Fotolia
Cómo crear una política de BYOD
Consejos y consideraciones que debe tener en cuenta para crear una política clara y sencilla de BYOD.
Traer su propio dispositivo al trabajo (BYOD) no es un sinónimo de “ser libre para todo”. Una vez que una organización decide permitir a sus empleados utilizar sus propios dispositivos móviles y PC para el trabajo, debe establecer una política BYOD para controlar este uso.
Los detalles de cualquier política de traiga su propio dispositivo (BYOD) serán específicos para una organización determinada, pero la mayoría de las políticas cubren las mismas preguntas básicas: ¿Cómo deben los usuarios proteger sus dispositivos? ¿A qué datos y aplicaciones se puede y no se puede acceder? ¿Y qué sucede cuando un usuario pierde un dispositivo o deja la empresa?
BYOD puede ser confuso, porque involucra diferentes tipos de dispositivos, casos de uso y usuarios. Para crear una política BYOD clara y sencilla, TI y otras áreas encargadas de tomar decisiones de negocio deben considerar estos temas:
Uso aceptable
En primer lugar, es vital especificar a qué funciones puede tener acceso un determinado usuario, y qué comportamientos generales son aceptables. Es importante proteger a la organización de los usuarios que pueden tener, por ejemplo, materiales ilícitos en sus dispositivos, o información que pueda ser propiedad de otra empresa.
Selección del equipo
Probablemente hoy no es razonable, por los gastos de soporte y el gran número de dispositivos disponibles, para permitir cualquier smartphone o tableta arbitraria en la red de la empresa. Una gama relativamente amplia de plataformas –por ejemplo, Android, iPhone y BlackBerry– suele ser suficiente, enumerando dispositivos y versiones según convenga.
Reembolso
Algunas tiendas de BYOD pagarán por los dispositivos y los servicios mensuales de los usuarios, parcial o totalmente. Una política de BYOD debe explicar exactamente qué cargos reembolsará la organización, y cuáles no. Algunos servicios de terceros y software pueden proporcionar la contabilidad detallada (y a veces datos) del uso del teléfono, pero puede ser más fácil simplemente reembolsar un porcentaje pre especificado de la factura mensual de los usuarios. Su organización podría tener que modificar sus sistemas contables para apoyar esta función crítica.
Aplicaciones y seguridad
Poner aplicaciones en listas blancas y negras es una técnica popular que, aunque ciertamente no es infalible, ayuda a mantener la seguridad y la integridad de los recursos de TI de la empresa (por no hablar del propio teléfono). Si su organización toma este enfoque, la política BYOD debe explicar que TI tiene la autoridad para prohibir el uso de ciertas aplicaciones. La configuración general del software del teléfono es una variable clave en las operaciones exitosas de TI móvil, por lo que la política BYOD también debe cubrir el uso de aplicaciones antivirus, otros software de seguridad y la configuración del firewall.
A menudo estoy muy sorprendido de encontrar que las políticas de seguridad de las organizaciones carecen del área móvil, o, claramente mucho peor, no se ocupan de la tendencia móvil en absoluto. Una política de seguridad en su esencia especifica qué información es sensible (o, al menos, define las clases de información confidencial), las circunstancias en las que los usuarios autorizados pueden acceder a información sensible, y qué hacer en caso de una brecha en la seguridad. Tales reglas son esenciales, por lo que al crear una política de BYOD, podría ser un buen momento para revisar su política general de seguridad también.
Administración de dispositivos móviles
El software de administración de dispositivos móviles (MDM) permite a TI configurar, asegurar, monitorear y borrar los teléfonos inteligentes y tabletas. MDM es una tecnología que evoluciona rápidamente, con pocos estándares o incluso una definición aceptada en general, pero TI debe familiarizarse con la amplia gama de herramientas y servicios que hay actualmente en el mercado. MDM es también un elemento de un conjunto más amplio de funciones, a menudo llamadas gestión de movilidad empresarial, que puede hacer cumplir la política BYOD y otros requisitos.
Acuerdos
Una vez que implemente una política de BYOD, es importante tener un acuerdo por escrito con todos los usuarios de dispositivos móviles. Un acuerdo eleva la conciencia acerca de la naturaleza crítica de las operaciones de TI móviles, y protege a las organizaciones en el caso de una violación de políticas de BYOD. Al igual que su propia política de BYOD, este acuerdo debe ser lo más claro posible, para evitar malentendidos que podrían generar una gran cantidad de problemas y dolores de cabeza para TI.
Desafíos de la política de BYOD
Uno de los retos en el desarrollo de una política de BYOD está en la definición de uso personal contra uso de negocios. Algunas tecnologías, como la virtualización móvil, trata de separar los dos en el mismo dispositivo, pero aún existen las áreas grises. Por ejemplo, el borrado del citado dispositivo: ¿Qué pasa si la información puramente personal se pierde en el proceso?
Debido a estas áreas potencialmente problemáticas, es vital una revisión legal sólida de su política y acuerdos de BYOD por un abogado adecuado. La ley que rodea a BYOD está lejos de ser resuelta en este punto, y la ley aplicable puede variar de una jurisdicción a otra en todos los niveles, incluyendo el internacional. Las revisiones periódicas de las políticas y los acuerdos (al menos dos veces por año) también son esenciales.
Desarrollar una política de BYOD puede parecer complejo, especialmente en las grandes organizaciones, pero los ahorros inherentes de BYOD en los gastos operativos y de capital puede fácilmente pagar por el necesario desarrollo de políticas, revisión legal, capacitación, educación, herramientas y sistemas. La conveniencia de BYOD es innegable para los usuarios, y con un poco de trabajo, BYOD está a punto de convertirse en clave para unas operaciones de TI más rentables.
