gasto en hardware y los costes de licencias de software.
- Con el uso y las precauciones de seguridad adecuadas, permitir que los empleados utilicen sus propios dispositivos en el trabajo puede ser una solución ideal para determinadas empresas.
Sin embargo, cuando BYOD no se comprende con claridad ni se regula adecuadamente, puede amenazar seriamente la seguridad de los datos y de los sistemas.
Acerca de la seguridad y la privacidad
La práctica del BYOD plantea una serie de problemas de protección de datos, y puede generar vulnerabilidades en la seguridad de la información. Por ejemplo:
- De manera intencional o por accidente, la información privada podría filtrarse desde dispositivos desprotegidos.
- Los dispositivos personales pueden carecer de capacidades de cifrado de datos o pueden perderse o robarse, lo que aumenta los riesgos de pérdida o exposición de datos.
- Estos dispositivos también pueden contener aplicaciones maliciosas o malware o ser más vulnerables a los ataques en línea.
- La responsabilidad de administrar contraseñas, protección antivirus y antimalware, parches de seguridad y otras medidas de seguridad recae en el propietario del dispositivo, lo que significa que la empresa tiene poco o ningún control sobre la protección del mismo.
- El almacenamiento de datos comerciales y personales en el mismo dispositivo puede ser un desafío. También se debe tener en cuenta la seguridad de los datos una vez almacenados en el dispositivo.
Desde una perspectiva legal, la responsabilidad de proteger la información recae en el controlador de datos (es decir, la empresa), no en el propietario del dispositivo. Por eso, es importante que al bring your own device le acompañe una política concreta y adecuada que contemple todas las cuestiones mencionadas.
BYOD: ejemplos de buenas prácticas
Cuando los empleados trabajan desde casa y usan sus propios dispositivos para acceder al software de la empresa, esta debe:
- Implementar la autenticación multifactor para el acceso remoto.
- Asegurarse de que los datos del propietario del dispositivo y los datos de la organización se mantengan separados.
- Garantizar que el dueño del dispositivo no pueda, sin darse cuenta o deliberadamente, mover los datos de la organización a su espacio de almacenamiento personal en el dispositivo o a otros aparatos.
- Tener en cuenta que la seguridad del dispositivo puede verse comprometida y planificar en consecuencia. Por ejemplo, actualizando los sistemas operativos o el software desactualizado y sin parches.
Cómo crear una política bring your own device
La implementación de un programa BYOD en una empresa requiere tres componentes críticos:
- Una aplicación de software para administrar los dispositivos que se conectan a la red.
- La correspondiente política documentada que describa las responsabilidades del empleador y del usuario.
- Un acuerdo de usuario, reconociendo que han leído y comprendido la política.
Antes de desarrollar dicha política, debes realizar una evaluación de riesgos exhaustiva y considerar cuidadosamente la responsabilidad que adquieres por el acceso, procesamiento y almacenamiento de datos.
Una política BYOD debe tener como objetivo proteger la seguridad y la integridad de la infraestructura tecnológica y de datos de la empresa. En este sentido debe cubrir:
- Uso aceptable: qué actividades están permitidas/no permitidas para uso comercial o personal.
- Dispositivos: qué dispositivos están permitidos/no permitidos.
- Aplicaciones: qué aplicaciones están permitidas/no permitidas, incluida la descarga de nuevas aplicaciones.
- Propiedad de aplicaciones y datos y gestión de los mismos.
- Soporte y servicio: cómo lidiar con problemas de conectividad, configuración de aplicaciones, etc. En este sentido, un sistema ERP puede ser útil.
- Seguridad: qué medidas se implementarán para evitar el acceso no autorizado a los datos y el sistema de la empresa, permitir la administración remota del dispositivo, etc.
- Responsabilidades: por ejemplo, por los costes asociados con el dispositivo o por la pérdida de datos o del propio dispositivo.
- Terminación del acceso: por ejemplo, por incumplimiento de la política o la salida de un empleado.
- Además de una política, al menos debes proporcionar a sus empleados una guía clara sobre:
- Protección del dispositivo manteniendo el software actualizado
- Uso de contraseñas seguras
- Cómo minimizar el almacenamiento de datos personales en sus dispositivos
Es importante que el personal comprenda cuándo y cómo deben denunciar posibles filtraciones de datos, si se producen en sus dispositivos personales.
Decíamos al principio que el BYOD es una práctica propia del proceso de transformación digital. Descubre en qué consiste exactamente este proceso.
Máster en Marketing Digital e Inteligencia Artificial (Barcelona | Madrid)
