BYOD

BYOD, de sus siglas en inglés “Bring Your Own Device”, es una tendencia que consiste en permitir / fomentar el uso de dispositivos personales en el entorno de trabajo. Es decir, que sean los empleados quienes traigan sus “herramientas” para desempeñar sus labores del día a día. Se trata de una tendencia que se ha ido arraigando en las organizaciones y que ahora está en auge. Debido a las implicaciones que esto puede tener desde el punto de vista de la seguridad de la información, resulta necesario evaluar las ventajas e inconvenientes de está practica así como los riesgos que se derivan de la misma.

En la presente entrada, vamos a tratar algunas de las particularidades de BYOD y expondremos la opinión desde dos puntos de vista: Dirección y CSO.

Antes de hablar de los pros y contras de BYOD conviene concretar un poco más a qué nos referimos con éste término. Como podréis imaginar, los límites no se encuentran claramente definidos. En principio, cuando hablamos de Bring Your Own Device, hacemos referencia a que los empleados usen su dispositivo: Portátil, tablet, smartphone, etc. Pero el software con el que llevan a cabo sus tareas seguirá siendo el corporativo. Ahora bien, si los empleados aportan además del dispositivo, el software, entonces se utiliza el término BYOT (Bring Your Own Technology). Ya por último y, por si no fuera suficiente, también se está hablando de que los empleados traigan su propia “nube”. En estos casos, se habla de BYOC (Bring Your Own Cloud).

Ventajas

Una de las posibles ventajas de BYOD es que los empleados cuidan / tratan mejor los dispositivos por ser estos de su propiedad. En lo que respecta a la organización, la adopción de BYOD puede suponer un ahorro en lo que a la adquisición de terminales se refiere. No obstante, el debate en relación a este beneficio sigue abierto ya que está por comprobar si realmente el ahorro en la adquisición de terminales compensa el coste adicional derivado de la implantación de mecanismos para garantizar un nivel apropiado de seguridad.

También hay que valorar las ventajas que puede aportar desde el punto de vista de la movilidad. El empleado puede disponer de un entorno de trabajo en casa “muy similar” al que encuentra en la oficina. Por lo tanto, parece razonable pensar que BYOD resultará especialmente interesante para aquellas organizaciones que operen siguiendo un modelo de teletrabajo.

Al margen de lo citado, el aporte más interesante de BYOD tiene que ver con el hecho de que, en determinados tipos de puesto de trabajo, en los que el manejo de información y la generación de conocimiento es lo más importante, los usuarios no separan claramente la vida profesional de la personal. En esta situación, resulta mucho más cómodo utilizar un único dispositivo para ambos ámbitos y así evitar ir cargado con el móvil del trabajo, el personal, el portátil de la empresa, el iPad, etc. Ni que decir tiene que, si el usuario es techie, le encantará poder elegir exactamente el dispositivo que quiere (modelo, SO, versión del SO, color, aplicaciones instaladas, etc.). De este modo, BYOD se convierte más en un acuerdo que beneficia a ambas partes y una muestra de flexibilidad por parte de la empresa.

Inconvenientes

En mi opinión el principal inconveniente tiene que ver con la seguridad de la información. Si BYOD no se gestiona adecuadamente puede suponer una importante brecha en la seguridad de las organizaciones. De hecho, algunos expertos en la materia han “rebautizado” el acrónimo BYOD como: “Bring Your Own Disaster” o “Bring Your Own Danger”.

Resulta sencillo imaginar múltiples situaciones en las que BYOD pueda producir una fuga de información. Pongamos por ejemplo el caso más sencillo: “Un empleado que ha usado su portátil personal en el trabajo” y planteémonos las siguientes cuestiones: ¿Dispondrá este equipo de unas medidas de seguridad equiparables a las del resto de equipos de la organización?, ¿quién se encarga de velar por la seguridad de este equipo?, ¿qué ocurre si este empleado decide renovar su equipo y vender el antiguo?, ¿realizará un borrado seguro de los discos duros?, etc. Otra cuestión a tener en cuenta es que al tratarse de un equipo personal, es muy probable que éste sea usado por otras personas del entorno familiar, amigos, etc. Nuevamente esto supone un importante riesgo.

Al margen de los inconvenientes que BYOD pueda tener en relación a la seguridad, no hay que pasar por alto el calvario que puede suponer para los administradores de sistemas. Éstos se verán forzados a trabajar en un escenario heterogéneo de dispositivos cada uno con sus particularidades.

Comentarios y opiniones

He tenido la oportunidad de comentar este trending topic con personas de distintos ámbitos: clientes, proveedores, amigos y, por supuesto, con compañeros de S2 Grupo. Creo que os resultará interesante conocer las opiniones de tres personas en particular. Con su permiso, y a modo de cierre, las incluyo a continuación:

Jose Miguel Rosell – Socio Director de S2 Grupo.

¿Es BYOD una moda pasajera o por el contrario es el modelo al que van a tender las organizaciones?, ¿qué postura ha tomado S2 Grupo al respecto y cuál ha sido el factor más influyente?

Más que de moda yo hablaría de tendencia imparable. Es una realidad que venimos observando desde hace tiempo a la que se le ha puesto un nombre y, por tanto, no creo que, en términos generales, se trate de una moda a la que van a tender o no las organizaciones o de algo que puedan decidir las mismas. Es una tendencia que están adoptado los usuarios. Las organizaciones lo que hacemos es, en este tipo de casos, diseñar las políticas de uso de algo que de una u otra manera viene impuesto por la realidad de los usuarios. Es algo similar a lo que ha pasado con el uso de las redes sociales.

Las organizaciones nos tenemos que adaptar o sufrir las consecuencias. En este sentido S2 Grupo, como muchas otras organizaciones del mundo, está analizando qué política de uso debe diseñar atendiendo a las necesidades de una empresa que, en nuestro caso, tiene el agravante de ser una empresa de seguridad. En este sentido, en este momento, la respuesta a esta pregunta yo diría que no es trivial y que tengo que contestar que estamos analizando el riesgo que introduce esta tendencia en organizaciones que manejan información sensible y cómo mitigarlo. Desde luego no creo que en este tipo de compañías el factor influyente sea el coste, el factor, en mi opinión, más influyente va a ser el riesgo y la posibilidad de limitarlo. En resumen yo creo que tenemos que conformarnos, por ahora, con un sonoro y decepcionante “dependerá”.

Dependerá del tipo de organización y de la respuesta que la industria de la seguridad sea capaz de aportar para la incorporación, de una forma eficiente, de esta tendencia a las infraestructura TIC de las compañías.

Miguel Ángel Juan – Socio Director de S2 Grupo.

¿Qué cambios se tendrán que producir en la tecnología para que BYOD se extienda en las organizaciones conscientes de los riesgos de esta práctica?

Debemos diseñar un sistema que permita incrementar la seguridad de las organizaciones contando con el apoyo y respaldo de los empleados. Se deben establecer mecanismos que permitan al empleado separar de una forma sencilla, la información personal de la corporativa. Evidentemente, también será necesario aplicar controles para garantizar la seguridad de la información corporativa.

Es pronto para hablar de cambios concretos en la tecnología, pero desde mi punto de vista, la clave radica en involucrar al empleado. Convencidos de que este es el camino a seguir en S2 Grupo hemos iniciado MUSES. Un proyecto I+D cuyo principal objetivo es incrementar la seguridad corporativa reduciendo el riesgo introducido por las actuaciones de los usuarios. Aportaremos más detalles sobre nuestros avances en esta línea en futuras entradas.

Antonio Villalón – Director de Seguridad de S2 Grupo.

Hemos visto que BYOD puede entrañar muchos problemas de seguridad, ¿crees que oponerse rotundamente es adecuado?, ¿cómo podemos lograr un equilibrio entre seguridad / flexibilidad?, ¿alguna recomendación que permita reducir el riesgo sin matar moscas a cañonazos?

Oponerse rotundamente a algo casi nunca es adecuado :) Lo que desde Seguridad tratamos de hacer siempre es analizar cómo integrar una necesidad, en este caso BYOD, en la seguridad corporativa: es decir, no nos oponemos de entrada a BYOD, lo que trataremos de hacer será que esta tendencia no introduzca riesgos en la organización.

Lograr un equilibrio entre funcionalidad (o flexibilidad) y seguridad no siempre es sencillo; para aplicar medidas de seguridad sobre dispositivos personales necesitamos en primer lugar que el usuario esté de acuerdo (si no lo está, como mucho podremos denegarle el acceso a datos corporativos… o intentarlo), y eso no se consigue por una vía técnica sino por una vía de concienciación. Cuando alguien es consciente de que un robo, una pérdida o un ataque a su dispositivo pone en riesgo tanto su información personal como la información corporativa, y eso se le demuestra fácilmente, asume sin problemas medidas técnicas —por supuesto, siempre trataremos de ser lo menos intrusivos posible, salvo cuando no hay más remedio.

Como recomendación, una medida muy simple: apliquemos en los dispositivos personales las mismas restricciones que en los corporativos. Si estas medidas son proporcionales -y deben serlo en ambos casos- los usuarios las adoptarán sin problemas y no introduciremos riesgos significativos en nuestra organización.

Comments

  1. A propósito de esta entrada, ayer S2 Grupo publicó el Decálogo básico de seguridad para dispositivos iOS (iPad/iPhone), que pueden encontrar en el siguiente enlace:

    http://www.s2grupo.es/compartir-consejos.shtml

  2. ¡¡Qué convenientes las respuestas!!. Os han faltado los PDF con los brochures de los productos! :-)

  3. Bueno, no exageres, no exageres :)

    La única respuesta que introduce un potencial producto es la de Miguel Juan, en referencia a MUSES, un proyecto de I+D+i del 7º Programa Marco de la Unión Europea del que somos coordinadores.

    No te preocupes que te daremos más detalles en breve ;)

  4. Bueno, @aramosf, Muses no es un producto, sino un proyecto europeo que me ha parecido pertinente mencionar, por sus objetivos. En cualquier caso, si nos sigues, sabes que rara vez hacemos referencias a nuestros productos o servicios. Gracias por seguirnos :-)

  5. Hace un año me enseñaron una plataforma que permite gestionar tu ambiente de trabajo en dispositivos heterogéneos, precisamente para permitir lo que se está debatiendo. Supongo que hoy en día existirán más.

    Yo creo que el que el empleado utilice sus propios dispositivos beneficia a la empresa. Es conocido que el principal beneficio para la empresa del uso de BB es que el empleado extiende el tiempo dedicado a la empresa hasta limites insospechados. De la misma manera, el hecho de que pueda utilizar sus propios dispositivos para hacer las gestiones de trabajo cotidianas lo hará, a priori, más productivo; utilizando además la tecnología que le gusta y a la que está acostumbrado.

    Por tanto, creo que ya existe tecnología en el mercado que facilita esta integración de los dispositivos personales con los sistemas de información de las compañías, y que es necesario coger el toro por los cuernos y ver cómo abordar esa integración.

    Es mejor saber qué es lo que tienes que ir integrando tú que no ir descubriendo (o no) lo que va integrando el empleado. No se pueden poner puertas al campo.

    A propósito del blog, me parece fenomenal. Seguid así.

  6. Buenas,
    Muy buen post. Creo que es una tendencia esto del BYOD ya que los departamentos de TI no van a la misma velocidad (ni por estructura ni presupuesto) a la misma velocidad que los usuarios y el mercado.
    Vamos a ver como se desarrolla en nuestro país.
    Un saludo
    http://blog.videoconferencia.net/2012/06/13/los-empleados-prefieren-trabajar-con-sus-propios-dispositivos-llega-byod/