¿Qué es bring your own device (BYOD)?

Las políticas BYOD surgieron con la aparición de los smartphones iOS y Android a finales de la década de 2000, a medida que más trabajadores preferían estos dispositivos a los teléfonos móviles estándar proporcionados por la empresa. El auge de las modalidades de trabajo remoto e híbrido, junto con la creciente integración de las redes corporativas con proveedores y contratistas, aceleró la necesidad de que las políticas BYOD se extendieran más allá de los smartphones.

Más recientemente, la pandemia de COVID-19, junto con la escasez de chips y las interrupciones en la cadena de suministro, obligaron a muchas organizaciones a adoptar políticas BYOD. Este enfoque permitió a los nuevos empleados seguir trabajando mientras esperaban el dispositivo proporcionado por la empresa.

Normalmente elaborada por el director de sistemas de información (CIO) y otros responsables de la toma de decisiones de TI de alto nivel, una política BYOD define los términos bajo los cuales se pueden utilizar los dispositivos propiedad de los empleados en el trabajo. También establece las políticas de seguridad que los usuarios finales deben respetar al utilizarlos.

Aunque los detalles de una política BYOD varían en función de los objetivos de la estrategia BYOD de una organización, la mayoría de las políticas sobre dispositivos definen alguna variante de estos elementos:

Uso aceptable: las políticas BYOD suelen describir cómo y cuándo los empleados pueden utilizar los dispositivos personales para tareas relacionadas con el trabajo. Por ejemplo, las directrices de uso aceptable pueden incluir información sobre cómo conectarse de forma segura a los recursos corporativos mediante una red privada virtual (VPN) y una lista de aplicaciones aprobadas relacionadas con el trabajo.

Las políticas de uso aceptable suelen especificar cómo se deben manejar, almacenar y transmitir los datos confidenciales de la empresa mediante dispositivos propiedad de los empleados. En su caso, las políticas BYOD también pueden incluir políticas de seguridad y retención de datos que cumplan con normativas como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Ley Sarbanes-Oxley el Reglamento General de Protección de Datos (RGPD).

Dispositivos permitidos: una política BYOD puede describir los tipos de dispositivos personales que los empleados pueden utilizar para trabajar y las especificaciones relevantes de los dispositivos, como la versión mínima del sistema operativo.

Medidas de seguridad: las políticas BYOD suelen establecer normas de seguridad para los dispositivos de los empleados. Estas medidas pueden incluir requisitos mínimos para las contraseñas y políticas de autenticación de dos factores, protocolos para realizar copias de seguridad de la información confidencial y procedimientos que deben seguirse en caso de pérdida o robo de un dispositivo. Las medidas de seguridad también pueden especificar el software de seguridad que los empleados deben instalar en sus dispositivos, como las herramientas de gestión de dispositivos móviles (MDM) o de gestión de aplicaciones móviles (MAM). Estas soluciones de seguridad BYOD se analizan con más detalle más adelante.

Privacidad y permisos: las políticas BYOD suelen describir las medidas que adopta el departamento de TI para respetar la privacidad de los empleados en sus dispositivos, incluyendo la forma en que la organización mantiene la separación entre los datos personales de los empleados y los datos corporativos. La política también puede detallar los permisos específicos que el departamento de TI necesita en el dispositivo del empleado, incluyendo cierto software que podría necesitar instalar y aplicaciones que podría necesitar controlar.

Reembolso: si la empresa reembolsa a los empleados por el uso de sus dispositivos personales, por ejemplo, ofreciéndoles una asignación para la compra de dispositivos o subvencionando planes de internet o datos móviles, una política BYOD describe cómo se gestiona el reembolso. También especifica las cantidades que pueden recibir los empleados.

Soporte de TI: la política BYOD puede especificar en qué medida el departamento de TI de una empresa estará (o no estará) disponible para ayudar a los empleados a solucionar problemas de dispositivos personales averiados o que no funcionen correctamente.

Desvinculación: por último, las políticas BYOD suelen describir los pasos a seguir cuando un empleado abandona la empresa o da de baja su dispositivo del programa BYOD. Estos procedimientos de salida suelen incluir planes para eliminar los datos corporativos confidenciales del dispositivo, revocar el acceso del dispositivo a los recursos de la red y dar de baja la cuenta del usuario o del dispositivo.

Los programas BYOD plantean problemas de seguridad de los dispositivos que los departamentos de TI no suelen encontrar (o encuentran en menor medida) con los dispositivos proporcionados por la empresa. Las vulnerabilidades del hardware o del sistema en los dispositivos de los empleados pueden ampliar la superficie de ataque de la empresa, lo que ofrece a los hackers nuevas formas de violar la red de la organización y acceder a datos confidenciales. Los empleados pueden adoptar comportamientos más arriesgados al navegar, enviar correos electrónicos o mensajes en sus dispositivos personales de lo que se atreverían a hacer con un dispositivo proporcionado por la empresa. El malware que infecta el ordenador de un empleado debido a su uso personal puede propagarse fácilmente a la red corporativa.

Con los dispositivos proporcionados por la empresa, el departamento de TI puede evitar estos y otros problemas similares mediante la monitorización y la gestión directas de los ajustes, las configuraciones, el software de las aplicaciones y los permisos de los dispositivos. Sin embargo, es poco probable que los equipos de seguridad de TI tengan el mismo control sobre los dispositivos personales de los empleados, y es probable que estos se resistan a ese nivel de control. Con el tiempo, las empresas han recurrido a otras tecnologías para mitigar los riesgos de seguridad del BYOD.

Los escritorios virtuales, también conocidos como infraestructura de escritorio virtual (VDI) o escritorio como servicio (DaaS), son instancias informáticas de escritorio totalmente aprovisionadas que se ejecutan en máquinas virtuales alojadas en servidores remotos. Los empleados acceden a estos escritorios y, básicamente, los ejecutan de forma remota desde sus dispositivos personales, normalmente a través de una conexión cifrada o VPN.

Con un escritorio virtual, todo ocurre en el otro extremo de la conexión: no se instala ninguna aplicación en el dispositivo personal y no se procesan ni almacenan datos de la empresa en el mismo, lo que elimina de forma eficaz la mayoría de los problemas de seguridad relacionados con los dispositivos personales. Sin embargo, los escritorios virtuales pueden resultar caros de implementar y gestionar, ya que dependen de la conexión a internet y no permiten a los empleados trabajar sin conexión.

El software como servicio (SaaS) basado en la nube puede proporcionar beneficios en materia de seguridad similares con menos gastos generales de gestión, pero también con un control ligeramente menor sobre el comportamiento de los usuarios finales.

Antes del BYOD, las organizaciones gestionaban los dispositivos móviles proporcionados la empresa mediante software de gestión de dispositivos móviles (MDM). Las herramientas de MDM proporcionan a los administradores un control total sobre los dispositivos: pueden aplicar políticas de inicio de sesión y cifrado de datos, instalar aplicaciones empresariales, enviar actualizaciones de aplicaciones, rastrear la ubicación de los dispositivos y bloquearlos o borrar su contenido en caso de pérdida, robo o cualquier otro tipo de compromiso.

MDM era una solución de gestión móvil aceptable hasta que los empleados empezaron a utilizar sus propios smartphones en el trabajo y rápidamente se enfadaron por conceder a los equipos de TI este nivel de control sobre sus dispositivos, aplicaciones y datos personales. Desde entonces, han surgido nuevas soluciones de gestión de dispositivos a medida que los usuarios de dispositivos personales y los estilos de trabajo de los empleados han cambiado:

Gestión de aplicaciones móviles (MAM): en lugar de controlar el dispositivo en sí, la MAM se centra en la gestión de aplicaciones, otorgando a los administradores de TI el control exclusivo sobre las aplicaciones y los datos corporativos. La MAM suele lograrlo mediante la contenerización, es decir, la creación de enclaves seguros para los datos y las aplicaciones empresariales en los dispositivos personales. La contenerización proporciona a los administradores de TI un control total sobre las aplicaciones, los datos y la funcionalidad de los dispositivos dentro del contenedor, pero no les permite acceder ni ver los datos personales de los empleados ni la actividad de los dispositivos fuera del contenedor.

Gestión de movilidad empresarial (EMM): a medida que la participación en programas BYOD crecía y se extendía más allá de los smartphones a las tablets, y más allá de los sistemas operativos Blackberry y Apple iOS a Android, la MAM luchaba por mantenerse al día con todos los nuevos dispositivos propiedad de los empleados que se introducían en las redes corporativas. Pronto surgieron las herramientas de gestión de la movilidad empresarial (EMM) para resolver este problema. Las herramientas de EMM combinan la funcionalidad de MDM, MAM y gestión de identidades y accesos (IAM), proporcionando a los departamentos de TI una vista única en una sola plataforma de todos los dispositivos móviles personales y de la empresa en toda la red.

Gestión unificada de endpoints (UEM): el único inconveniente de la EMM era que no podía gestionar ordenadores con Microsoft Windows, Apple MacOS y Google Chromebook, lo cual suponía un problema, ya que el BYOD debía ampliarse para incluir a empleados y terceros que trabajaban a distancia utilizando sus propios ordenadores. Las plataformas de UEM surgieron para cubrir esta laguna, reuniendo la gestión de dispositivos móviles, ordenadores portátiles y de sobremesa en una única plataforma. Con la UEM, los departamentos de TI pueden gestionar las herramientas de seguridad, las políticas y los flujos de trabajo de TI para todo tipo de dispositivos, independientemente del sistema operativo que utilicen y del lugar desde el que se conecten.

Los beneficios más citados de BYOD para la organización son:

• Ahorro de costes y reducción de la carga administrativa de TI: el empleador ya no es responsable de la compra y el aprovisionamiento de los dispositivos para todos los empleados. Para las empresas que son capaces de implementar y gestionar correctamente el BYOD para la mayoría o todos los empleados, estos ahorros pueden ser considerables.
  
  
• Incorporación más rápida de los nuevos empleados: los empleados ya no tienen que esperar a recibir un dispositivo de la empresa para empezar a trabajar en tareas relacionadas con su puesto. Este enfoque ha resultado especialmente relevante durante la reciente escasez de chips y otras interrupciones en la cadena de suministro, que pueden impedir que una empresa proporcione a sus empleados ordenadores a tiempo para empezar a trabajar.
  
  
• Mejora de la satisfacción y la productividad de los empleados: algunos empleados prefieren trabajar con sus propios dispositivos, que les resultan más familiares o capaces que los equipos de la empresa.

Estas y otras ventajas del BYOD pueden verse contrarrestadas por retos y compensaciones para empleados y empresarios:

• Preocupaciones de los empleados sobre la privacidad: los empleados pueden preocuparse por la visibilidad de sus datos personales y su actividad. También pueden sentirse incómodos al instalar software exigido por el departamento de TI en sus dispositivos personales.
  
  
• Limitación del número de candidatos, problemas de inclusión: si el BYOD es obligatorio, las personas que no pueden permitirse o no poseen dispositivos personales adecuados podrían quedar excluidas. Algunas personas también podrían preferir no trabajar para una organización que les obligue a utilizar su ordenador personal, independientemente de que la empresa les reembolse los gastos o no.
  
  
• Riesgos de seguridad restantes: incluso con las soluciones de seguridad BYOD y de gestión de dispositivos implementadas, es posible que los empleados no siempre sigan buenas prácticas de ciberseguridad, como una buena higiene de contraseñas y la seguridad física de sus dispositivos personales, lo que abre la puerta a los hackers, el malware y las vulneraciones de datos.
  
  
• Cuestiones relacionadas con el cumplimiento normativo: es posible que los empleadores del sector sanitario, financiero, público y otros sectores altamente regulados no puedan implementar el BYOD para algunos o todos sus empleados debido a las estrictas normativas y las costosas sanciones relacionadas con el tratamiento de información confidencial.