SEMINARIO DE TOPICOS - BYOD

BYOD (Bring your Own Device)

INTEGRANTES: - BABASTRE RAMOS, Juan. - CHUNGA VELASQUEZ, Jess. - INGA BARBOZA, Luiggi. DOCENTE: - Ing. GUZMN VALLE, Csar.

30/04/2013

SEMINARIO DE TOPICOS - BYOD

INDICE

DESCRIPCIN INTRODUCCIN I. II. III. IV. V. VI. VII. VIII. DEFINICIN PLANTEAMIENTO BYOD DATOS ESTDISTICOS BENEFICIOS RIESGOS RETOS DE SEGURIDAD PARA LAS EMPRESAS A PARTIR DE BYOD BYOD, COMO IMPLEMENTARLO Y ASEGURARLO SOLUCIONES INTEGRALES

PGINA 2 3 3 4 8 8 9 16 21

EPIS-UNPRG

Pgina 1

SEMINARIO DE TOPICOS - BYOD

INTRODUCCIN
Millones de consumidores (muchos de los cuales tambin son empleados) estn comprando dispositivos mviles avanzados, como smartphones y tablets, para uso personal, a los que luego dotarn de aplicaciones que hagan su vida ms fcil. Estos potentes dispositivos tienen interfaces de usuario intuitivas, vienen equipados con cmaras bidireccionales para videoconferencias y pueden acceder a cientos de miles de aplicaciones, no solo para usos personales y entretenimiento, sino tambin para fines comerciales. Cada vez ms, las personas estn llevando estos dispositivos a su trabajo para integrarlos en su flujo laboral diario. Esta tendencia se conoce como Bring Your Own Device" o BYOD (Traiga su propio dispositivo).

EPIS-UNPRG

Pgina 2

SEMINARIO DE TOPICOS - BYOD

I.

DEFINICIN

Poltica empresarial donde los empleados llevan sus propios dispositivos a su lugar de trabajo para tener acceso a recursos de la empresa tales como correos electrnicos, bases de datos y archivos en servidores as como data y aplicaciones personales. Una de las tendencias que las nuevas tecnologas han generado espontneamente en relacin al trabajo es la llamada BYOD. Se trata de que los empleados utilicen para el trabajo los terminales que usan cotidianamente y a los que, por tanto, estn acostumbrados, derivando de ello una mayor productividad.

II.

PLANTEAMIENTO BYOD

Lo que se plantea con el modelo BYOD es que de manera ms o menos generalizada y con el menor coste para el empresario, los empleados puedan usar sus dispositivos mviles particulares (tablets, porttiles, mviles) para trabajar localmente o desde casa, democratizando el actual modelo de trabajo mvil a todos los empleados. Esto se dice que redunda en una mayor satisfaccin del usuario. Sin embargo, la relevancia del modelo BYOD va ms all de la mera satisfaccin de usuario: Existen estudios que apuntan a que esta medida aumenta el rendimiento de los empleados en cerca de un 20%, dado que (como ocurre con el trabajo en remoto en general) permite estar conectado ms all del tiempo de permanencia en la oficina y aprovechar mejor el tiempo para resolver temas pendientes con mayor flexibilidad. El tpico ejemplo es aprovechar tiempos muertos en un aeropuerto. Los defensores del modelo argumentan que esto fomenta la flexibilidad laboral y una mejor conciliacin de la vida personal y profesional. Tambin es cierto que las empresas ven en esta medida un potencial ahorro de costes ya que, llevado al extremo, podran ahorrarse gran parte del coste de ordenadores, telfonos, etc. Lo cierto es que aunque las expectativas son muy altas por ambas partes (usuarios y empresas), al concepto an le queda algn tiempo para estar totalmente maduro. Esto es as porque an quedan ciertas cuestiones por resolver. Uno de los principales retos que se plantea en este modelo es cmo conjugar la seguridad, con la usabilidad propia del dispositivo personal del empleado y sin invadir la esfera de su privacidad.

EPIS-UNPRG

Pgina 3

SEMINARIO DE TOPICOS - BYOD

III.

DATOS ESTDISTICOS

Los datos pertenecientes a un estudio realizado por Cisco IBSG Horizons en Estados Unidos y otros pases de diferentes continentes: BYOD y el crecimiento en las empresas En el segundo trimestre de 2012, se encuestaron a 600 personas que toman decisiones de TI en empresas de los Estados Unidos sobre BYOD. Los resultados evidenciaron un cambio fundamental en la forma en que las corporaciones aprovisionan y brindan soporte a dispositivos. El 95% de las personas que toman decisiones de TI afirmaron que sus empresas admitan BYOD en cierta forma. Igualmente importante fue su actitud hacia BYOD. Sin minimizar los desafos que representa BYOD, el 76% lo consider medianamente o extremadamente positivo para los departamentos de TI. Para determinar si BYOD es simplemente un fenmeno de los Estados Unidos (o de las empresas de los Estados Unidos), se expandi el estudio sobre BYOD para incluir a las personas que toman decisiones de TI en empresas de 1000 o ms empleados y en empresas medianas (entre 500 y 999 empleados) en ocho pases a lo largo de tres regiones. Tambin se agreg a ms de 300 personas que toman decisiones de TI en firmas medianas de los Estados Unidos al listado inicial de 600 encuestados de grandes empresas. Aclarado este detalle, se entrevist a casi 4900 personas que toman decisiones de TI en 18 industrias, todos ellos con responsabilidad en la direccin o capacidad de influencia en la poltica mvil de su empresa

FIGURA N01: Detalles del estudio sobre BYOD global

EPIS-UNPRG Pgina 4

SEMINARIO DE TOPICOS - BYOD

BYOD y el crecimiento mvil El concepto de movilidad, que implica trabajar lejos de un entorno de oficina tradicional o de un lugar fijo, se ha convertido en un requisito comn para el trabajador del conocimiento actualmente. El 47% de los empleados en las empresas que hemos entrevistado estn designados oficialmente como trabajadores mviles. Pero el 60% de los empleados usan un dispositivo mvil para su trabajo, un 13% ms que quienes estn considerados oficialmente como trabajadores mviles

FIGURA N02: Porcentaje de empleados designados como trabajadores mviles a comparacin de los empleados que usan un dispositivo mvil para su trabajo Los trabajadores del conocimiento no solo usan dispositivos mviles para trabajar, sino que se sirven de varios de ellos, como computadoras porttiles, smartphones y tablets, para llevar a cabo sus tareas. En promedio, los lderes de TI esperan que la cantidad de dispositivos se eleve de un 2.3 por empleado en 2012 a un 2.8 en 2014, una tasa de crecimiento anual compuesta (CAGR, compound annual growth rate) del 10.3%.

FIGURA N03: Cantidad promedio de dispositivos conectados por trabajador del conocimiento. 2012 vs 2014
EPIS-UNPRG Pgina 5

SEMINARIO DE TOPICOS - BYOD

BYOD y el crecimiento de dispositivos La cantidad de dispositivos por usuario en aumento es, en gran medida, consecuencia de BYOD. Por ejemplo, el 42% de los Smartphone y el 38% de las computadoras porttiles utilizadas en el lugar de trabajo actualmente pertenecen a los empleados. Esto demuestra que BYOD, lejos de ser una tendencia emergente, ya est bien afianzada en las corporaciones de todo el mundo. Y los lderes de TI observan un fuerte crecimiento de BYOD en los prximos dos aos; un 63% afirma esperar que aumente el porcentaje de dispositivos pertenecientes a los empleados

FIGURA N04: Porcentaje de empresas que esperan que aumente el porcentaje de dispositivos pertenecientes a los empleados en los prximos aos. BYOD y el entorno poltico mvil en las empresas Acerca de la madurez de la poltica mvil corporativa, las empresas han implementado polticas ms integrales en la mayora de las reas, a comparacin de las firmas medianas. Aunque este hallazgo no es sorprendente, habla bien de las firmas medianas en cuanto a que, en muchas reas, las diferencias entre ellas y las grandes empresas son modestas.

EPIS-UNPRG

Pgina 6

SEMINARIO DE TOPICOS - BYOD

FIGURA N05: reas cubiertas por las polticas de dispositivos mviles/movilidad de las empresas Interpretaciones de los anlisis estadsticos o Mediante la promocin de BYOD con una administracin adecuada y un modelo de gestin preparado para esta tendencia, las empresas pueden pasar de un rol meramente reactivo a las demandas de los empleados a aprovechar una fuente de valor latente y muy potente. o En ningn lugar el crecimiento de dispositivos ser ms rpido que en China, que pese a acompaar a Rusia y Alemania con la menor tasa de adopcin ms baja de dispositivos mviles por trabajador del conocimiento en la actualidad, espera un CAGR cercano al 23% (de 1.8 dispositivos a 2.7) para los prximos dos aos. o La mayor adopcin y el crecimiento actuales fuera de Europa harn que BYOD sea rpidamente el enfoque predominante en estos pases. o La capacidad de los empleados para conjugar, de manera transparente, el trabajo con su vida personal es uno de los beneficios clave de BYOD. o Muchas empresas no se encuentran preparadas en diversas reas fundamentales no solo para BYOD sino para todas las iniciativas mviles. Por ejemplo, solo la mitad de las grandes empresas y el 41% de las firmas medianas tienen una poltica vigente en relacin con el acceso a la red corporativa por parte de los dispositivos mviles de los empleados.

EPIS-UNPRG

Pgina 7

SEMINARIO DE TOPICOS - BYOD

IV.

BENEFICIOS

Las empresas que usan BYOD se aprovechan de algunas ventajas sobre sus competidores. Con el pago por parte de los trabajadores de la mayora o la totalidad de los costes de hardware, software y de servicios de voz y de datos, las compaas ahorran dinero. Pero ciertamente, no es esta la ventaja ms importante. Tiene una mayor relevancia la flexibilidad y satisfaccin que se le ofrece al empleado y que se puede traducir en que trabaje ms, mejor y con mayor motivacin. Esto conlleva tambin a que sea ms productivo. Los usuarios presumiblemente prefieren utilizar sus porttiles o dispositivos mviles que eligieron y compraron con su dinero, a los seleccionados e impuestos por el departamento de IT. Adems, estos dispositivos BYOD suelen ser ms vanguardistas desde el punto de vista de tener las ltimas caractersticas y capacidades tecnolgicas y se actualizan con mayor frecuencia que los lentos ciclos de actualizacin de las organizaciones.
Pero aparte de estos razonables beneficios, hay cuestiones muy importantes que hay que asumir para prevenir los peligros que acarrea adoptar BYOD, partiendo de que las organizaciones pierden inevitablemente parte del control del hardware, software y, sobre todo, de los datos corporativos.

V.

RIESGOS

A nivel de cumplimiento normativo nos encontramos con una problemtica difcil de resolver, ya que las normas de proteccin de datos de carcter personal deben cumplirse aunque se trate de un porttil o dispositivo mvil propiedad del empleado. Por ello, la empresa tiene que asegurarse de tener una poltica claramente definida para BYOD, que describa las reglas que hay que seguir y establezca por adelantado cuales son las expectativas. Adems, se deben establecer unos requisitos mnimos de seguridad y fijar responsabilidades por una inadecuada proteccin de los datos de la empresa. Por otro lado, en caso de que un empleado sea despedido o deje la compaa por su propia voluntad, la segregacin y recuperacin de los datos empresariales puede ser un problema. Esa es la razn de que antes de adoptar BYOD tenga que quedar claro en la poltica de empresa cmo se recuperarn los datos del porttil o dispositivo mvil personal del trabajador en los citados casos y recabar su consentimiento expreso.

EPIS-UNPRG

Pgina 8

SEMINARIO DE TOPICOS - BYOD

A parte de la cuestin legal, consideramos necesario para que la exposicin de la informacin sea la menor posible, la realizacin de una serie de acciones: Requerir que sea la empresa quien configure el dispositivo. Concienciar a los trabajadores sobre los peligros a los que se exponen con esta prctica, formndolos adecuadamente y dejando constancia. Exigir el bloqueo automtico del teclado por contrasea o patrn. Mantener actualizado y activo el antivirus. Codificar los datos almacenados. Implantar controles adicionales de seguridad dependiendo del dispositivo y de su contenido.

VI.

RETOS DE SEGURIDAD PARA LAS EMPRESAS A PARTIR DE BYOD

Una de las caractersticas principales que aprovechan los usuarios de sus dispositivos mviles, adems de su portabilidad, es la facilidad que ofrecen para el trabajo colaborativo. Esto lo hacen, mayoritariamente, apoyados en el crecimiento e innovaciones que brindan las redes sociales y las tecnologas de conectividad. Precisamente la convergencia en el uso y aprovechamiento de todas estas caractersticas ha hecho que se consolide lo que se conoce como tendencia BYOD: la incorporacin de dispositivos tecnolgicos de los empleados en el mbito laboral para cumplir con las tareas propias del quehacer profesional. Sin lugar a dudas, este fenmeno plantea una serie de riesgos y oportunidades para las empresas. En este escenario, las compaas deberas aprovechar las ventajas que ofrece aprovechar esta tendencia, y a su vez tomar todas las medidas preventivas para asegurar la proteccin de su informacin. Por ejemplo, las empresas mejoraran la productividad si consideran que para los empleados puede ser mucho ms cmodo trabajar en sus propios dispositivos, pudiendo llevarlos consigo y de esta manera responder rpidamente a las novedades que se presenten. De igual manera, en este contexto es esencial que las corporaciones cuiden la exposicin de informacin sensible para evitar la prdida o fuga de la misma. Algunas Cifras sobre BYOD A principios de este ao Dell lanz un estudio, para el que se haban encuestado a ms de 1500 ejecutivos TI de todo el mundo, que recoga que ms de un 70% crean que el BYOD aumentaba la productividad de los empleados, mientras que un 59% pensaban que no implementar una poltica de BYOD podra ser una desventaja competitiva.
EPIS-UNPRG Pgina 9

SEMINARIO DE TOPICOS - BYOD

En Agosto 2012, ESET Latinoamrica realiz una encuesta sobre esta temtica. Participaron en ella personas, en su mayora, entre los 21 y 30 aos (43.9%) y entre los 31 y 50 aos (32.8%). De los participantes, la mitad trabaja en pequeas empresas, el 20% en organizaciones medianas y el 30% restante en compaas ms grandes, con ms de 100 empleados. Algunos de los resultados dan cuenta los dispositivos personales que ms se utilizan en el lugar de trabajo son las computadoras porttiles y los telfonos inteligentes, adems de las tabletas que tienen una participacin alta dentro de estos dispositivos. A pesar que los dispositivos USB para almacenar datos no estn incluidos estrictamente en la categorizacin de BYOD, en la encuesta han sido elegidos el 83.3% de los consultados como dispositivos para manejar informacin corporativa.

En relacin al acceso de informacin corporativa, cerca de la mitad de los encuestados afirm utilizar redes WiFi, mientras que un poco ms de la tercera parte accede a travs de una red cableada provista por la organizacin. Como se mencion los dispositivos personales se convierten en una herramienta para desarrollar las tareas laborales, al punto que el 58.3% de los encuestados indic que su utilizacin facilita sus labores. Como parte de las tareas ms relevantes que se realizan con los dispositivos personales se encuentra la revisin del correo electrnico corporativo y el apoyo a las tareas del trabajo. De las personas que utilizan los dispositivos personales en la oficina, el 55% lo usa nicamente para actividades personales que no estn

EPIS-UNPRG

Pgina 10

SEMINARIO DE TOPICOS - BYOD

relacionadas con el trabajo. Queda claro que este tipo de usos tambin tiene como contrapartida la distraccin por parte del empleado.

Respecto al uso de informacin de trabajo, ms de la mitad de los encuestados la almacena en su dispositivo personal y cerca de un 20% la revisa remotamente sin guardarla en su dispositivo; apenas una quinta parte dice eliminarla una vez terminado el trabajo. Estas cifras evidencian una tendencia que debera ser atendida por las empresas, y es que los usuarios utilizan sus dispositivos personales para guardar informacin corporativa. Uno de los datos ms interesantes tiene que ver con que cerca de la mitad de los encuestados no maneja la informacin de la empresa de forma cifrada en su dispositivo personal y el 15.6% dice no saber cmo se maneja la informacin. Solamente la tercera parte reconoce manejar la informacin cifrada. Tanto la decisin de utilizar la informacin cifrada como el conocimiento por parte de los usuarios dentro de la red corporativa, son cuestiones de importancia a tener en cuenta por parte de quienes se encargan de gestionar la seguridad de la informacin de una compaa. Finalmente, en menos de la mitad de las empresas los encuestados reconocieron que existen polticas claras para el manejo de la informacin, mientras que una tercera parte de los encuestados reconoci lo contrario. La cuarta parte restante no conoce si existen polticas de este tipo.

EPIS-UNPRG

Pgina 11

SEMINARIO DE TOPICOS - BYOD

Cambio de Paradigma en la Infraestructura Al revisar los resultados mencionados anteriormente se puede inferir que se estn dando cambios en la forma que se maneja la informacin corporativa. Estas nuevas tendencias en las organizaciones llevan a que los departamentos de TI deban cambiar la concepcin del manejo de sus recursos para garantizar la seguridad de los datos de la empresa. Estas nuevas formas de manejar la informacin hacen que las organizaciones presten mucha ms atencin a la forma en que los usuarios se conectan a las redes de la empresa para manipular la informacin. Es decir, buscan garantizar la seguridad, los altos niveles de rendimiento y el control adecuado para los diferentes tipos de dispositivos que se podran conectar para compartir informacin. Esta nueva concepcin alrededor de cmo se accede a la informacin hace que las reas de TI se preocupen cada vez menos por la infraestructura fsica a la vez que se reducen los costos relacionados a la adquisicin de dispositivos como telfonos celulares y porttiles. Sin embargo, tambin plantea nuevas preocupaciones ya que se generan nuevos riegos que deben ser gestionados adecuadamente para garantizar la seguridad de la informacin. Debido a que en ese momento la tendencia se est consolidando y para muchas organizaciones an puede ser n tema que consideren ajeno, se encuentra poca claridad en las empresas para el manejo de la informacin. De esta manera, se dan casos en los que no hay ninguna posicin respecto de la utilizacin de dispositivos

EPIS-UNPRG

Pgina 12

SEMINARIO DE TOPICOS - BYOD

personales en el lugar de trabajo, y en muchos casos por cerrar cualquier forma de interaccin o simplemente lo dejan abierto. Todo este cambio de concepcin implica que las polticas de seguridad de las compaas se empiecen a enfocar en mayor medida en la efectividad de la seguridad de las redes, con controles o seguimientos sobre los empleados y las aplicaciones que se utilizan y no exclusivamente sobre los dispositivos. Retos para la empresa La adopcin de BYOD implica para las organizaciones un cambio en la forma de gestionar la seguridad de la informacin en una amplia variedad de dispositivos, aplicaciones y sistemas operativos. A continuacin se mencionan algunos de estos retos. o Gestin de Riesgos Lo primero para garantizar la seguridad de la informacin es una adecuada gestin de riesgos la cual parte del conocimiento de los activos de informacin con los que cuenta la empresa. Los anlisis de riesgos deben partir de la clasificacin de la informacin con el objetivo de establecer, por ejemplo, cules son los datos ms sensibles que requieren mayores niveles de proteccin, qu informacin se puede acceder desde dispositivos personales, qu informacin puede accederse por fuera de la red de la empresa y a qu informacin se debe restringir el acceso. A partir de este anlisis se llega a establecer cules son las medidas de control ms adecuadas para garantizar la seguridad de la informacin, que van desde dispositivos o medidas de carcter tecnolgico (Soluciones Antivirus, DLP, VPN, Firewall, IDS, IPS, etc.) hasta el establecimiento de polticas para la gestin de dispositivos, dnde se determina qu tipo de dispositivos y aplicaciones es posible utilizar. Adems, medidas como los controles de acceso a la red (NAC) pueden ser de gran ayuda para tener un monitoreo de cmo se utilizan los recursos de res compartidos por los empleados. Toda esta gestin de riesgos, debe estar complementada con un adecuado plan de educacin y concientizacin que involucre a todos los niveles de la organizacin para que conozcan las implicaciones del uso de sus dispositivos personales, los riesgos a los que estn expuestos y las medidas de seguridad que deben tener en cuenta.

EPIS-UNPRG

Pgina 13

SEMINARIO DE TOPICOS - BYOD

o Homeworking Al ser posible el manejo de informacin laboral en dispositivos personales, otras tendencias como la posibilidad de trabajar desde la casa (Homeworking) tienen un impulso importante. Este tipo de tendencias promueven que las empresas incluyan en sus anlisis otro tipo de riesgos y que consideran algunas implicaciones legales que pueden llegar a tener. Por ejemplo, a partir de la manipulacin de informacin laboral en dispositivos con sistemas operativos o aplicaciones no licenciadas. Es necesario entonces que las empresas asignen licencias en los dispositivos de los empleados o consideren alternativas, como por ejemplo el uso de software libre en estos casos. o Disposicin de la Informacin Si el empleado manipula informacin de la empresa en si dispositivo, debe estar claro cul ser la disposicin de la misma una vez terminada la relacin contractual. Ya que es muy complicado tener la seguridad que esta informacin ser eliminada. Una vez ms es necesario tener claro qu tipo de informacin se puede descargar y manipular desde dispositivos personales. Adems, aspectos contractuales como la firma de acuerdos de confidencialidad pueden ser complementos que brinden a la empresa herramientas adicionales para actuar en caso de que la informacin sea expuesta. o Gestin de Aplicaciones Ya se mencion que uno de los principales retos para la empresa es la gestin de la gran diversidad de aplicaciones que un empleado puede tener instalado en su dispositivo. El reto para las organizaciones se vuelca entonces en garantizar que los dispositivos, a travs de los cuales se accede a la informacin, cuenten con aplicaciones seguras que no pongan en peligro la integridad de la informacin. En esta misma lnea es necesario que la empresa diferencie el uso que los empleados puedan tener de los recursos de la misma a travs de sus dispositivos personales. Es as como seguramente muchos de los empleados solamente utilizarn sus dispositivos para manipular informacin personal. En estos casos la gestin de los recursos de red se vuelve sensible para impedir la intrusin ilegal a los sistemas de la compaa.

EPIS-UNPRG

Pgina 14

SEMINARIO DE TOPICOS - BYOD

Permitir o Prohibir? Se debe permitir o prohibir el uso de dispositivos personales en el lugar de trabajo para manipular la informacin de la empresa?. La respuesta en este caso debe estar precedida de un juicioso anlisis de riesgos. El resultado de este anlisis le da a las organizaciones el panorama completo de qu informacin maneja y cules son las caractersticas ms adecuadas para garantizar su seguridad. Ms all de si finalmente se adopte o no BYOD en la organizacin, lo mas coherente es que las organizaciones se preocupen por tomar una postura ya que este tema es una realidad y lo ms peligroso para la informacin es adoptar una posicin indiferente. Lineamientos de Seguridad Independientemente de la posicin que la empresa adopte alrededor de BYOD, es necesario que se tomen algunos recaudos para garantizar la seguridad de la informacin: o Analizar la capacidad y la cobertura que tienen las redes corporativas para permitir el acceso de dispositivos diferentes a los de la empresa. El acceso a estos recursos debera estar protegido con credenciales que permitan individualizar quin accede y qu tipo de informacin manipula. o La gestin debe estar basada en roles. El acceso a la informacin debe ser restringida de forma que se garantice que solamente podrn acceder a la informacin aquellas personas que realmente lo necesiten. Esta gestin debe ser precedida de una adecuada clasificacin de la informacin que le permita a la empresa conocer todos sus activos de informacin. o Teniendo en cuenta que son muchos los dispositivos en el mercado, es prudente hacer un anlisis de qu tipo de dispositivos son los ms adecuados para manejar la informacin de la empresa. o Segn la diversidad de dispositivos y aplicaciones que se pueden manejar, se debe redactar la poltica que aclare qu dispositivos pueden acceder a la informacin corporativa. Adems, para garantizar que cdigos maliciosos no afecten los datos, todos los dispositivos deben contar con soluciones de seguridad que detecten proactivamente este tipo de amenazas.

EPIS-UNPRG

Pgina 15

SEMINARIO DE TOPICOS - BYOD

o El acceso a travs de conexiones WiFi debe ser correctamente configurado, utilizando protocolos de cifrado, para garantizar la seguridad de la informacin. El trfico de dispositivos BYOD debera ser claramente identificable, adems de tener control ms estricto. o Para permitir el acceso remoto, el uso de tecnologas como VPN garantizan la proteccin de la informacin que se manipula. Adems, debe llevarse un control de quin accede y los cambios que se realiza. o La educacin debe ser un pilar importante para que todos los usuarios sean conscientes de los riesgos a los cuales pueden verse expuestos y cules son los cuidados que deben tener en cuenta al manejar la informacin de la empresa. o Realizar con mayor periodicidad los anlisis de riesgos y vulnerabilidades para determinar el estado de la empresa ante esta tendencia, ya que la aparicin de nuevos dispositivos o aplicaciones pueden beneficiar o afectar a las organizaciones.

VII.

BYOD: Como implementarlo y asegurarlo

La firma de anlisis Forrester prev que pronto habr un promedio de 3,2 dispositivos por usuario en la empresa, con esta queda claro que es una tendencia que no puede ser ignorada ni detenida. BYOD est aqu para permanecer, ya sea que nos guste o no. Sin embargo, se deben tomar medidas, y debe ser ahora, para asegurarse de que las empresas estn listas para BYOD. Para regular el uso de los dispositivos personales con fines profesionales en las organizaciones, sin dejar de lado la debida proteccin y seguridad de la informacin corporativa y los datos personales que dichos dispositivos pueden almacenar, deben seguirse al menos los siguientes pasos, todos encaminados a reducir el impacto legal, tcnico, de seguridad, y tambin, econmico y de reputacin en las organizaciones. Consentimiento expreso y colaboracin del trabajador Uno de los aspectos ms prioritarios y necesarios de regular ante la implantacin de una Poltica de uso BYOD en las compaas, es el consentimiento expreso del trabajador para usar su dispositivo personal para finalidades profesionales Este consentimiento debe extenderse a la aceptacin de las medidas de seguridad y controles que establezca la compaa para la proteccin de su informacin

EPIS-UNPRG

Pgina 16

SEMINARIO DE TOPICOS - BYOD

corporativa y datos personales que pueden llegar a tratarse y almacenarse en los dispositivos personales, y que pueden suponer una monitorizacin del uso que se hace de dicha informacin, etc. Para ello ser necesario la redaccin y firma de contratos especficos y/o regulacin va contrato laboral o Anexo de: o Confidencialidad y secreto. o Regulacin en el uso de BYOD, principalmente en aspectos como; costes (los asume ntegramente el trabajador, la compaa subvenciona o ayuda), condiciones uso de los dispositivos en el entorno laboral; establecimiento de posibles responsabilidades por el uso o mal uso de la informacin corporativa tratada y almacenada en el dispositivo, la no implantacin de las medidas de seguridad requeridas a nivel corporativo, etc. Polticas de uso y de seguridad especficas: La compaa deber redactar e implantar normas acerca del uso de dispositivos BYOD en el entorno corporativo. Estas polticas o procedimientos debern ser aceptadas antes de la instalacin de las aplicaciones corporativas en el dispositivo privado (pops up aceptacin), y establecern una serie de obligaciones para los usuarios, que debern ser cumplidas por los empleados, entre ellas; no modificacin de los parmetros de seguridad (prohibicin jail break), mantenimiento y actualizacin del sistema operativo y de las aplicaciones, limitaciones de uso, realizacin de copias de seguridad y el cumplimiento escrupuloso de la normativa de proteccin de datos. Entre el contenido de una Poltica BYOD recomendamos incluir: o Expectativas o Requerimientos mnimos de seguridad o Imposicin herramientas seguridad corporativa para conexin a sistemas de informacin. o Normas claras acerca del proceso a seguir en los dispositivos cuando finaliza la relacin entre el usuario y la empresa, a fin de evitar que quede informacin corporativa en el mismo (Devolucin / recuperacin / borrado / segregacin de datos del dispositivo) Si existen fallas en la preparacin, preprense para fallar establecer polticas y parmetros de antemano, y ser claro al hacerlo es clave. Desde el principio, es fundamental que todos los grupos participantes acuerden criterios para una poltica BYOD exitosa. Si no se consideran los siguientes

EPIS-UNPRG

Pgina 17

SEMINARIO DE TOPICOS - BYOD

principios fundamentales, es difcil, por no decir imposible, implementar una poltica exhaustiva. o o o o o o Elegibilidad Quin puede participar? Dispositivos Cules se permiten? Aplicaciones y datos Qu hay disponible? Soporte Qu servicios se ofrecen? Legales Cules son las implicaciones del uso? Financieros Quin es dueo y qu le toca pagar?

Establezca los requisitos de cada grupo de participantes y ajuste su poltica de BYOD como corresponda. El desafo de hacerlo posible: una poltica BYOD segura y sencilla es la ms eficiente. Las organizaciones pueden aprovechar fcilmente la infraestructura de TI existente, adems de implementar aplicaciones del tipo software como servicio (SaaS) para admitir el despliegue seguro y eficiente de una poltica BYOD. Si se hace correctamente, esto seguir protegiendo la privacidad de los datos y garantizar la seguridad de informacin comercial sensible a la vez que mantiene el cumplimiento de normas. Tambin debern ser regulados a travs de polticas o procedimientos corporativos determinados aspectos que pueden tener un impacto en la empresa ante el uso de dispositivos personales (BYOD) en lugar de dispositivos corporativos. As son aspectos importantes a remarcar los siguientes: o Geo localizacin o las funciones basadas en la geo localizacin fomentan la capacidad de saber, no solo la localizacin exacta del usuario en cada momento, sino incluso de conocer en tiempo real lo que est haciendo. Son los usuarios los que mantienen el control sobre el GPS y las funciones de geo localizacin de su dispositivo, pudiendo gestionar los privilegios de acceso de cada aplicacin a los datos de localizacin. La empresa podra establecer la obligacin de permanecer localizables dentro del horario laboral, extrayendo por tanto, informacin sobre; optimizacin de rutas, control de flotas, tracking del transporte de productos y pasajeros, control del absentismo laboral, deteccin de incumplimientos contractuales, etc. Por tanto, en relacin con la geo localizacin es recomendable la inclusin de normas y obligaciones en la poltica BYOD sobre estos aspectos.

EPIS-UNPRG

Pgina 18

SEMINARIO DE TOPICOS - BYOD

o Redes sociales o La utilizacin de redes sociales por parte de los trabajadores debe ser regulada en el mbito corporativo a travs de la creacin de manuales o guas corporativas de buenas prcticas en el uso de las redes sociales, sobre todo ante el uso de dispositivos BYOD o personales por parte de los empleados, en cuanto a que el comportamiento de un usuario en las redes sociales puede cambiar si el dispositivo utilizado es propio o de la empresa. Por tanto, en las polticas o manuales de uso de redes sociales, y/o en la poltica de uso de dispositivos BYOD, deber regularse el uso de las redes sociales, estableciendo expresamente las obligaciones de confidencialidad respecto a informacin de la empresa y de sus clientes, no denigracin de competidores, etc. o Propiedad intelectual o En relacin con la propiedad intelectual e industrial derivada de las aplicaciones y contenidos alojados en los dispositivos personales de los trabajadores, es necesario, limitar expresamente la responsabilidad de la empresa respecto de los mismos, ya que la empresa no tiene control efectivo sobre la parte personal de los dispositivos ni sobre los contenidos en ellos alojados. No obstante, deber concienciarse al usuario sobre el impacto que sus contenidos ilcitos o pirateados pueden llegar a ser asociados a la empresa, al coexistir con aplicaciones corporativas y al compartir una misma direccin IP. Igualmente, es recomendable pedir al usuario que respete en todo el dispositivo la normativa de propiedad intelectual e industrial y cualquier otra norma cuyo incumplimiento pueda generar responsabilidad para la empresa. Regulacin tcnica; Implantacin herramientas gestin, monitorizacin, bloqueo La regulacin tcnica de los dispositivos BYOD en la empresa de cara a ofrecer una seguridad a la informacin corporativa y proteger las conexiones a los sistemas de informacin corporativos, puede ser gestionada de diversas formas; o Diseo y gestin de la red corporativa y conexin de dispositivos BYOD, bien a travs de aplicaciones nativas en modo cliente servidor; a travs de la conexin por navegador web, o bien, a travs de escritorios virtuales. o Gestin Integral a travs de herramientas informticas de gestin corporativas que integren a los dispositivos BYOD, y que ayudan o se encargan de; El diseo y gestin de la red corporativa, el control y gestin
EPIS-UNPRG Pgina 19

SEMINARIO DE TOPICOS - BYOD

de accesos (gestin de identidades), medidas de seguridad informtica corporativas, monitorizacin. o Implementacin de herramientas informticas independientes que permitan; el cifrado de informacin y comunicaciones, monitorizacin del uso, bloqueo remoto de dispositivos, recuperacin remota de la informacin del dispositivo, etc. Por ltimo, si la entidad est abordando o tiene implantado un Plan de Continuidad de Negocio, deber incluir los dispositivos BYOD en sus inventarios de activos, e incluirlos igualmente, en las pruebas de contingencia y continuidad que se ejecuten peridicamente en la organizacin. Controles empresariales ante el uso de BYOD El control empresarial que pueda ejercitar el empresario, teniendo en cuenta las facultades previstas en el art 20 del Estatuto de los Trabajadores, y la jurisprudencia que en este sentido ha generado el Tribunal Supremo, de las que cabe destacar la STS 26/09/07 y la STS 6/10/2011 que ratifica la sentencia de 2007, no puede extenderse a priori, o habra que hacerlo con muchsima prudencia , al control corporativo de dispositivos eminentemente personales, en cuanto que el control previsto en el Estatuto de los Trabajadores y las sentencias referidas estn relacionadas con el control empresarial de los dispositivos corporativos usados por los trabajadores. Por tanto, en el caso de Polticas BYOD, la capacidad de control de la empresa se debe limitar a exclusivamente a las reas, aplicaciones y contenedores de informacin corporativa, sin perjuicio del posible anlisis forense de todo el contenido del terminal en el seno de una investigacin judicial, o con el consentimiento del usuario. La actividad de prevencin y control de la empresa; deber ser informada a los usuarios y deber ser proporcional, idnea y necesaria para las finalidades de control previstas en las normas internas y en el ordenamiento jurdico. Y sobre todo Formacin y Concienciacin Un aspecto fundamental en la adopcin de polticas BYOD es la concienciacin y formacin de los usuarios en distintas vertientes; desde la utilizacin y securizacin de los dispositivos, a la concienciacin en cuanto a ingeniera social que reduzcan los riesgos de phishing, pharming, instalacin de malware y cualquier otro engao orientado a la obtencin de contraseas y vulneracin de la seguridad y privacidad.

EPIS-UNPRG

Pgina 20

SEMINARIO DE TOPICOS - BYOD

VIII.

SOLUCIONES INTEGRALES

Solucin de HP La solucin HP BYOD proporciona una manera potente, simple y segura de que los usuarios accedan a la red de su empresa y a toda clase de aplicaciones desde su propio porttil, tableta o Smartphone. Aprovechando la gestin en una sola pantalla del Intelligent Management Center (IMC) de HP, TI puede dar de alta, aprovisionar y supervisar usuarios, dispositivos y trfico en la red, sin importar que el usuario sea un empleado, un contratista o un invitado, y que el dispositivo est conectado de manera cableada o inalmbrica. El IMC va ms all del acceso bsico basado en la identidad BYOD, porque le ofrece a usted una solucin integral que incluye una poltica nica de aplicacin y gestin de red convergente en entornos cableados o inalmbricos. La supervisin BYOD unificada le permite adems optimizar la asignacin de recursos y cumplir requisitos normativos. o Ventajas Identificar y controlar el acceso de los dispositivos preferidos del usuario tanto a la aplicacin como a la red Acceder a la red y a la aplicacin independientemente de la ubicacin Instrumentar redes cableadas o inalmbricas con una interfaz de gestin en una sola pantalla Simplificar el diseo de red para asegurar la escalabilidad de las LAN cableadas e inalmbricas Satisfacer la demanda de acceso mvil y contenido multimedia

o Caractersticas Ingreso eficiente con autorregistro y generacin del perfil del dispositivo, que minimiza las interrupciones en la productividad del usuario Gestin convergente para redes cableadas o inalmbricas y para dispositivos del cliente Planificacin optimizada de recursos con trfico BYOD completo y visibilidad del usuario

EPIS-UNPRG

Pgina 21

SEMINARIO DE TOPICOS - BYOD

Rendimiento escalable del ncleo al permetro para redes cableadas o inalmbricas Gestin modular en una sola pantalla le permite agregar recursos y funcionalidad segn sea necesario

Soluciones de CISCO (Cisco BYOD Smart Solution) o Qu es el BYOD Smart Solution de Cisco? El BYOD Smart Solution de Cisco proporciona un enfoque integral para disear, gestionar y controlar el acceso de un-traiga su propio dispositivo de red (BYOD). Cisco BYOD mejora la experiencia del usuario y la productividad. Esta solucin completa comienza con guas de diseo de Cisco y los servicios profesionales que conducen desde la planificacin y el diseo de las operaciones del da a da. Esta solucin BYOD tambin proporciona la infraestructura necesaria, incluyendo: Los puntos de acceso Controladores Seguridad Gestin de redes

Esta infraestructura es compatible con una red de alta seguridad, de alto rendimiento que es accesible a una amplia gama de dispositivos. o Por qu es Cisco su mejor opcin? Una red de Cisco soporta una experiencia "trabajo-su-manera" movilidad ms amplia. Cisco ofrece: Seguridad excepcional y una gestin simplificada Un nico punto de la poltica de cable y Wi-Fi en toda la organizacin Flujo de trabajo individual para identificar los problemas por el usuario, en lugar de medio ambiente

o Cmo de empezar? Para construir una solucin BYOD efectiva, es necesario: Alinear la estrategia de TI con los objetivos empresariales Abordar los retos que la organizacin y los empleados de TI se enfrentan.
Pgina 22

EPIS-UNPRG