Primer Informe - Byod

SEMINARIO DE TOPICOS - BYOD

BYOD (Bring your Own Device)

INTEGRANTES:

- BABASTRE RAMOS, Juan.- CHUNGA VELASQUEZ, Jesús.- INGA BARBOZA, Luiggi.

DOCENTE:

- Ing. GUZMÁN VALLE, César.

30/04/2013


INDICE

DESCRIPCIÓN PÁGINA

INTRODUCCIÓN 2

I. DEFINICIÓN 3II. PLANTEAMIENTO BYOD 3

III. DATOS ESTÁDISTICOS 4IV. BENEFICIOS 8V. RIESGOS 8

VI. RETOS DE SEGURIDAD PARA LAS EMPRESASA PARTIR DE BYOD

9

VII. BYOD, COMO IMPLEMENTARLO Y ASEGURARLO 16VIII. SOLUCIONES INTEGRALES 21

EPIS-UNPRG Página 1


INTRODUCCIÓN

Millones de consumidores (muchos de los cuales también son empleados) están comprando dispositivos móviles avanzados, como smartphones y tablets, para uso personal, a los que luego dotarán de aplicaciones que hagan su vida más fácil.

Estos potentes dispositivos tienen interfaces de usuario intuitivas, vienen equipados con cámaras bidireccionales para videoconferencias y pueden acceder a cientos de miles de aplicaciones, no solo para usos personales y entretenimiento, sino también para fines comerciales. Cada vez más, las personas están llevando estos dispositivos a su trabajo para integrarlos en su flujo laboral diario. Esta tendencia se conoce como “Bring Your Own Device" o BYOD (Traiga su propio dispositivo).



I. DEFINICIÓN

‘Política empresarial donde los empleados llevan sus propios dispositivos a su lugar de trabajo para tener acceso a recursos de la empresa tales como correos electrónicos, bases de datos y archivos en servidores así como data y aplicaciones personales’.

Una de las tendencias que las nuevas tecnologías han generado espontáneamente en relación al trabajo es la llamada BYOD. Se trata de que los empleados utilicen para el trabajo los terminales que usan cotidianamente y a los que, por tanto, están acostumbrados, derivando de ello una mayor productividad.

II. PLANTEAMIENTO BYOD

Lo que se plantea con el modelo BYOD es que de manera más o menos generalizada y con el menor coste para el empresario, los empleados puedan usar sus dispositivos móviles particulares (tablets, portátiles, móviles) para trabajar localmente o desde casa, democratizando el actual modelo de trabajo “móvil” a todos los empleados. Esto se dice que redunda en una mayor satisfacción del usuario. Sin embargo, la relevancia del modelo BYOD va más allá de la mera satisfacción de usuario:

Existen estudios que apuntan a que esta medida aumenta el rendimiento de los empleados en cerca de un 20%, dado que (como ocurre con el trabajo en remoto en general) permite estar conectado más allá del tiempo de permanencia en la oficina y aprovechar mejor el tiempo para resolver temas pendientes con mayor flexibilidad. El típico ejemplo es aprovechar tiempos muertos en un aeropuerto. Los defensores del modelo argumentan que esto fomenta la flexibilidad laboral y una mejor conciliación de la vida personal y profesional.

También es cierto que las empresas ven en esta medida un potencial ahorro de costes ya que, llevado al extremo, podrían ahorrarse gran parte del coste de ordenadores, teléfonos, etc.

Lo cierto es que aunque las expectativas son muy altas por ambas partes (usuarios y empresas), al concepto aún le queda algún tiempo para estar totalmente maduro. Esto es así porque aún quedan ciertas cuestiones por resolver. Uno de los principales retos que se plantea en este modelo es cómo conjugar la seguridad, con la usabilidad propia del dispositivo personal del empleado y sin invadir la esfera de su privacidad.



III. DATOS ESTÁDISTICOS

Los datos pertenecientes a un estudio realizado por Cisco IBSG Horizons en Estados Unidos y otros países de diferentes continentes:

BYOD y el crecimiento en las empresas

En el segundo trimestre de 2012, se encuestaron a 600 personas que toman decisiones de TI en empresas de los Estados Unidos sobre BYOD.

Los resultados evidenciaron un cambio fundamental en la forma en que las corporaciones aprovisionan y brindan soporte a dispositivos. El 95% de las personas que toman decisiones de TI afirmaron que sus empresas admitían BYOD en cierta forma. Igualmente importante fue su actitud hacia BYOD. Sin minimizar los desafíos que representa BYOD, el 76% lo consideró “medianamente” o “extremadamente” positivo para los departamentos de TI.

Para determinar si BYOD es simplemente un fenómeno de los Estados Unidos (o de las empresas de los Estados Unidos), se expandió el estudio sobre “BYOD” para incluir a las personas que toman decisiones de TI en empresas de 1000 o más empleados y en empresas medianas (entre 500 y 999 empleados) en ocho países a lo largo de tres regiones. También se agregó a más de 300 personas que toman decisiones de TI en firmas medianas de los Estados Unidos al listado inicial de 600 encuestados de grandes empresas.

Aclarado este detalle, se entrevistó a casi 4900 personas que toman decisiones de TI en 18 industrias, todos ellos con responsabilidad en la dirección o capacidad de influencia en la política móvil de su empresa

FIGURA N°01: Detalles del estudio sobre BYOD global



BYOD y el crecimiento móvil

El concepto de movilidad, que implica trabajar lejos de un entorno de oficina tradicional o de un lugar fijo, se ha convertido en un requisito común para el trabajador del conocimiento actualmente. El 47% de los empleados en las empresas que hemos entrevistado están designados oficialmente como “trabajadores móviles”. Pero el 60% de los empleados usan un dispositivo móvil para su trabajo, un 13% más que quienes están considerados oficialmente como “trabajadores móviles”

FIGURA N°02: Porcentaje de empleados designados como trabajadores móviles a comparación de los empleados que usan un dispositivo móvil para su trabajo

Los trabajadores del conocimiento no solo usan dispositivos móviles para trabajar, sino que se sirven de varios de ellos, como computadoras portátiles, smartphones y tablets, para llevar a cabo sus tareas. En promedio, los líderes de TI esperan que la cantidad de dispositivos se eleve de un 2.3 por empleado en 2012 a un 2.8 en 2014, una tasa de crecimiento anual compuesta (CAGR, compound annual growth rate) del 10.3%.

FIGURA N°03: Cantidad promedio de dispositivos conectados por trabajador del conocimiento. 2012 vs 2014



BYOD y el crecimiento de dispositivos

La cantidad de dispositivos por usuario en aumento es, en gran medida, consecuencia de BYOD. Por ejemplo, el 42% de los Smartphone y el 38% de las computadoras portátiles utilizadas en el lugar de trabajo actualmente pertenecen a los empleados. Esto demuestra que BYOD, lejos de ser una tendencia emergente, ya está bien afianzada en las corporaciones de todo el mundo. Y los líderes de TI observan un fuerte crecimiento de BYOD en los próximos dos años; un 63% afirma esperar que aumente el porcentaje de dispositivos pertenecientes a los empleados

FIGURA N°04: Porcentaje de empresas que esperan que aumente el porcentaje de dispositivos pertenecientes a los empleados en los próximos años.

BYOD y el entorno político móvil en las empresas

Acerca de la madurez de la política móvil corporativa, las empresas han implementado políticas más integrales en la mayoría de las áreas, a comparación de las firmas medianas. Aunque este hallazgo no es sorprendente, habla bien de las firmas medianas en cuanto a que, en muchas áreas, las diferencias entre ellas y las grandes empresas son modestas.



FIGURA N°05: Áreas cubiertas por las políticas de dispositivos móviles/movilidad de las empresas

Interpretaciones de los análisis estadísticos

o Mediante la promoción de BYOD con una administración adecuada y un modelo de gestión preparado para esta tendencia, las empresas pueden pasar de un rol meramente reactivo a las demandas de los empleados a aprovechar una fuente de valor latente y muy potente.

o En ningún lugar el crecimiento de dispositivos será más rápido que en China, que pese a acompañar a Rusia y Alemania con la menor tasa de adopción más baja de dispositivos móviles por trabajador del conocimiento en la actualidad, espera un CAGR cercano al 23% (de 1.8 dispositivos a 2.7) para los próximos dos años.

o La mayor adopción y el crecimiento actuales fuera de Europa harán que BYOD sea rápidamente el enfoque predominante en estos países.

o La capacidad de los empleados para conjugar, de manera transparente, el trabajo con su vida personal es uno de los beneficios clave de BYOD.

o Muchas empresas no se encuentran preparadas en diversas áreas fundamentales no solo para BYOD sino para todas las iniciativas móviles. Por ejemplo, solo la mitad de las grandes empresas y el 41% de las firmas medianas tienen una política vigente en relación con el acceso a la red corporativa por parte de los dispositivos móviles de los empleados.



IV. BENEFICIOS

Las empresas que usan BYOD se aprovechan de algunas ventajas sobre sus competidores.

Con el pago por parte de los trabajadores de la mayoría o la totalidad de los costes de hardware, software y de servicios de voz y de datos, las compañías ahorran dinero. Pero ciertamente, no es esta la ventaja más importante.

Tiene una mayor relevancia la flexibilidad y satisfacción que se le ofrece al empleado y que se puede traducir en que trabaje más, mejor y con mayor motivación. Esto conlleva también a que sea más productivo.

Los usuarios presumiblemente prefieren utilizar sus portátiles o dispositivos móviles que eligieron y compraron con su dinero, a los seleccionados e impuestos por el departamento de IT. Además, estos dispositivos BYOD suelen ser más vanguardistas desde el punto de vista de tener las últimas características y capacidades tecnológicas y se actualizan con mayor frecuencia que los lentos ciclos de actualización de las organizaciones.

Pero aparte de estos razonables beneficios, hay cuestiones muy importantes que hay que asumir para prevenir los peligros que acarrea adoptar BYOD, partiendo de que las organizaciones pierden inevitablemente parte del control del hardware, software y, sobre todo, de los datos corporativos.

V. RIESGOS

A nivel de cumplimiento normativo nos encontramos con una problemática difícil de resolver, ya que las normas de protección de datos de carácter personal deben cumplirse aunque se trate de un portátil o dispositivo móvil propiedad del empleado.

Por ello, la empresa tiene que asegurarse de tener una política claramente definida para BYOD, que describa las reglas que hay que seguir y establezca por adelantado cuales son las expectativas. Además, se deben establecer unos requisitos mínimos de seguridad y fijar responsabilidades por una inadecuada protección de los datos de la empresa.

Por otro lado, en caso de que un empleado sea despedido o deje la compañía por su propia voluntad, la segregación y recuperación de los datos empresariales puede ser un problema. Esa es la razón de que antes de adoptar BYOD tenga que quedar claro en la política de empresa cómo se recuperarán los datos del portátil o dispositivo móvil personal del trabajador en los citados casos y recabar su consentimiento expreso.



A parte de la cuestión legal, consideramos necesario para que la exposición de la información sea la menor posible, la realización de una serie de acciones:

Requerir que sea la empresa quien configure el dispositivo. Concienciar a los trabajadores sobre los peligros a los que se exponen con esta

práctica, formándolos adecuadamente y dejando constancia. Exigir el bloqueo automático del teclado por contraseña o patrón. Mantener actualizado y activo el antivirus. Codificar los datos almacenados. Implantar controles adicionales de seguridad dependiendo del dispositivo y de su

contenido.

VI. RETOS DE SEGURIDAD PARA LAS EMPRESAS A PARTIR DE BYOD

Una de las características principales que aprovechan los usuarios de sus dispositivos móviles, además de su portabilidad, es la facilidad que ofrecen para el trabajo colaborativo. Esto lo hacen, mayoritariamente, apoyados en el crecimiento e innovaciones que brindan las redes sociales y las tecnologías de conectividad.

Precisamente la convergencia en el uso y aprovechamiento de todas estas características ha hecho que se consolide lo que se conoce como tendencia BYOD: la incorporación de dispositivos tecnológicos de los empleados en el ámbito laboral para cumplir con las tareas propias del quehacer profesional. Sin lugar a dudas, este fenómeno plantea una serie de riesgos y oportunidades para las empresas.

En este escenario, las compañías deberías aprovechar las ventajas que ofrece aprovechar esta tendencia, y a su vez tomar todas las medidas preventivas para asegurar la protección de su información. Por ejemplo, las empresas mejorarían la productividad si consideran que para los empleados puede ser mucho más cómodo trabajar en sus propios dispositivos, pudiendo llevarlos consigo y de esta manera responder rápidamente a las novedades que se presenten. De igual manera, en este contexto es esencial que las corporaciones cuiden la exposición de información sensible para evitar la pérdida o fuga de la misma.

Algunas Cifras sobre BYOD

A principios de este año Dell lanzó un estudio, para el que se habían encuestado a más de 1500 ejecutivos TI de todo el mundo, que recogía que más de un 70% creían que el BYOD aumentaba la productividad de los empleados, mientras que un 59% pensaban que no implementar una política de BYOD podría ser una desventaja competitiva.



En Agosto 2012, ESET Latinoamérica realizó una encuesta sobre esta temática.

Participaron en ella personas, en su mayoría, entre los 21 y 30 años (43.9%) y entre los 31 y 50 años (32.8%). De los participantes, la mitad trabaja en pequeñas empresas, el 20% en organizaciones medianas y el 30% restante en compañías más grandes, con más de 100 empleados.

Algunos de los resultados dan cuenta los dispositivos personales que más se utilizan en el lugar de trabajo son las computadoras portátiles y los teléfonos inteligentes, además de las tabletas que tienen una participación alta dentro de estos dispositivos. A pesar que los dispositivos USB para almacenar datos no están incluidos estrictamente en la categorización de BYOD, en la encuesta han sido elegidos el 83.3% de los consultados como dispositivos para manejar información corporativa.

En relación al acceso de información corporativa, cerca de la mitad de los encuestados afirmó utilizar redes WiFi, mientras que un poco más de la tercera parte accede a través de una red cableada provista por la organización. Como se mencionó los dispositivos personales se convierten en una herramienta para desarrollar las tareas laborales, al punto que el 58.3% de los encuestados indicó que su utilización facilita sus labores.

Como parte de las tareas más relevantes que se realizan con los dispositivos personales se encuentra la revisión del correo electrónico corporativo y el apoyo a las tareas del trabajo. De las personas que utilizan los dispositivos personales en la oficina, el 55% lo usa únicamente para actividades personales que no están



relacionadas con el trabajo. Queda claro que este tipo de usos también tiene como contrapartida la distracción por parte del empleado.

Respecto al uso de información de trabajo, más de la mitad de los encuestados la almacena en su dispositivo personal y cerca de un 20% la revisa remotamente sin guardarla en su dispositivo; apenas una quinta parte dice eliminarla una vez terminado el trabajo. Estas cifras evidencian una tendencia que debería ser atendida por las empresas, y es que los usuarios utilizan sus dispositivos personales para guardar información corporativa.

Uno de los datos más interesantes tiene que ver con que cerca de la mitad de los encuestados no maneja la información de la empresa de forma cifrada en su dispositivo personal y el 15.6% dice no saber cómo se maneja la información. Solamente la tercera parte reconoce manejar la información cifrada. Tanto la decisión de utilizar la información cifrada como el conocimiento por parte de los usuarios dentro de la red corporativa, son cuestiones de importancia a tener en cuenta por parte de quienes se encargan de gestionar la seguridad de la información de una compañía.

Finalmente, en menos de la mitad de las empresas los encuestados reconocieron que existen políticas claras para el manejo de la información, mientras que una tercera parte de los encuestados reconoció lo contrario. La cuarta parte restante no conoce si existen políticas de este tipo.



Cambio de Paradigma en la Infraestructura

Al revisar los resultados mencionados anteriormente se puede inferir que se están dando cambios en la forma que se maneja la información corporativa. Estas nuevas tendencias en las organizaciones llevan a que los departamentos de TI deban cambiar la concepción del manejo de sus recursos para garantizar la seguridad de los datos de la empresa.

Estas nuevas formas de manejar la información hacen que las organizaciones presten mucha más atención a la forma en que los usuarios se conectan a las redes de la empresa para manipular la información. Es decir, buscan garantizar la seguridad, los altos niveles de rendimiento y el control adecuado para los diferentes tipos de dispositivos que se podrían conectar para compartir información.

Esta nueva concepción alrededor de cómo se accede a la información hace que las áreas de TI se preocupen cada vez menos por la infraestructura física a la vez que se reducen los costos relacionados a la adquisición de dispositivos como teléfonos celulares y portátiles. Sin embargo, también plantea nuevas preocupaciones ya que se generan nuevos riegos que deben ser gestionados adecuadamente para garantizar la seguridad de la información.

Debido a que en ese momento la tendencia se está consolidando y para muchas organizaciones aún puede ser n tema que consideren ajeno, se encuentra poca claridad en las empresas para el manejo de la información. De esta manera, se dan casos en los que no hay ninguna posición respecto de la utilización de dispositivos



personales en el lugar de trabajo, y en muchos casos por cerrar cualquier forma de interacción o simplemente lo dejan abierto.

Todo este cambio de concepción implica que las políticas de seguridad de las compañías se empiecen a enfocar en mayor medida en la efectividad de la seguridad de las redes, con controles o seguimientos sobre los empleados y las aplicaciones que se utilizan y no exclusivamente sobre los dispositivos.

Retos para la empresa

La adopción de BYOD implica para las organizaciones un cambio en la forma de gestionar la seguridad de la información en una amplia variedad de dispositivos, aplicaciones y sistemas operativos. A continuación se mencionan algunos de estos retos.

o Gestión de RiesgosLo primero para garantizar la seguridad de la información es una adecuada gestión de riesgos la cual parte del conocimiento de los activos de información con los que cuenta la empresa. Los análisis de riesgos deben partir de la clasificación de la información con el objetivo de establecer, por ejemplo, cuáles son los datos más sensibles que requieren mayores niveles de protección, qué información se puede acceder desde dispositivos personales, qué información puede accederse por fuera de la red de la empresa y a qué información se debe restringir el acceso.

A partir de este análisis se llega a establecer cuáles son las medidas de control más adecuadas para garantizar la seguridad de la información, que van desde dispositivos o medidas de carácter tecnológico (Soluciones Antivirus, DLP, VPN, Firewall, IDS, IPS, etc.) hasta el establecimiento de políticas para la gestión de dispositivos, dónde se determina qué tipo de dispositivos y aplicaciones es posible utilizar. Además, medidas como los controles de acceso a la red (NAC) pueden ser de gran ayuda para tener un monitoreo de cómo se utilizan los recursos de res compartidos por los empleados.

Toda esta gestión de riesgos, debe estar complementada con un adecuado plan de educación y concientización que involucre a todos los niveles de la organización para que conozcan las implicaciones del uso de sus dispositivos personales, los riesgos a los que están expuestos y las medidas de seguridad que deben tener en cuenta.



o HomeworkingAl ser posible el manejo de información laboral en dispositivos personales, otras tendencias como la posibilidad de trabajar desde la casa (Homeworking) tienen un impulso importante. Este tipo de tendencias promueven que las empresas incluyan en sus análisis otro tipo de riesgos y que consideran algunas implicaciones legales que pueden llegar a tener. Por ejemplo, a partir de la manipulación de información laboral en dispositivos con sistemas operativos o aplicaciones no licenciadas. Es necesario entonces que las empresas asignen licencias en los dispositivos de los empleados o consideren alternativas, como por ejemplo el uso de software libre en estos casos.

o Disposición de la InformaciónSi el empleado manipula información de la empresa en si dispositivo, debe estar claro cuál será la disposición de la misma una vez terminada la relación contractual. Ya que es muy complicado tener la seguridad que esta información será eliminada. Una vez más es necesario tener claro qué tipo de información se puede descargar y manipular desde dispositivos personales. Además, aspectos contractuales como la firma de acuerdos de confidencialidad pueden ser complementos que brinden a la empresa herramientas adicionales para actuar en caso de que la información sea expuesta.

o Gestión de AplicacionesYa se mencionó que uno de los principales retos para la empresa es la gestión de la gran diversidad de aplicaciones que un empleado puede tener instalado en su dispositivo. El reto para las organizaciones se vuelca entonces en garantizar que los dispositivos, a través de los cuales se accede a la información, cuenten con aplicaciones seguras que no pongan en peligro la integridad de la información.

En esta misma línea es necesario que la empresa diferencie el uso que los empleados puedan tener de los recursos de la misma a través de sus dispositivos personales. Es así como seguramente muchos de los empleados solamente utilizarán sus dispositivos para manipular información personal. En estos casos la gestión de los recursos de red se vuelve sensible para impedir la intrusión ilegal a los sistemas de la compañía.



¿Permitir o Prohibir?

¿Se debe permitir o prohibir el uso de dispositivos personales en el lugar de trabajo para manipular la información de la empresa?.

La respuesta en este caso debe estar precedida de un juicioso análisis de riesgos. El resultado de este análisis le da a las organizaciones el panorama completo de qué información maneja y cuáles son las características más adecuadas para garantizar su seguridad.

Más allá de si finalmente se adopte o no BYOD en la organización, lo mas coherente es que las organizaciones se preocupen por tomar una postura ya que este tema es una realidad y lo más peligroso para la información es adoptar una posición indiferente.

Lineamientos de Seguridad

Independientemente de la posición que la empresa adopte alrededor de BYOD, es necesario que se tomen algunos recaudos para garantizar la seguridad de la información:

o Analizar la capacidad y la cobertura que tienen las redes corporativas para permitir el acceso de dispositivos diferentes a los de la empresa. El acceso a estos recursos debería estar protegido con credenciales que permitan individualizar quién accede y qué tipo de información manipula.

o La gestión debe estar basada en roles. El acceso a la información debe ser restringida de forma que se garantice que solamente podrán acceder a la información aquellas personas que realmente lo necesiten. Esta gestión debe ser precedida de una adecuada clasificación de la información que le permita a la empresa conocer todos sus activos de información.

o Teniendo en cuenta que son muchos los dispositivos en el mercado, es prudente hacer un análisis de qué tipo de dispositivos son los más adecuados para manejar la información de la empresa.

o Según la diversidad de dispositivos y aplicaciones que se pueden manejar, se debe redactar la política que aclare qué dispositivos pueden acceder a la información corporativa. Además, para garantizar que códigos maliciosos no afecten los datos, todos los dispositivos deben contar con soluciones de seguridad que detecten proactivamente este tipo de amenazas.



o El acceso a través de conexiones WiFi debe ser correctamente configurado, utilizando protocolos de cifrado, para garantizar la seguridad de la información. El tráfico de dispositivos BYOD debería ser claramente identificable, además de tener control más estricto.

o Para permitir el acceso remoto, el uso de tecnologías como VPN garantizan la protección de la información que se manipula. Además, debe llevarse un control de quién accede y los cambios que se realiza.

o La educación debe ser un pilar importante para que todos los usuarios sean conscientes de los riesgos a los cuales pueden verse expuestos y cuáles son los cuidados que deben tener en cuenta al manejar la información de la empresa.

o Realizar con mayor periodicidad los análisis de riesgos y vulnerabilidades para determinar el estado de la empresa ante esta tendencia, ya que la aparición de nuevos dispositivos o aplicaciones pueden beneficiar o afectar a las organizaciones.

VII. BYOD: Como implementarlo y asegurarlo

La firma de análisis “Forrester” prevé que pronto habrá un promedio de 3,2 dispositivos por usuario en la empresa, con esta queda claro que es una tendencia que no puede ser ignorada ni detenida. BYOD está aquí para permanecer, ya sea que nos guste o no. Sin embargo, se deben tomar medidas, y debe ser ahora, para asegurarse de que las empresas están listas para BYOD.

Para regular el uso de los dispositivos personales con fines profesionales en las organizaciones, sin dejar de lado la debida protección y seguridad de la información corporativa y los datos personales que dichos dispositivos pueden almacenar, deben seguirse al menos los siguientes pasos, todos encaminados a reducir el impacto legal, técnico, de seguridad, y también, económico y de reputación en las organizaciones.

Consentimiento expreso y colaboración del trabajador

Uno de los aspectos más prioritarios y necesarios de regular ante la implantación de una Política de uso BYOD en las compañías, es el consentimiento expreso del trabajador para usar su dispositivo personal para finalidades profesionales

Este consentimiento debe extenderse a la aceptación de las medidas de seguridad y controles que establezca la compañía para la protección de su información



corporativa y datos personales que pueden llegar a tratarse y almacenarse en los dispositivos personales, y que pueden suponer una monitorización del uso que se hace de dicha información, etc.

Para ello será necesario la redacción y firma de contratos específicos y/o regulación vía contrato laboral o Anexo de:

o Confidencialidad y secreto.

o Regulación en el uso de BYOD, principalmente en aspectos como; costes (los asume íntegramente el trabajador, la compañía subvenciona o ayuda), condiciones uso de los dispositivos en el entorno laboral; establecimiento de posibles responsabilidades por el uso o mal uso de la información corporativa tratada y almacenada en el dispositivo, la no implantación de las medidas de seguridad requeridas a nivel corporativo, etc.

Políticas de uso y de seguridad específicas:

La compañía deberá redactar e implantar normas acerca del uso de dispositivos BYOD en el entorno corporativo. Estas políticas o procedimientos deberán ser aceptadas antes de la instalación de las aplicaciones corporativas en el dispositivo privado (pops up aceptación), y establecerán una serie de obligaciones para los usuarios, que deberán ser cumplidas por los empleados, entre ellas; no modificación de los parámetros de seguridad (prohibición “jail break”), mantenimiento y actualización del sistema operativo y de las aplicaciones, limitaciones de uso, realización de copias de seguridad y el cumplimiento escrupuloso de la normativa de protección de datos.

Entre el contenido de una Política BYOD recomendamos incluir:o Expectativaso Requerimientos mínimos de seguridado Imposición herramientas seguridad corporativa para conexión a sistemas

de información.o Normas claras acerca del proceso a seguir en los dispositivos cuando

finaliza la relación entre el usuario y la empresa, a fin de evitar que quede información corporativa en el mismo (Devolución / recuperación / borrado / segregación de datos del dispositivo)

Si existen fallas en la preparación, prepárense para fallar establecer políticas y parámetros de antemano, y ser claro al hacerlo es clave.

Desde el principio, es fundamental que todos los grupos participantes acuerden criterios para una política BYOD exitosa. Si no se consideran los siguientes



principios fundamentales, es difícil, por no decir imposible, implementar una política exhaustiva.

o Elegibilidad – ¿Quién puede participar?o Dispositivos – ¿Cuáles se permiten?o Aplicaciones y datos – ¿Qué hay disponible?o Soporte – ¿Qué servicios se ofrecen?o Legales – ¿Cuáles son las implicaciones del uso?o Financieros – ¿Quién es dueño y qué le toca pagar?

Establezca los requisitos de cada grupo de participantes y ajuste su política de BYOD como corresponda.

El desafío de hacerlo posible: una política BYOD segura y sencilla es la más eficiente.

Las organizaciones pueden aprovechar fácilmente la infraestructura de TI existente, además de implementar aplicaciones del tipo software como servicio (SaaS) para admitir el despliegue seguro y eficiente de una política BYOD. Si se hace correctamente, esto seguirá protegiendo la privacidad de los datos y garantizará la seguridad de información comercial sensible a la vez que mantiene el cumplimiento de normas.

También deberán ser regulados a través de políticas o procedimientos corporativos determinados aspectos que pueden tener un impacto en la empresa ante el uso de dispositivos personales (BYOD) en lugar de dispositivos corporativos. Así son aspectos importantes a remarcar los siguientes:

o Geo localización o las funciones basadas en la geo localización fomentan la capacidad de saber, no solo la localización exacta del usuario en cada momento, sino incluso de conocer en tiempo real lo que está haciendo. Son los usuarios los que mantienen el control sobre el GPS y las funciones de geo localización de su dispositivo, pudiendo gestionar los privilegios de acceso de cada aplicación a los datos de localización.

La empresa podría establecer la obligación de permanecer localizables dentro del horario laboral, extrayendo por tanto, información sobre; optimización de rutas, control de flotas, tracking del transporte de productos y pasajeros, control del absentismo laboral, detección de incumplimientos contractuales, etc.

Por tanto, en relación con la geo localización es recomendable la inclusión de normas y obligaciones en la política BYOD sobre estos aspectos.



o Redes sociales o La utilización de redes sociales por parte de los trabajadores debe ser regulada en el ámbito corporativo a través de la creación de manuales o guías corporativas de buenas prácticas en el uso de las redes sociales, sobre todo ante el uso de dispositivos BYOD o personales por parte de los empleados, en cuanto a que el comportamiento de un usuario en las redes sociales puede cambiar si el dispositivo utilizado es propio o de la empresa.

Por tanto, en las políticas o manuales de uso de redes sociales, y/o en la política de uso de dispositivos BYOD, deberá regularse el uso de las redes sociales, estableciendo expresamente las obligaciones de confidencialidad respecto a información de la empresa y de sus clientes, no denigración de competidores, etc.

o Propiedad intelectual o En relación con la propiedad intelectual e industrial derivada de las aplicaciones y contenidos alojados en los dispositivos personales de los trabajadores, es necesario, limitar expresamente la responsabilidad de la empresa respecto de los mismos, ya que la empresa no tiene control efectivo sobre la parte personal de los dispositivos ni sobre los contenidos en ellos alojados.

No obstante, deberá concienciarse al usuario sobre el impacto que sus contenidos ilícitos o pirateados pueden llegar a ser asociados a la empresa, al coexistir con aplicaciones corporativas y al compartir una misma dirección IP.

Igualmente, es recomendable pedir al usuario que respete en todo el dispositivo la normativa de propiedad intelectual e industrial y cualquier otra norma cuyo incumplimiento pueda generar responsabilidad para la empresa.

Regulación técnica; Implantación herramientas gestión, monitorización, bloqueo

La regulación técnica de los dispositivos BYOD en la empresa de cara a ofrecer una seguridad a la información corporativa y proteger las conexiones a los sistemas de información corporativos, puede ser gestionada de diversas formas;

o Diseño y gestión de la red corporativa y conexión de dispositivos BYOD, bien a través de aplicaciones nativas en modo cliente – servidor; a través de la conexión por navegador web, o bien, a través de escritorios virtuales.

o Gestión Integral a través de herramientas informáticas de gestión corporativas que integren a los dispositivos BYOD, y que ayudan o se encargan de; El diseño y gestión de la red corporativa, el control y gestión



de accesos (gestión de identidades), medidas de seguridad informática corporativas, monitorización.

o Implementación de herramientas informáticas independientes que permitan; el cifrado de información y comunicaciones, monitorización del uso, bloqueo remoto de dispositivos, recuperación remota de la información del dispositivo, etc.

Por último, si la entidad está abordando o tiene implantado un Plan de Continuidad de Negocio, deberá incluir los dispositivos BYOD en sus inventarios de activos, e incluirlos igualmente, en las pruebas de contingencia y continuidad que se ejecuten periódicamente en la organización.

Controles empresariales ante el uso de BYOD

El control empresarial que pueda ejercitar el empresario, teniendo en cuenta las facultades previstas en el art 20 del Estatuto de los Trabajadores, y la jurisprudencia que en este sentido ha generado el Tribunal Supremo, de las que cabe destacar la STS 26/09/07 y la STS 6/10/2011 que ratifica la sentencia de 2007, no puede extenderse a priori, o habría que hacerlo con muchísima prudencia , al control corporativo de dispositivos eminentemente personales, en cuanto que el control previsto en el Estatuto de los Trabajadores y las sentencias referidas están relacionadas con el control empresarial de los dispositivos corporativos usados por los trabajadores.

Por tanto, en el caso de Políticas BYOD, la capacidad de control de la empresa se debe limitar a exclusivamente a las áreas, aplicaciones y contenedores de información corporativa, sin perjuicio del posible análisis forense de todo el contenido del terminal en el seno de una investigación judicial, o con el consentimiento del usuario.

La actividad de prevención y control de la empresa; deberá ser informada a los usuarios y deberá ser proporcional, idónea y necesaria para las finalidades de control previstas en las normas internas y en el ordenamiento jurídico.

Y sobre todo… Formación y Concienciación

Un aspecto fundamental en la adopción de políticas BYOD es la concienciación y formación de los usuarios en distintas vertientes; desde la utilización y securización de los dispositivos, a la concienciación en cuanto a ingeniería social que reduzcan los riesgos de phishing, pharming, instalación de malware y cualquier otro engaño orientado a la obtención de contraseñas y vulneración de la seguridad y privacidad.



VIII. SOLUCIONES INTEGRALES

Solución de HP

La solución HP BYOD proporciona una manera potente, simple y segura de que los usuarios accedan a la red de su empresa y a toda clase de aplicaciones desde su propio portátil, tableta o Smartphone.

Aprovechando la gestión en una sola pantalla del Intelligent Management Center (IMC) de HP, TI puede dar de alta, aprovisionar y supervisar usuarios, dispositivos y tráfico en la red, sin importar que el usuario sea un empleado, un contratista o un invitado, y que el dispositivo esté conectado de manera cableada o inalámbrica. El IMC va más allá del acceso básico basado en la identidad BYOD, porque le ofrece a usted una solución integral que incluye una política única de aplicación y gestión de red convergente en entornos cableados o inalámbricos. La supervisión BYOD unificada le permite además optimizar la asignación de recursos y cumplir requisitos normativos.

o Ventajas

Identificar y controlar el acceso de los dispositivos preferidos del usuario tanto a la aplicación como a la red

Acceder a la red y a la aplicación independientemente de la ubicación

Instrumentar redes cableadas o inalámbricas con una interfaz de gestión en una sola pantalla

Simplificar el diseño de red para asegurar la escalabilidad de las LAN cableadas e inalámbricas

Satisfacer la demanda de acceso móvil y contenido multimedia

o Características

Ingreso eficiente con autorregistro y generación del perfil del dispositivo, que minimiza las interrupciones en la productividad del usuario

Gestión convergente para redes cableadas o inalámbricas y para dispositivos del cliente

Planificación optimizada de recursos con tráfico BYOD completo y visibilidad del usuario



Rendimiento escalable del núcleo al perímetro para redes cableadas o inalámbricas

Gestión modular en una sola pantalla le permite agregar recursos y funcionalidad según sea necesario

Soluciones de CISCO (Cisco BYOD Smart Solution)

o ¿Qué es el BYOD Smart Solution de Cisco?El BYOD Smart Solution de Cisco proporciona un enfoque integral para diseñar, gestionar y controlar el acceso de un-traiga su propio dispositivo de red (BYOD). Cisco BYOD mejora la experiencia del usuario y la productividad. Esta solución completa comienza con guías de diseño de Cisco y los servicios profesionales que conducen desde la planificación y el diseño de las operaciones del día a día. Esta solución BYOD también proporciona la infraestructura necesaria, incluyendo:

Los puntos de acceso

Controladores

Seguridad

Gestión de redes

Esta infraestructura es compatible con una red de alta seguridad, de alto rendimiento que es accesible a una amplia gama de dispositivos.

o ¿Por qué es Cisco su mejor opción?Una red de Cisco soporta una experiencia "trabajo-su-manera" movilidad más amplia. Cisco ofrece:

Seguridad excepcional y una gestión simplificada

Un único punto de la política de cable y Wi-Fi en toda la organización

Flujo de trabajo individual para identificar los problemas por el usuario, en lugar de medio ambiente

o ¿Cómo de empezar?Para construir una solución BYOD efectiva, es necesario:

Alinear la estrategia de TI con los objetivos empresariales

Abordar los retos que la organización y los empleados de TI se enfrentan.


Primer Informe - Byod

Documents

Transcript of Primer Informe - Byod