Por María González, asociada senior de Information Technology de ECIJA

Si la consumerización y el avance de la tecnología está suponiendo para su empresa un aumento del uso de dispositivos personales por parte de sus trabajadores, y le genera el dilema acerca de si permitirlo, y en su caso, como regularlo y controlarlo, no se pierda esta Guía, que pretende dar las cinco principales claves a tener en cuenta para la adaptación del BYOD a su empresa.

El BYOD tiene como ventajas; que supone el triunfo de la movilidad, la productividad y la eficiencia;  aunque, por otro lado, la falta de su regulación y control por parte del empresario puede suponer un grave riesgo de seguridad y ser la semilla del desastre.

Para regular el uso de los dispositivos personales con fines profesionales en las organizaciones, sin dejar de lado la debida protección y securización de la información corporativa y los datos personales que dichos dispositivos pueden almacenar, deben seguirse al menos los siguientes pasos, todos encaminados a reducir el impacto legal, técnico, de seguridad, y también, económico y de reputación en las organizaciones.

1.- Consentimiento expreso y colaboración del trabajador:

Uno de los aspectos más prioritarios y necesarios de regular ante la implantación de una Política de uso BYOD en las compañías, es el consentimiento expreso del trabajador para usar su dispositivo personal para finalidades profesionales

Este consentimiento debe extenderse a la aceptación de las medidas de seguridad y controles que establezca la compañía para la protección de su información corporativa y datos personales que pueden llegar a tratarse y almacenarse en los dispositivos personales, y que pueden suponer una monitorización del uso que se hace de dicha información, etc.

Para ello será necesario la redacción y firma de contratos específicos y/o regulación vía contrato laboral o Anexo de:

–      Confidencialidad y secreto.

–      Regulación uso de BYOD, principalmente en aspectos como; costes (los asume íntegramente el trabajador, la compañía subvenciona o ayuda), condiciones uso de los dispositivos en el entorno laboral; establecimiento de posibles responsabilidades por el uso o mal uso de la información corporativa tratada y almacenada en el dispositivo, la no implantación de las medidas de seguridad requeridas a nivel corporativo, etc.

2.- Políticas de uso y de seguridad especificas:

La compañía deberá redactar e implantar normas acerca del uso de dispositivos BYOD en el entorno corporativo. Estas políticas o procedimientos deberán ser aceptadas antes de la instalación de las aplicaciones corporativas en el dispositivo privado (pops up aceptación), y establecerán una serie de obligaciones para los usuarios, que deberán ser cumplidas por los empleados, entre ellas;  no modificación de los parámetros de seguridad (prohibición “jail break”),  mantenimiento y actualización del sistema operativo y de las aplicaciones, limitaciones de uso, realización de copias de seguridad y el cumplimiento escrupuloso de la normativa de protección de datos.

Entre el contenido de una Política BYOD recomendamos incluir:

–      Expectativas

–      Requerimientos mínimos de seguridad

–      Imposición herramientas seguridad corporativa para conexión a sistemas de información.

–      Normas claras acerca del proceso a seguir en los dispositivos cuando finaliza la relación entre el usuario y la empresa, a fin de evitar que quede información corporativa en el mismo (Devolución / recuperación / borrado / segregación de datos del dispositivo)

También deberán ser regulados a través de políticas o procedimientos corporativos determinados aspectos que pueden tener un impacto en la empresa ante el uso de dispositivos personales (BYOD) en lugar de dispositivos corporativos. Así son aspectos importantes a remarcar los siguientes:

–          Geolocalización à las funciones basadas en la geolocalización fomentan la capacidad de saber, no solo la localización exacta del usuario en cada momento, sino incluso de conocer en tiempo real lo que está haciendo. Son los usuarios los que mantienen el control sobre el GPS y las funciones de geolocalización de su dispositivo, pudiendo gestionar los privilegios de acceso de cada aplicación a los datos de localización.

 

La empresa podría establecer la obligación de permanecer localizables dentro del horario laboral, extrayendo por tanto, información sobre; optimización de rutas, control de flotas, tracking del transporte de productos y pasajeros, control del absentismo laboral, detección de incumplimientos contractuales, etc.

 

Por tanto, en relación con la geolocalización es recomendable la inclusión de normas y obligaciones en la política BYOD sobre estos aspectos.

 

–          Redes sociales à La utilización de redes sociales por parte de los trabajadores debe ser regulada en el ámbito corporativo a través de la creación de manuales o guías corporativas de buenas prácticas en el uso de las redes sociales, sobre todo ante el uso de dispositivos BYOD o personales por parte de los empleados, en cuanto a que el comportamiento del un usuario en las redes sociales puede cambiar si el dispositivo utilizado es propio o de la empresa.

 

Por tanto, en las políticas o manuales de uso de redes sociales, y/o en la política de uso de dispositivos BYOD, deberá regularse el uso de las redes sociales, estableciendo expresamente las obligaciones de confidencialidad respecto a información de la empresa y de sus clientes, no denigración de competidores, etc.

 

–          Propiedad intelectual à En relación con la propiedad intelectual e industrial derivada de las aplicaciones y contenidos alojados en los dispositivos personales de los trabajadores, es necesario, limitar expresamente la responsabilidad de la empresa respecto de los mismos, ya que la empresa no tiene control efectivo sobre la parte personal de los dispositivos ni sobre los contenidos en ellos alojados.

 

No obstante, deberá concienciarse al usuario sobre  el impacto que sus contenidos ilícitos o pirateados pueden llegar a ser asociados a la empresa, al coexistir con aplicaciones corporativas y al compartir una misma dirección IP.

 

Igualmente, es recomendable pedir al usuario que respete en todo el dispositivo la normativa de propiedad intelectual e industrial y cualquier otra norma cuyo incumplimiento pueda generar responsabilidad para la empresa.

3.- Regulación técnica; Implantación herramientas gestión, monitorización, bloqueo:

La regulación técnica de los dispositivos BYOD en la empresa de cara a ofrecer una seguridad a la información corporativa y proteger las conexiones a los sistemas de información corporativos, puede ser gestionada de diversas formas;

1.- Diseño y gestión de la red corporativa y conexión de dispositivos BYOD, bien a través de aplicaciones nativas en modo cliente – servidor; a través de la conexión por navegador web, o bien, a través de escritorios virtuales.

2.- Gestión Integral a través de herramientas informáticas de gestión corporativas que integren a los dispositivos BYOD, y que ayudan o se encargan de; El diseño y gestión de la red corporativa, el control y gestión de accesos (gestión de identidades), medidas de seguridad informática corporativas, monitorización.

3.- Implementación de herramientas informáticas independientes que permitan; el cifrado de información y comunicaciones, monitorización del uso, bloqueo remoto de dispositivos, recuperación remota de la información del dispositivo, etc.

Por último, si la entidad está abordando o tiene implantado un Plan de Continuidad de Negocio, deberá incluir los dispositivos BYOD en sus inventarios de activos, e incluirlos igualmente, en las pruebas de contingencia y continuidad que se ejecuten periódicamente en la organización.

4.- Controles empresariales ante el uso de BYOD:

El control empresarial  que pueda ejercitar el empresario, teniendo en cuenta las facultades previstas en el art 20 del Estatuto de los Trabajadores, y la jurisprudencia que en este sentido ha generado el Tribunal Supremo, de las que cabe destacar la STS 26/09/07 y la STS 6/10/2011 que ratifica la sentencia de 2007, no puede extenderse a priori, o habría que hacerlo con muchísima prudencia , al control corporativo de dispositivos eminentemente personales, en cuanto que el control previsto en el Estatuto de los Trabajadores y las sentencias referidas están relacionadas con el control empresarial de los dispositivos corporativos usados por los trabajadores.

Por tanto, en el caso de Políticas BYOD, la capacidad de control de la empresa se debe limitar a exclusivamente a las áreas, aplicaciones y contenedores de información corporativa, sin perjuicio del posible análisis forense de todo el contenido del terminal en el seno de una investigación judicial, o con el consentimiento del usuario.

La actividad de prevención y control de la empresa; deberá ser informada a los usuarios y deberá ser proporcional, idónea y necesaria para las finalidades de control previstas en las normas internas y en el ordenamiento jurídico.

 

5.- Y sobre todo… Formación y Concienciación:

Un aspecto fundamental en la adopción de políticas BYOD es la concienciación y formación de los usuarios en distintas vertientes; desde la utilización y securización de los dispositivos, a la concienciación en cuanto a ingeniería social que reduzcan los riesgos de phishing, pharming, instalación de malware y cualquier otro engaño orientado a la obtención de contraseñas y vulneración de la seguridad y privacidad.

 

 

 

 

2 Comentarios

  1. Yo creo que es totalmente necesario en las empresas de hoy en día implementar algún tipo de seguridad para los documentos que tiene que cada uno en su ordenador.
    Como bien se dice las fugas de información en las empresas se deben cada vez más a los propios empleados y una de esas razones por las que pasa esto es no implementar alguna herramienta de seguridad.

    Hoy en día por ejemplo Prot-On hace que sepamos quién tiene cada documento y cuando accede.

  2. Buenas tardes, mi pregunta estaría mas relacionada con el aspecto económico del BYOD. Es decir en el blog se comenta que la empresa debe aportar una cantidad en concepto de ayuda, pero no se especifica como. Es decir, mi empresa lo que hace es establecer una cantidad acordada y posteriori lo ingresa en la nomina como parte del salario del empleado, lo cual no tiene mucho sentido porque estas siendo tributado por tal cantidad, pudiendo incluso llegar a subir tu porcentaje.
    En mi humilde opinión, ¿no sería mas correcto pagar dicha cantidad a través de una nota de gastos, al igual que cuando se usa un vehículo privado por laborales?
    Muchísimas gracias por la información.
    Un cordial saludo,

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.