Protección de datos a pesar del
«Bring Your Own Device»
Si se permite a los empleados utilizar sus propios dispositivos electrónicos para fines profesionales y almacenar y procesar datos internos de la empresa en el proceso, se habla de «Bring Your Own Device», o «BYOD» para abreviar. En el ámbito de la mensajería instantánea, BYOD proporciona ahorros financieros y administrativos, además de una mayor satisfacción de los empleados.
Al mismo tiempo, el BYOD implica riesgos considerables para la protección de datos. Dado que los dispositivos personales no suelen estar conectados a la TI de la empresa mediante un sistema MDM, no pueden gestionarse, lo que significa, por ejemplo, que no puede prohibirse el uso de determinadas aplicaciones de mensajería.
Tabla de contenidos
¿Qué quiere decir «Bring Your Own Device»?
«Bring Your Own Device» o «BYOD» para abreviar, se refiere a la práctica de utilizar dispositivos electrónicos personales para fines profesionales. Los empleados no solo utilizan sus propios teléfonos inteligentes, ordenadores portátiles o tabletas para acceder a la red empresarial del empleador, sino que también almacenan los datos de la empresa en su propio hardware. A continuación, se comparará el BYOD con otras políticas de dispositivos:
- BYOD (Bring Your Own Device): los empleados utilizan dispositivos personales para fines empresariales. Estos dispositivos pueden gestionarse o no.
- CYOD (Choose Your Own Device): las empresas especifican qué dispositivos pueden utilizarse. Los empleados que poseen dispositivos autorizados pueden utilizarlos para conectarse a la red corporativa. El departamento de TI de la empresa gestiona la parte empresarial de los dispositivos (no los usuarios).
- COPE (Corporate Owned, Personally Enabled): la empresa elabora una lista de dispositivos aprobados y los empleados eligen un dispositivo, que también pueden utilizar para fines personales.
- COBO (Corporate Owned, Business Only): los empleados utilizan los dispositivos de la empresa solo para fines empresariales.
Cada una de estas estrategias tiene ventajas e inconvenientes. En este artículo, aprenderá todo lo que es importante saber sobre BYOD en lo que respecta a la mensajería instantánea.
Ventajas de BYOD en la mensajería instantánea
No todas las empresas disponen de los recursos financieros necesarios para equipar a todos los empleados con un smartphone, y no todos los miembros de cada departamento están obligados a poseer un smartphone de empresa. Sin embargo, desde el punto de vista de la empresa, puede resultar beneficioso integrar a los empleados en los canales de comunicación corporativos (por ejemplo, esto permite que todos puedan llamar o chatear con cualquier compañero). BYOD es la estrategia de dispositivos adecuada para este escenario.
Las ventajas del BYOD, tanto desde la perspectiva de la empresa como del empleado:
- Reducción de los gastos: con el BYOD no hay costes de compra, ya que no hay que adquirir dispositivos de empresa.
- Reducción de la administración: no hay necesidad de configurar y gestionar los dispositivos de la empresa. Además, no hay costes de licencia para un sistema MDM (a menos que la política BYOD requiera que los dispositivos personales también estén conectados a un sistema MDM existente).
- Mayor satisfacción de los empleados: los empleados pueden trabajar con dispositivos y sistemas que conocen y con los que ya están familiarizados. Además, no requiere un proceso de adaptación largo.
- Mayor eficiencia y movilidad: al permitir a los empleados utilizar sus dispositivos móviles personales para la comunicación relacionada con el trabajo, pueden completar las tareas en cualquier momento, independientemente de su ubicación actual.
- Mayor eficiencia y movilidad: al permitir a los empleados utilizar sus dispositivos móviles personales para la comunicación relacionada con el trabajo, pueden completar las tareas en cualquier momento, independientemente de su ubicación actual.
- Fácil integración de los trabajadores desplazados y externos: los empleados que no están presentes en las instalaciones o las partes externas que no tienen acceso a la red de la empresa también pueden formar parte del canal de comunicación corporativo gracias al BYOD.
Dispositivos móviles gestionados y no gestionados
Los dispositivos móviles no gestionados son smartphones que no están conectados a la infraestructura de TI de la empresa mediante un sistema MDM. En este caso, el departamento de TI no tiene forma de aplicar las políticas empresariales en el dispositivo (por ejemplo, no es posible impedir el uso de determinadas aplicaciones). Los dispositivos gestionados, en cambio, permiten al departamento de TI de la empresa definir qué aplicaciones y actividades están permitidas. En lo que respecta al BYOD, los smartphones personales no suelen estar gestionados, ya que la gestión de los dispositivos que posee el personal puede no estar en consonancia con la normativa sobre privacidad y probablemente no sea del agrado de los empleados. Para saber cómo mantener un cierto nivel de control en lo que concierne a aplicaciones, vea Cómo garantizar la seguridad a pesar de BYOD.Los riesgos de BYOD en smartphones
Permitir que los empleados utilicen dispositivos móviles personales para la comunicación profesional puede tener consecuencias considerables para las empresas, especialmente si no existe un sistema MDM y los dispositivos no se gestionan.
Pérdida de datos y seguridad de datos insuficiente
En 2018, el proveedor de servicios en la nube Bitglass realizó una encuesta a 400 expertos en TI de la que se obtuvo los siguientes resultados:
-
el 30% cree que BYOD implica un mayor riesgo en la seguridad:
- el 61% se preocupa por la pérdida de datos
- al 53% les preocupa el robo de datos y el acceso no autorizado a los datos de la empresa
- el 15% de las empresas en las que trabajan los expertos no permiten el BYOD
Es un hecho que los smartphones personales pueden suponer un peligro para la seguridad de las empresas. Por ejemplo, si un dispositivo personal está infectado con un malware, este puede leer las entradas del teclado del usuario, incluidos los nombres de usuario y las contraseñas. Así es como los hackers acceden a los datos sensibles de la empresa. Los sistemas operativos obsoletos también aumentan el riesgo de éxito de los ciberataques porque los hackers pueden aprovechar las vulnerabilidades.
Incumplimiento de la normativa europea de protección de datos
«Bring Your Own Device» también puede infringir el Reglamento General de Protección de Datos (RGPD) si se procesan y almacenan datos personales como los datos de contacto de clientes o empleados en dispositivos personales no gestionados.
Por ejemplo, servicios de mensajería muy populares en Estados Unidos como WhatsApp acceden a la libreta de direcciones de sus usuarios. Las empresas deben ser capaces de demostrar que su tratamiento de datos personales es legal, lo que requiere un esfuerzo considerable. Para evitar sanciones legales, es necesario poner en marcha un servicio de mensajería profesional para empresas.
Lo importante sobre la transferencia de datos entre la UE y EE.UU.
Lea esta entrada en el blog (en inglés) para saber qué deben tener en cuenta las empresas para cumplir con el RGPD: 1 Year Since the Invalidation of the Privacy Shield Agreement: 5 Recommended Actions for Privacy-Compliant and Secure Corporate CommunicationFalta de opciones de administración
Si no se gestionan los dispositivos móviles en un entorno BYOD, surge una cuestión importante: ¿Cómo pueden las empresas hacer cumplir sus políticas y proteger los datos corporativos?
Las empresas deben evitar que los empleados compartan datos de la empresa en aplicaciones que se utilizan para fines personales. Además, se debe impedir que los empleados accedan a los datos de esta una vez que el empleo ha finalizado.
Trabajo extra para los departamentos de TI
En un entorno BYOD, los dispositivos no gestionados no solo suponen una falta de opciones de administración, sino que también imposibilitan el mantenimiento de un sistema informático uniforme. El departamento de TI se enfrenta entonces a un trabajo considerable debido a los distintos tipos de dispositivos que deben ser supervisados para detectar posibles vulnerabilidades.
Cómo garantizar la seguridad a pesar de BYOD
A fin de establecer con éxito la política de «Bring Your Own Device» para la mensajería instantánea sin comprometer la seguridad, su empresa debe tomar las siguientes medidas.
Introducir una política BYOD
Los empleados deben ser conscientes de las brechas de seguridad que su comportamiento puede ocasionar (por ejemplo, si utilizan redes Wi-Fi que no son seguras o eligen contraseñas fáciles de adivinar). Un conjunto de normas internas sobre BYOD debería abarcar los siguientes temas:
- ¿Qué software puede o debe instalarse en el dispositivo personal?
- ¿Hasta qué punto puede el empresario acceder a los dispositivos de los empleados?
- ¿Qué medidas hay que tomar en caso de que los empleados dejen de trabajar para la empresa o empiecen a utilizar un dispositivo de la empresa en lugar del suyo propio?
Las mensajerías de empresa ayudan a separar la comunicación personal de la profesional
Es importante que las empresas se aseguren de que los datos de contacto corporativos no se filtren a terceros a través de las aplicaciones personales de los empleados. Al proporcionar un servicio de mensajería interna, que se utiliza exclusivamente para la comunicación profesional, las empresas pueden asegurarse de que los empleados no tengan que recurrir a las aplicaciones personales.
Los Shadow IT plantean grandes riesgos
En esta entrada de blog (en inglés), descubrirá qué riesgos puede suponer para las empresas el uso de aplicaciones de chat que no han sido aprobadas por el departamento de TI: Messengers and Shadow IT: The RisksBuenas prácticas: configuración de la app en Threema Work
Con Threema Work, sus empleados se beneficiarán de un servicio de mensajería de empresa para la comunicación profesional, al tiempo que su empresa se beneficiará de las ventajas del BYOD, manteniendo la máxima seguridad de los datos. Si no se utilizan dispositivos gestionados y no se dispone de un sistema MDM o EMM externo, puede utilizar la configuración de la app en el cockpit de gestión para aplicar las políticas corporativas. Mediante varios ajustes de configuración, podrá establecer la aplicación Threema Work para sus usuarios.
Para obtener más información sobre las opciones de configuración, vaya al resumen de ajustes de configuración (en inglés) y la documentación de Threema Work (en inglés). Mejor aún, pruebe usted mismo Threema Work.