Reunión de expertos convocados por el despacho ECIJA para analizar el fenómeno creciente de la ‘Gestión y control del uso de las nuevas tecnologías por los empleados. Riesgos legales y tecnológicos asociados al uso de dispositivos personales (“Bring Your Own Device”)’, que ha aglutinado a representantes de más de cincuenta entidades procedentes de todos los sectores de la economía.

Las consumerización y avance de la tecnología está generalizando el llamado  fenómeno del denominado BYOD (Bring Your Own Device) en las compañías a nivel mundial, supone eltriunfo de la movilidad y tiene innumerables ventajas en el aumento de la productividad, pero también está planteando cuestiones algo más problemáticas a las empresas, en cuanto a las implicaciones técnicas y en materia de seguridad y a las implicaciones legales.

Para regular el uso de los dispositivos personales con fines profesionales en las organizaciones, sin dejar de lado la debida protección y securización de la información corporativa y los datos personales que dichos dispositivos pueden almacenar, deben adoptarse distintas estrategias, todas ellas encaminadas a reducir el impacto legal, técnico, de seguridad, y también, económico y de reputación en las organizaciones, a través de la concienciación, la orientación, regulación de políticas, tendentes a facilitar la colaboración entre organización y empleado.

No hay riesgos adicionales

El utilizar dispositivos personales en el desarrollo de los puestos de trabajo no plantea riesgos adicionales a los ya existentes en materia de seguridad respecto del uso de portátiles o dispositivos de almacenamiento USB; riesgos de extravío o pérdida, de interceptación de las comunicaciones, fuga de información confidencial/corporativa, etc. Sin embargo, sí plantea posibles limitaciones en cuanto a la aplicación impositiva y restrictiva de las políticas de seguridad corporativas sobre dispositivos que no sonpropiedad de la organización y sobre los que ésta carece de control.

El impacto del BYOD en las organizaciones depende de las circunstancias particulares de cada organización y de cómo ha ido resolviendo los problemas de gestionar la seguridad corporativa en los últimos años. El BYOD supone un punto de inflexión con respecto a las estrategias tradicionales, donde en la toma de decisiones se buscaba un equilibrio entre las necesidades de seguridad y el modelo de negocio.

El BYOD supone tener que pensar y diseñar estrategias de seguridad bajo dos premisas importantes:

Transparencia de las medidas de seguridad a adoptar hacerlas lo más sencillas y accesibles posibles para que no supongan una barrera para el personal que ha de implantarlas y gestionarlas.

Usabilidad e interoperabilidad con los recursos de la organización  deben permitir y facilitar la operatividad y acceso a los recursos corporativos para permitir a los empleados el trabajo desde cualquier lugar en cualquier momento.

Cuál es la principal problemática que plantea el BYOD?

La efectiva protección física del dispositivo  estableciendo pautas sobre custodia y uso de estos elementos en entornos inseguros. Las organizaciones podrán facilitar a su personal guías específicas de configuración y control de los distintos dispositivos, aplicaciones específicas de gestión de la seguridad.

El control y protección lógica del acceso y conexión a los sistemas de información corporativos ? toman una especial importancia los sistemas de autenticación en el acceso, a través de distintos dispositivos, a los sistemas de información corporativos.

El control y “securización” de las comunicaciones  Facilitar la conectividad del dispositivo desde lugares externos a los sistemas de información, el uso de protocolos de comunicaciones seguros que deben evitar la interceptación de comunicaciones y el robo de credenciales. Deben las organizaciones implantar sistemas que permitan la interoperabilidad con los sistemas de información corporativos, así como la“securización”, control y cifrado de las comunicaciones de los dispositivos.

La protección lógica de la información que se almacena en el dispositivo.Através de mecanismos criptográficos que permitan garantizar, que ante perdida o robo, no habrá fugas de información, por ejemplo a través del uso de tecnologías proactivas en la detección y control del flujo de información (sistemas DLP).

La monitorización a través de estrategias basadas en la detección de anomalías, tanto a nivel de conexiones y accesos a los sistemas de información, como en el uso y tratamiento de la información corporativa, teniendo especial precaución de no interferir en el uso particular del dispositivo por parte del empleado y por tanto poner en riesgo su derecho intimidad.

La gestión de las notificaciones en caso de detección de incidentes  a través del establecimiento de procedimientos que gestionen la notificación y resolución de incidentes que permitan la continuidad del negocio.

La regulación del BYOD debe formar parte de una estrategia de movilidad que vaya más allá de conectar los dispositivos a la red corporativa, ya que deberá incluir, además, la integración de soluciones de seguridad, de colaboración, de virtualización, movilidada través de los diferentes proveedores de servicios, y permitir la escalabilidad dado el avance de la tecnología.

Es necesario, por tanto, el establecimiento por parte de la organización de políticas y guías ante la utilización de dispositivos personales en el desarrollo del puesto de trabajo, y partir siempre de un acuerdo mutuo entre organización y empleado.

Publicado en: diariojuridico.com