Guía Práctica en 5 pasos sobre cómo adaptar el BYOD en mi empresa

26 septiembre, 2012

Guía Práctica en 5 pasos sobre cómo adaptar el BYOD en mi empresa

Por María González, asociada senior de Information Technology de ECIJA

Si la consumerización y el avance de la tecnología está suponiendo para su empresa un aumento del uso de dispositivos personales por parte de sus trabajadores, y le genera el dilema acerca de si permitirlo, y en su caso, como regularlo y controlarlo, no se pierda esta Guía, que pretende dar las cinco principales claves a tener en cuenta para la adaptación del BYOD a su empresa.

El BYOD tiene como ventajas; que supone el triunfo de la movilidad, la productividad y la eficiencia; aunque, por otro lado, la falta de su regulación y control por parte del empresario puede suponer un grave riesgo de seguridad y ser la semilla del desastre.

Para regular el uso de los dispositivos personales con fines profesionales en las organizaciones, sin dejar de lado la debida protección y securización de la información corporativa y los datos personales que dichos dispositivos pueden almacenar, deben seguirse al menos los siguientes pasos, todos encaminados a reducir el impacto legal, técnico, de seguridad, y también, económico y de reputación en las organizaciones.

1.- Consentimiento expreso y colaboración del trabajador:

Uno de los aspectos más prioritarios y necesarios de regular ante la implantación de una Política de uso BYOD en las compañías, es el consentimiento expreso del trabajador para usar su dispositivo personal para finalidades personales.

Este consentimiento debe extenderse a la aceptación de las medidas de seguridad y controles que establezca la compañía para la protección de su información corporativa y datos personales que pueden llegar a tratarse y almacenarse en los dispositivos personales, y que pueden suponer una monitorización del uso que se hace de dicha información, etc.

Para ello será necesario la redacción y firma de contratos específicos y/o regulación vía contrato laboral o Anexo de:

– Confidencialidad y secreto.

– Regulación uso de BYOD, principalmente en aspectos como; costes (los asume íntegramente el trabajador, la compañía subvenciona o ayuda), condiciones uso de los dispositivos en el entorno laboral; establecimiento de posibles responsabilidades por el uso o mal uso de la información corporativa tratada y almacenada en el dispositivo, la no implantación de las medidas de seguridad requeridas a nivel corporativo, etc.

2.- Políticas de uso y de seguridad especificas:

La compañía deberá redactar e implantar normas acerca del uso de dispositivos BYOD en el entorno corporativo. Estas políticas o procedimientos deberán ser aceptadas antes de la instalación de las aplicaciones corporativas en el dispositivo privado (pops up aceptación), y establecerán una serie de obligaciones para los usuarios, que deberán ser cumplidas por los empleados, entre ellas; no modificación de los parámetros de seguridad (prohibición “jail break”), mantenimiento y actualización del sistema operativo y de las aplicaciones, limitaciones de uso, realización de copias de seguridad y el cumplimiento escrupuloso de la normativa de protección de datos.

Entre el contenido de una Política BYOD recomendamos incluir:

– Expectativas

– Requerimientos mínimos de seguridad

– Imposición herramientas seguridad corporativa para conexión a sistemas de información.

– Normas claras acerca del proceso a seguir en los dispositivos cuando finaliza la relación entre el usuario y la empresa, a fin de evitar que quede información corporativa en el mismo (Devolución / recuperación / borrado / segregación de datos del dispositivo)

También deberán ser regulados a través de políticas o procedimientos corporativos determinados aspectos que pueden tener un impacto en la empresa ante el uso de dispositivos personales (BYOD) en lugar de dispositivos corporativos. Así son aspectos importantes a remarcar los siguientes:

– Geolocalización à las funciones basadas en la geolocalización fomentan la capacidad de saber, no solo la localización exacta del usuario en cada momento, sino incluso de conocer en tiempo real lo que está haciendo. Son los usuarios los que mantienen el control sobre el GPS y las funciones de geolocalización de su dispositivo, pudiendo gestionar los privilegios de acceso de cada aplicación a los datos de localización.

La empresa podría establecer la obligación de permanecer localizables dentro del horario laboral, extrayendo por tanto, información sobre; optimización de rutas, control de flotas, tracking del transporte de productos y pasajeros, control del absentismo laboral, detección de incumplimientos contractuales, etc.

Por tanto, en relación con la geolocalización es recomendable la inclusión de normas y obligaciones en la política BYOD sobre estos aspectos.

– Redes sociales: La utilización de redes sociales por parte de los trabajadores debe ser regulada en el ámbito corporativo a través de la creación de manuales o guías corporativas de buenas prácticas en el uso de las redes sociales, sobre todo ante el uso de dispositivos BYOD o personales por parte de los empleados, en cuanto a que el comportamiento del un usuario en las redes sociales puede cambiar si el dispositivo utilizado es propio o de la empresa.

Por tanto, en las políticas o manuales de uso de redes sociales, y/o en la política de uso de dispositivos BYOD, deberá regularse el uso de las redes sociales, estableciendo expresamente las obligaciones de confidencialidad respecto a información de la empresa y de sus clientes, no denigración de competidores, etc.

– Propiedad intelectual: En relación con la propiedad intelectual e industrial derivada de las aplicaciones y contenidos alojados en los dispositivos personales de los trabajadores, es necesario, limitar expresamente la responsabilidad de la empresa respecto de los mismos, ya que la empresa no tiene control efectivo sobre la parte personal de los dispositivos ni sobre los contenidos en ellos alojados.

No obstante, deberá concienciarse al usuario sobre el impacto que sus contenidos ilícitos o pirateados pueden llegar a ser asociados a la empresa, al coexistir con aplicaciones corporativas y al compartir una misma dirección IP.

Igualmente, es recomendable pedir al usuario que respete en todo el dispositivo la normativa de propiedad intelectual e industrial y cualquier otra norma cuyo incumplimiento pueda generar responsabilidad para la empresa.

3.- Regulación técnica; Implantación herramientas gestión, monitorización, bloqueo:

La regulación técnica de los dispositivos BYOD en la empresa de cara a ofrecer una seguridad a la información corporativa y proteger las conexiones a los sistemas de información corporativos, puede ser gestionada de diversas formas;

1.- Diseño y gestión de la red corporativa y conexión de dispositivos BYOD, bien a través de aplicaciones nativas en modo cliente – servidor; a través de la conexión por navegador web, o bien, a través de escritorios virtuales.

2.- Gestión Integral a través de herramientas informáticas de gestión corporativas que integren a los dispositivos BYOD, y que ayudan o se encargan de; El diseño y gestión de la red corporativa, el control y gestión de accesos (gestión de identidades), medidas de seguridad informática corporativas, monitorización.

3.- Implementación de herramientas informáticas independientes que permitan; el cifrado de información y comunicaciones, monitorización del uso, bloqueo remoto de dispositivos, recuperación remota de la información del dispositivo, etc.

Por último, si la entidad está abordando o tiene implantado un Plan de Continuidad de Negocio, deberá incluir los dispositivos BYOD en sus inventarios de activos, e incluirlos igualmente, en las pruebas de contingencia y continuidad que se ejecuten periódicamente en la organización.

4.- Controles empresariales ante el uso de BYOD:

El control empresarial que pueda ejercitar el empresario, teniendo en cuenta las facultades previstas en el art 20 del Estatuto de los Trabajadores, y la jurisprudencia que en este sentido ha generado el Tribunal Supremo, de las que cabe destacar la STS 26/09/07 y la STS 6/10/2011 que ratifica la sentencia de 2007, no puede extenderse a priori, o habría que hacerlo con muchísima prudencia , al control corporativo de dispositivos eminentemente personales, en cuanto que el control previsto en el Estatuto de los Trabajadores y las sentencias referidas están relacionadas con el control empresarial de los dispositivos corporativos usados por los trabajadores.

Por tanto, en el caso de Políticas BYOD, la capacidad de control de la empresa se debe limitar a exclusivamente a las áreas, aplicaciones y contenedores de información corporativa, sin perjuicio del posible análisis forense de todo el contenido del terminal en el seno de una investigación judicial, o con el consentimiento del usuario.

La actividad de prevención y control de la empresa; deberá ser informada a los usuarios y deberá ser proporcional, idónea y necesaria para las finalidades de control previstas en las normas internas y en el ordenamiento jurídico.

5.- Y sobre todo… Formación y Concienciación:

Un aspecto fundamental en la adopción de políticas BYOD es la concienciación y formación de los usuarios en distintas vertientes; desde la utilización y securización de los dispositivos, a la concienciación en cuanto a ingeniería social que reduzcan los riesgos de phishing, pharming, instalación de malware y cualquier otro engaño orientado a la obtención de contraseñas y vulneración de la seguridad y privacidad.

Enlace al artículo: http://www.diariojuridico.com/actualidad/noticias/guia-practica-en-5-pasos-sobre-como-adaptar-el-byod-en-mi-empresa.html

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa