LOGICALIS NOW BYOD (BRING YOUR OWN DEVICE) DE TENDENCIA A OPORTUNIDAD SECCIÓN. Logicalis Now - Marzo

Transcripción

1 LOGICALIS NOW SECCIÓN Año 6 / Nº 20 - Marzo 2013 Logicalis BYOD (BRING YOUR OWN DEVICE) DE TENDENCIA A OPORTUNIDAD Bring Your Own Device (o Traiga su propio dispositivo ) es una tendencia en alza, a partir de la cual los empleados llevan sus propios dispositivos al lugar de trabajo. Lejos de rechazar esta práctica, las empresas deberán adaptarse para poder asegurar los estándares de seguridad corporativos, convirtiendo así esta tendencia en oportunidad. En esta edición, le presentamos cómo afrontar la nueva ola BYOD. LOGICALIS SOUTHERN CONE Conozca el informe de Ovum, encargado por Logicalis Group, el cual revela las principales características de esta tendencia. SEGURIDAD En vez de percibir BYOD como una amenaza, las organizaciones deben estar preparadas para cubrir los principales puntos de seguridad. Descubra cómo planificar una política exitosa de BYOD. TENDENCIAS El 2013 se presenta con grandes expectativas de avances tecnológicos en la región. En esta edición, le presentamos las tendencias más destacadas para Latinoamérica. Logicalis Now - Marzo

2 Sin innovación tu empresa no puede ser líder, sólo un seguidor. Las mejores innovaciones permiten a empresas como la tuya hacer cosas extraordinarias. Contacta hoy mismo a uno de nuestros Asesores de Negocios TIC para descubrir que puede hacer la innovación por tu negocio. Atrévete a imaginar! Síguenos: /Logicalis

3 SUMARIO 27. "BYOD dejará de ser una tendencia para ser una realidad" 20. Cómo planificar una política exitosa? TENDENCIA BYOD, una oportunidad para empresas y empleados LOGICALIS SOUTHERN CONE Dime dónde vives y te diré qué dispositivo usas SEGURIDAD Cómo conseguir el éxito en el armado de una Política de BYOD ANEXO Cómo planificar una política exitosa? TENDENCIA Internet para todo, todo para Internet RESPONSABILIDAD SOCIAL EMPRESARIA Logicalis se sumó a la iniciativa Haciendo Punta en el volcán Copahue CASO DE EXITO Virtualización de escritorio, la clave del plan TI ENTREVISTA BYOD dejará de ser una tendencia para ser una realidad NOTA TÉCNICA Está su red WiFi lista para el futuro? CONSULTORÍA El desafío de sumarse a BYOD MANAGEMENT La problemática de la gestión en las soluciones de BYOD APLICACIONES Aplicaciones dentro de la corporación DATA CENTER Software Defined Network: el futuro de las arquitecturas de red SERVICIOS Conozca cómo gestionar los servicios de BYOD TENDENCIA Las predicciones para América Latina en el TENDENCIA Top 10 tendencias de TIC para Latinoamérica en NOVEDADES 30. Está su red WiFi lista para el futuro? 34. El desafío de sumarse a BYOD 22. Internet para todo, todo para Internet 39. Aplicaciones dentro de la corporación Logicalis Now - Marzo

4 Conozca el informe de Ovum, En vez de percibir BYOD como El 2013 se presenta con encargado por Logicalis una amenaza, las organizaciones deben estar preparadas avances tecnológicos en la grandes expectativas de Group, el cual revela las principales características de para cubrir los principales región. En esta edición, le esta tendencia. puntos de seguridad. Descubra presentamos las tendencias más cómo planificar una política destacadas para Latinoamérica. exitosa de BYOD. EDITORIAL Año 6 / Nº 20 - Marzo LOGICALIS NOW Año 6 / Nº 20 - Marzo 2013 Logicalis BYOD (BRING YOUR OWN DEVICE) DE TENDENCIA A OPORTUNIDAD Bring Your Own Device (o Traiga su propio dispositivo ) es una tendencia en alza, a partir de la cual los empleados llevan sus propios dispositivos al lugar de trabajo. Lejos de rechazar esta práctica, las empresas deberán adaptarse para poder asegurar los estándares de seguridad corporativos, convirtiendo así esta tendencia en oportunidad. En esta edición, le presentamos cómo afrontar la nueva ola BYOD. LOGICALIS SOUTHERN CONE SEGURIDAD TENDENCIAS Estimados lectores, En la presente edición de Logicalis Now lo invitamos a conocer todo acerca de Bring Your Own Device, una tendencia en alza a partir de la cual los empleados llevan sus propios dispositivos al lugar de trabajo. En la actualidad, el 90% de las tablets, en una empresa, son personales y el 75% de ellas no tienen gestión alguna. BYOD es una realidad que ya está sucediendo, con un potencial de generar importantes beneficios tanto para la organización como para sus usuarios. Sin embargo, y para evitar riesgos, las organizaciones deben estar preparadas para afrontar esta tendencia, la cual seguirá creciendo. Staff Comité editorial Rodrigo Parreira CEO, Logicalis Latam Carlos Pingarilho COO, Logicalis Southern Cone Diego Martínez COO, Logicalis Andean Gustavo Wymerszberg Coordinator Business Development, Logicalis Southern Cone Andrés González Consulting Services Manager, Logicalis Southern Cone Gastón Daurat Sales Director, Enterprise Sector, Logicalis Agustina Rivas Marketing & Communications Manager, Logicalis Andean Luis Esposito Knowledge, Process & Quality Manager, Logicalis Southern Cone En este sentido, le presentamos las últimas novedades, tendencias y soluciones tecnológicas orientadas a BYOD, con el objetivo de alcanzar una exitosa implementación. Por último, lo invitamos a visitar nuestro Web Site en el cual encontrará mayor información de nuestros servicios y soluciones, agenda de eventos, noticias de nuestros partners, entre otros. También nos puede seguir en nuestras redes sociales: Facebook, Twitter, YouTube y Slideshare. Idea y coordinación María Victoria Muñoz Communication Coordinator, Logicalis Southern Cone victoria.munoz@la.logicalis.com info@la.logicalis.com 4 Marzo Logicalis Now

5

6 TENDENCIA BYOD, una oportunidad para empresas y empleados Por Andrés González, Consulting Services Manager Logicalis Southern Cone Bring Your Own Device es una tendencia de creciente aplicación en el mundo corporativo, mediante la cual el empleado lleva su propio dispositivo al lugar de trabajo. Le presentamos las claves para conocer e implementar exitosamente BYOD. Trayendo nuestros propios dispositivos En líneas generales, y para entender de qué estamos hablando, BYOD (en inglés Bring Your Own Device o trae tu propio dispositivo ) es la tendencia por la cual los empleados llevan sus equipos informáticos personales a sus lugares de trabajo y los usan para tareas laborales. En principio, uno se preguntaría por qué un empleado haría tal cosa, cuando es responsabilidad de la empresa brindarle los elementos que necesita para hacer su trabajo. La clave es que hoy los estándares corporativos y presupuestos restringidos hacen que los equipos informáticos no se renueven al mismo paso que evoluciona el mercado. Por su parte, los empleados tienen cada vez mayor acceso a la última tecnología, lo cual eleva la expectativa de cómo debe ser la experiencia informática de un usuario. Paralelamente, la concepción de puesto de trabajo fue mutando gradualmente desde lugar a función. Mercados laborales más flexibles con teletrabajo, hot desking, hotelling, home working, tercerización, etc. son un caldo de cultivo para el uso de dispositivos no corporativos. Con equipos cada vez más potentes para procesar datos, interfaces de usuario más accesibles y agradables, y costos en descenso, el consumo de notebooks, smartphones y tabletas ganó terreno en los últimos años desde el hogar hasta la oficina. Esta tendencia por la cual el mercado masivo inunda al mercado corporativo es conocida como consumerización. La demanda generada por el consumo El impulso de la consumerización se presenta desde varios frentes. Por un lado, los jefes que, con mayor poder adquisitivo y viajes al exterior, son los early adopters, en tanto tienen acceso a las nuevas tecnologías y usan su influencia para que las áreas técnicas les habiliten la conexión a las redes y sistemas corporativos. Por otro lado, los técnicos de informática y telecomunicaciones requieren los medios para conectar sus nuevos juguetes. Sin embargo, el efecto contagio no tarda en hacerse notar y, así, otras áreas también se ven tentados a tener el mismo beneficio. Qué buscan los usuarios que están dispuestos a poner dinero de su bol- sillo en comprar un equipo para usar en el trabajo? Mayor capacidad de almacenamiento, procesadores más rápidos y pantallas con mayor resolución, logrando una experiencia de trabajo más ágil, cómodo y amigable. Otro aspecto importante es la movilidad, esto se vislumbra especialmente cuando los equipos corporativos son desktops o notebooks voluminosas y pesadas. Los usuarios más Andrés González, Consulting Services Manager Logicalis Southern Cone 6 Marzo Logicalis Now

7 exigentes priorizan la innovación y el diseño a los equipos estándar más estables, pero a veces obsoletos, ofrecidos por sus empleadores. Así, la frontera entre la vida personal y el trabajo se va desdibujando cada vez más, y la consumerización es un síntoma de este movimiento. Para alcanzar los beneficios de BYOD es imprescindible que la adopción sea controlada y administrada, con claras políticas de uso, niveles de servicio, seguridad y cumplimiento con normas, códigos y regulaciones locales. El proceso del cambio Las políticas de BYOD pueden ser restrictivas sólo acceso a la red WIFI de invitados, permisivas aceptación abierta pero controlada, o infinidad de matices intermedios. En general, la recomendación es no quemar etapas, sino ir adoptando el uso en forma gradual, considerando el modelo cultural de la empresa y su madurez tecnológica y de servicios para evitar sorpresas negativas o sensación de frustración entre los usuarios.» Qué buscan los usuarios que están dispuestos a poner dinero de su bolsillo en comprar un equipo para usar en su empresa? Una experiencia de trabajo más ágil, cómoda y amigable. Logicalis Now - Marzo

8 TENDENCIA» Ahora, si bien algunas tecnologías fueron los detonadores de la demanda de BYOD, otras están tomando relevancia para que la adopción de esta tendencia se traduzca en un aprovechamiento de sus beneficios sostenibles en el tiempo. La tecnología Acceso inalámbrico La tecnología que hace posible que uno lleve su propio dispositivo a la oficina es, casi por definición, la conexión a red sin cables, la cual permite la movilidad de los equipos. Para ello tenemos las redes celulares que son generalmente públicas y con amplia cobertura y las WIFI, que son privadas y más flexibles, pero con cobertura limitada a la oficina o el hogar. Aplicaciones Sin embargo, lo que da realmente sentido a que uno quiera usar un dispositivo propio en el trabajo es la disponibilidad de aplicaciones: acceso a internet, mensajería, redes sociales, y hasta el uso de aplicaciones específicas del negocio. En este contexto, el personal de TI tiene el desafío de implementar una red inalámbrica con capacidad para la demanda, y que permita acceder a los servicios desde múltiples plataformas y redes; mientras que los desarrolladores de software deben apuntar a clientes, aplicaciones y conectores que corran en diversos entornos. Por su parte, la virtualización del Data Center y del escritorio y los servicios en la nube son tecnologías que permiten e impulsan la implementación de BYOD. Seguridad Quizás sean las cuestiones de seguridad los principales argumentos de los reacios a BYOD. No sólo es preciso considerar la confidencialidad de la información corporativa en estos dispositivos, sino que además surge la problemática de cómo la empresa tratará la información privada del dueño del dispositivo para evitar problemas legales. Si la empresa requiere mayor control sobre el equipo, tendrá que responder también por el resguardo y el acceso no autorizado a la información privada del usuario, incluyendo sus fotos y videos personales, e incluso la ubicación en equipos con GPS. Gestión de dispositivos Una vez que la empresa ha decidido aceptar dispositivos de los usuarios en la oficina, esto se convierte en un servicio que deberá ser soportado y, si deja de funcionar total o parcialmente, generará reclamos que deberán ser atendidos. Esto significa que las áreas de soporte deberán estar preparadas para la nueva demanda. Afortunadamente las herramientas de software llamadas MDM (Mobile Device Management o gestión de dispositivos móviles ) ayudan en las tareas de administración y seguridad de los dispositivos. Además de los usuarios, la empresa también puede encontrar beneficios en la adopción de BYOD en su organización. Los beneficios Desde el punto de vista de IT, el hecho de que los usuarios estén deseosos de usar sus propios dispositivos para trabajar puede redundar en el aumento de su productividad y de su satisfacción ante una experiencia de uso más personalizada, con menor inversión en equipos de escritorio. Para el departamento de recursos humanos, es una forma de atraer y retener a ciertos talentos identificados con la Generación Y : dinámicos, hiperinformados, conectados, familiarizados con la tecnología desde la cuna. Para las áreas comerciales y de marketing, es una forma de que los niveles más expuestos estén al nivel de innovación que se puede encontrar para consumidores, mucho más alto que el corporativo en múltiples ocasiones. En conclusión, la adopción de BYOD tiene varias aristas por considerar, por lo que su adopción no tiene por qué ser abrupta sino que cada organización debe darle el ritmo que acompañe a la cultura interna. En cualquier caso, es una tendencia que será imposible evitar durante los próximos años para mantenerse competitivo, innovador, retener talentos y posicionarse satisfactoriamente en el mercado. 8 Marzo Logicalis Now

9 Logicalis Now - Marzo

10 LOGICALIS SOUTHERN CONE Dime dónde vives y te diré qué dispositivo usas Un informe de Ovum, encargado por Logicalis, revela las principales características de BYOD, una tendencia que crece aceleradamente en todo el mundo aunque no de modo uniforme. En un presente hiperconectado, aquello que aparece primero a nivel de unos pocos países rápidamente se vuelve global. Con BYOD se comprueba la regla. El fenómeno por el cual los empleados llevan dispositivos propios al trabajo está despegando a escala planetaria. Para tomarle el pulso, la consultora internacional Ovum, con sede en Londres, puso la lupa sobre un amplio grupo de países, lo que arrojó interesantes conclusiones. Malasia, Rusia, Singapur y Sudáfrica) y los mercados maduros (Alemania, Australia, Bélgica, España, Estados Unidos, Francia, Italia, Japón, Reino Unido y Suecia). Los empleados en estos países tienen diferentes actitudes respecto al uso de dispositivos móviles durante el horario laboral y fuera del mismo, lo que es un indicador de la divergencia cultural respecto al punto de equilibrio entre vida personal y trabajo. El primer punto relevante es que existe una gran diferencia en los resultados según tipos de países. Ovum distingue entre dos grupos, los llamados mercados en crecimiento (Brasil, Emiratos Árabes, India, A los empleados en mercados en crecimiento les interesa y de hecho ya aprovechan la posibilidad de acceder a datos y aplicaciones laborales de modo constante, aún fuera de la oficina o más allá del horario labo- 10 Marzo Logicalis Now ral. También son más proclives que sus pares de mercados maduros a usar un único dispositivo y utilizarlo tanto para cuestiones laborales como personales. Esas actitudes prueban que se sienten a gusto con el hecho de que las fronteras entre trabajo y vida personal estén volviéndose más difusas. También es posible que esto se relacione con la voluntad de hacer lo que se necesite y trabajar todo lo que sea necesario para avanzar en sus carreras profesionales. Vivir para trabajar parece ser la actitud que prevalece entre los consumidores de mercados emergentes, mientras que aquellos en economías desarrolladas se inclinan por trabajar para vivir su carrera está separada de su vida privada y la

11 primera es un medio para obtener confort en la segunda. Además, el aumento acelerado de la penetración de dispositivos inteligentes y el ingreso creciente de jóvenes con buenos ingresos a la fuerza laboral potencian la tendencia a traer el propio dispositivo y le da más fuerza en mercados en crecimiento en comparación con los que están en el grupo de los maduros. Los empleados de economías emergentes de rápido crecimiento están demostrando una actitud más flexible respecto a las horas de trabajo, y están felices con la idea de poder utilizar sus propios dispositivos para trabajar. Sin embargo, los colaboradores de mercados maduros están acostumbrados a cómodos regímenes de jornada laboral y son más cuidadosos respecto a la separación entre su trabajo y su vida personal, explica Richard Absalom, analista senior de Ovum. Este comportamiento transformará no sólo futuros patrones de movilidad empresarial en mercados de rápido crecimiento comparado con mercados maduros, sino que también establecerá qué mercados, estructuralmente, serán los más beneficiados con esta revolución respecto a cómo y dónde trabajamos, agrega el experto. Otro factor que hay que tener en cuenta, según Ovum, son las diferentes actitudes respecto a la privacidad y la voluntad de mantener a las actividades personales fuera del radar de cualquier tipo de autoridad, sea un empleador o el Estado. Los europeos en especial son más celosos de su derecho a la privacidad, lo que se explica por la historia regional de gobiernos autoritarios que monitoreaban y censuraban las comunicaciones personales. En otros lugares la actitud es diferente. En países que no tienen esa historia, como Estados Unidos, el tema de la privacidad es secundario. Mientras, en otros donde la censura continua o la memoria está más fresca, como Brasil o Rusia, la idea que predomina es que de cualquier modo las autoridades siempre pueden controlar lo que uno hace, por» Logicalis Now - Marzo

12 LOGICALIS SOUTHERN CONE» lo que en definitiva no importa quién sea el dueño del dispositivo que se usa. Los riesgos de mirar para otro lado La segunda conclusión clave del estudio es que los departamentos de IT deben buscar la manera correcta de administrar esta corriente. La ausencia de este tipo de políticas es un problema a nivel global. De los encuestados que llevan sus propios dispositivos al trabajo, el 17,7% declaró que el departamento de TI de su empleador no lo sabe, mientras que un 28,4% de los departamentos TI de los encuestados ignora activamente que eso está ocurriendo (es decir, hacen la vista gorda ). BYOD sin regulación representa un gran riesgo de seguridad de datos, y las consecuencias de perder información confidencial a través de un dispositivo personal pueden ser muy serias desde las perspectivas financiera, legal y de reputación, expresa Absalom. Sin embargo, ésta no es una tarea sencilla. Como cada organización es única, no hay recetas universales para encarar el tema. Cada empresa debe comprender el comportamiento de sus empleados (que como se vio está influido por su ubicación geográfica), y buscar gerenciarlo en función del perfil de riesgo respectivo. La pregunta que hay que hacer es: a qué datos pueden tener acceso los empleados y hasta dónde es necesario llegar para asegurarlos? El abanico de opciones es amplio, con extremos que pueden ir desde el control más estricto de todo el dispositivo hasta políticas muy relajadas enfocadas solo en algunas aplicaciones. La cuestión más crítica es definir una política lo antes posible, apuntan desde la consultora inglesa. La infraestructura que tiene que soportar todo y que debe ir de la mano 12 Marzo Logicalis Now

13 de las políticas también merece atención. Es que a medida que los líderes empresarios comienzan a planear el impacto que tendrá la movilidad de los empleados en sus compañías, las mencionadas diferencias en actitudes se reflejarán en el patrón de inversión en provisión para aplicaciones móviles. También afectarán los retornos en materia de productividad que se obtendrán por esa inversión. Y las empresas en economías de alto crecimiento tienen la oportunidad de transformar esta corriente de motivación de sus empleados en productividad e ingresos si acompañan el nuevo comportamiento con el adecuado soporte para dispositivos y redes. Soporte adecuado significa poder definir cuántas personas en la empresa ya usan dispositivos personales para el trabajo, cuántas tienen interés en hacerlo, y darles a todas ellas acceso al máximo de aplicaciones posibles que sean necesarias para cumplir con cada función teniendo en cuenta a la vez el perfil de riesgo específico de la organización. Es muy posible que quienes actúen en sectores altamente regulados como la salud, el gobierno o las finanzas van a tener que implementar las soluciones más seguras posibles, mientras que para otros será factible optar por controles más laxos. Si los empleados acceden a la red WiFi usando sus dispositivos personales también es importante que el ancho de banda sea suficiente para todos y que no haya cuellos de botella. De todos modos, hay señales alentadoras que indican que en aquellas regiones donde el BYOD tiene más impulso los departamentos de IT están poniendo manos a la obra, y al menos estimulan este tipo de comportamiento. Claro que tener una política para manejarlo es otra cosa. Los datos de Ovum revelan que solo un 12% de los empleados firmó una política que gobierne el uso de su dispositivo personal en el trabajo. Pero al menos un fomento genérico de la tendencia muestra que se están dando los primeros pasos. Radiografía de un estudio de alcance global La encuesta llevada a cabo por Ovum compila respuestas de consumidores de 17 países diferentes. A los efectos de este estudio, el concepto de BYOD se definió como el uso de smartphones o tabletas personales en el trabajo para cualquier actividad diferente a hacer llamadas o enviar mensajes de texto, es decir que involucre el acceso a datos corporativos. El único criterio de selección para responder la encuesta fue que los individuos fueran empleados a tiempo completo en organizaciones con más de 50 empleados. Las preguntas giraron en torno a actitudes y uso de dispositivos personales en el trabajo. El producto final es un conjunto de datos único, que permite dotar de cifras reales a la escala y factores que impulsan la tendencia de BYOD, desde la perspectiva de los mismos consumidores que la alimentan. La lista de países cubiertos por el estudio incluye a: Alemania, Australia, Bélgica, Brasil, Emiratos Árabes, España, Estados Unidos, Francia, India, Italia, Japón, Malasia, Reino Unido, Rusia, Singapur, Sudáfrica y Suecia. Logicalis Now - Marzo

14 SEGURIDAD Cómo conseguir el éxito en el armado de una Política de BYOD Por Christian Hisas, Business Development Manager Logicalis Southern Cone Las empresas reconocen que los dispositivos móviles son importantes para asegurar el éxito y muchas ya han realizado gastos para adquirir y asegurar estos dispositivos. Sin embargo, los empleados insisten en usar sus propios aparatos para almacenar y procesar datos del empleador y conectarse a sus redes. A continuación, exponemos los principales puntos de seguridad que una organización debe tener en cuenta. Christian Hisas, Business Development Manager Logicalis Southern Cone La increíble variedad de opciones de dispositivos puede ser desorientadora. Smartphones, tablets, laptops, netbooks y computadoras de escritorio se encuentran entre las opciones de dispositivo que un empleado tiene estos días. Al mismo tiempo, las organizaciones han reconocido que los dispositivos móviles son cruciales para su propio éxito y muchas han incurrido en gastos significativos para adquirir y asegurar estos dispositivos. Sin embargo, los empleados están demandando, cada vez más, utilizar dispositivos personales para almacenar y procesar los datos de su empleador y conectarse a sus redes. Las razones para ello van desde evitar la necesidad de llevar y administrar varios dispositivos hasta el deseo de utilizar el último disponible en el mercado actual logrando una mayor eficacia. Esta tendencia se conoce como "COIT" ( La consumerización de la tecnología de la información ") o Bring Your Own Device (BYOD). Algunas organizaciones creen que BYOD les permitirá evitar costos significativos de hardware, software y soporte de TI. Aunque la reducción de costos no es la meta, la mayoría de las empresas consideran que el procesamiento de datos de la compañía en los dispositivos personales de los empleados es inevitable e ineludible. Desafortunadamente, BYOD aumenta la pérdida de datos importantes y los problemas de privacidad, que pueden conducir a un riesgo potencial de responsabilidad legal. Así, muchas empresas han tenido que ponerse al día para controlar estos riesgos. A continuación, vamos a identificar y analizar los aspectos legales claves de la 14 Marzo Logicalis Now

15 privacidad y seguridad relacionados con BYOD: seguridad razonable, implicancia de BYOD en la privacidad, respuestas a incidentes e investigaciones. BYOD: "seguridad razonable" Las organizaciones que implementan una estrategia BYOD necesitan explorar el concepto de seguridad razonable para los dispositivos informáticos personales respecto al cuidado, custodia y control de sus empleados y contratistas. En este contexto existen importantes desafíos de seguridad, y la mayoría de ellos surgen debido a la falta de control de las empresas sobre los dispositivos de sus empleados. Tomemos el ejemplo una laptop, propiedad de la empresa concedida a un empleado. Cuando se trata de seguridad, la empresa puede: Determinar y limitar el tipo de dispositivos que se pueden utilizar Implementar los requisitos mínimos del sistema y configuraciones Instalar software relacionado con la seguridad en el dispositivo Cifrar los datos de la empresa en el dispositivo Aplicar los parches de seguridad Controlar el uso del dispositivo para detectar el mal uso, la piratería o malware Dictar la forma en que el dispositivo se conecta a la red de la empresa Instalar y actualizar software antivirus Logicalis Now - Marzo

16 SEGURIDAD Proporcionar soporte para el dispositivo y obtener/acceder al dispositivo para los fines de una investigación (porque la empresa es propietaria del dispositivo). Cuando se trata de dispositivos personales de los empleados, las organizaciones pierden parcial o totalmente la capacidad para llevar a cabo estas acciones o a menudo confían a sus empleados la protección de sus dispositivos. De esta forma, las empresas pierden la coherencia, la escalabilidad y la eficiencia que disfrutan cuando son dueños de su hardware, el control de sus datos y pueden dictar y escalar su infraestructura de TI y seguridad de la información. Por otra parte y en la medida que los empleados de una empresa sean incapaces o no estén dispuestos a implementar controles de seguridad particulares, la organización puede estar aumentando su riesgo de seguridad. Esto también puede incrementar el riesgo legal y de responsabilidad relacionada con la seguridad. Las instituciones participan en complejos procesos de toma de decisiones al asegurar sus sistemas y datos sensibles a los fines de mantener la seguridad razonable y defendible legalmente. El resultado final es un conjunto de controles técnicos, administrativos y físicos (por lo general se refleja en un programa de seguridad escrito), que la organización determina que es suficiente para reducir su riesgo de seguridad a un nivel apropiado. El fracaso de una organización para cumplir con su programa de seguridad personal es un factor clave que puede (y será) utilizado por abogados de los demandantes o los reguladores para argumentar a favor de la responsabilidad después de un fallo de seguridad. Esto presenta un serio problema en el contexto BYOD. Por ejemplo, supongamos que una organización aplica como estándar de seguridad móvil el cifrado de todos los datos sensibles en dispositivos informáticos propiedad de la empresa, pero en aquellos dispositivos personales (BYOD) no está logrando aplicar esta norma. Si el dispositivo personal del empleado es hackeado y los datos confidenciales (no cifrados) robados, probablemente será utilizado para argumentar que la empresa no implementó seguridad razonable. Para reducir el riesgo de responsabilidad legal, las empresas que aplican una estrategia BYOD necesitan analizar cuidadosamente sus políticas de seguridad existentes para determinar cómo se relacionan y afectan el uso que sus empleados hacen de sus dispositivos personales para fines comerciales. Algunas de estas políticas son: seguridad de dispositivos móviles, contraseñas, directivas de cifrado, clasificación de datos, uso aceptable, software antivirus, acceso inalámbrico, trabajo remoto, privacidad y otros. Las políticas de una empresa requieren ciertas medidas de seguridad y se debería determinar si es posible hacer coincidir esas medidas para los dispositivos personales. Si no hay coincidencia, las organizaciones deben estar dispuestas a explicar por qué, a pesar del incumplimiento de las directivas que se aplican a los dispositivos similares, la seguridad del dispositivo personal de un empleado es todavía razonable. Puede haber diferencias razonables entre dispositivos de la compañía y aquellos pertenecientes a los empleados. Ambos pueden estar asegurados, incluso si la metodología no es la misma. Ajustes adicionales en los dispo- 16 Marzo Logicalis Now

17 sitivos personales pueden compensar la falta de controles necesarios en las políticas de la empresa. Por ejemplo, algunas empresas están exigiendo a los colaboradores ciertos requerimientos adicionales de seguridad para instalar software en sus dispositivos personales. Tal vez un conjunto menor de los controles es adecuado en los casos donde se prohíbe el almacenamiento de datos confidenciales en dispositivos personales (por la política o de otra manera). En cualquier caso, para cualquier aplicación BYOD, es importante investigar las posibles incoherencias y racionalizar por qué esas diferencias no equivalen a seguridad razonable en los dispositivos personales. Este proceso en última instancia se traduce en una política de dispositivo de uso personal que refleje las concesiones de seguridad y los requisitos que surgen de este análisis. BYOD y privacidad de los empleados La naturaleza misma de BYOD destaca los desafíos sobre la privacidad del empleado en cuestión. Los empleados y contratistas de las organizaciones, al utilizar los mismos dispositivos para el trabajo y quehaceres personales, están haciendo coexistir una serie de actividades privadas y de contenido, incluyendo el historial de navegación Web, correos electrónicos personales, fotos, historiales de chat, información de identificación personal, la música, las películas, el software, los nombres de usuario y contraseñas y números de cuentas financieras con información corporativa. Ya hemos visto un efecto significativo de la actividad legal en relación a las expectativas sobre la privacidad de un empleado cuando utiliza un dispositivo de la empresa con motivos personales. Otra clave relacionada con la privacidad se refiere a las investigaciones que involucran dispositivos personales. Si una imagen del disco duro de un dispositivo es necesaria para la investigación de una violación de seguridad o con fines de e-discovery, los datos capturados es probable que incluyan información privada y personal del empleado. Las organizaciones pueden tratar de limitar el alcance de una investigación o de captura de datos personales referentes a un producto, pero si ocurre una falla al conservar los datos que pueden ser pruebas en litigios, podrían enfrentar problemas de expoliación en los tribunales o perder información clave necesaria para una investigación o restauración de un incumplimiento. Cómo juega la privacidad en un contexto BYOD? Una vez más, se trata de ver cómo una organización monitorea el comportamiento de sus empleados en el uso de dispositivos informáticos propiedad de la organización. Para los dispositivos emitidos siderar cuidadosamente sus objetivos En resumen, las empresas deben con- por la compañía, la supervisión adicional de uso puede ocurrir a nivel que sus empleados hacen de sus pro- cuando se trata de supervisar el uso de dispositivo. Sin embargo, cuando pios recursos y equilibrar estos objetivos en contra de estas preocupacio- se trata de dispositivos personales, se sabe que las actividades personales y nes sobre la privacidad y las posibles privadas son propensas a tener lugar limitaciones legales. Asimismo deben en el dispositivo, y por razones de hacer que sus empleados tomen conciencia de la privacidad trade-offs y las privacidad, los mismos tipos de control pueden no ser apropiados. expectativas razonables de privacidad» Logicalis Now - Marzo

18 SEGURIDAD relacionadas con el uso de un dispositivo personal para el trabajo. Hay que tener en cuenta que las expectativas de privacidad en este contexto pueden ser mayores debido a que un dispositivo personal está en juego y esto debe ser tenido en cuenta por las empresas que consideran una estrategia BYOD e informar a sus empleados sobre cuestiones relacionadas con la privacidad. Si el monitoreo o investigación es necesaria, las organizaciones deben esforzarse en buscar la manera de minimizar la exposición potencial de la información personal y privada. Respuesta a Incidentes BYOD e Investigaciones BYOD plantea retos importantes relacionados con la respuesta a incidentes y las investigaciones que se refieren al impacto de la privacidad, la seguridad y los aspectos legales. Dado que cada empleado posee y poseerá sus dispositivos personales, cuando algo va mal puede ser difícil obtener en realidad el acceso o la posesión del dispositivo. Esto puede ser especialmente cierto cuando el propio trabajador es objeto de una investigación. Si la recopilación de datos y la preservación son necesarias, la incapacidad de acceder y poseer un dispositivo físico puede ser extremadamente perjudicial. Por ejemplo, si una organización no es capaz de conservar los datos que pueden constituir evidencia en litigio, podría enfrentarse a sanciones judiciales. Esto también puede causar problemas a los propios individuos que probablemente (al menos temporalmente) no puedan utilizar su dispositivo personal mientras se está investigando. Además, como se mencionó anteriormente, la captura de datos e imágenes de los discos duros relacionados con los dispositivos personales implica posibles problemas de privacidad. En el desarrollo de sus estrategias de BYOD, las empresas necesitan desarrollar procedimientos de respuesta a incidentes e informar a sus empleados de dichos procedimientos. Más allá de las investigaciones, por razones de seguridad, algunas organizaciones desean habilitar borrado remoto, brickear y bloqueo de dispositivos personales que se han perdido o se han dañado. Esto también puede plantear problemas. En primer lugar, puede ser necesario tener que instalar determinado software para los dispositivos personales o configurarlos de una manera determinada 18 Marzo Logicalis Now

19 para permitir el borrado a distancia, brickear y bloqueo. Los empleados deben ser notificados de estos requisitos y es necesario el consentimiento de ellos. En segundo lugar, el borrado, brickeo o bloqueo de un dispositivo podría dañar los datos personales que residen en dicho aparato. Si un dispositivo es borrado de forma remota para eliminar información sensible de la compañía, también podría acabar borrando mensajes de correo electrónico personales del empleado, fotos, vídeos y software. Una vez más, los empleados deben ser notificados de que el daño o pérdida de datos son posibilidades que pueden existir ante un borrado (Wipe) si se utiliza el dispositivo personal por motivos de trabajo. Además, deben firmar un documento de consentimiento de dichas actividades con la organización que deje en claro la responsabilidad ante cualquier daño, pérdida de uso o pérdida de datos. Todo esto debe reflejarse en la política de dispositivos personales de la organización, uso y exenciones que acompañan a los formularios de consentimiento. Conclusión Con demasiada frecuencia, las empresas que consideran una política BYOD encuentran que sus empleados ya están utilizando sus dispositivos personales para fines laborales y para almacenar información sensible. Esto hace que sea más difícil manejar estos temas de una manera deliberada y establecer políticas que aborden la seguridad, la privacidad y los riesgos legales asociados con BYOD. Sin embargo, las implicancias legales de BYOD deben ser cui- dadosamente consideradas en el uso de un enfoque multi-disciplinario (por ejemplo, legal, seguridad, privacidad, informática, gestión de riesgos, etc). El resultado final debe ser una política de dispositivos para uso personal que se ocupa de los distintos riesgos y logra un equilibrio de trabajo para la organización. Otra de las claves, debido a la naturaleza personal de los dispositivos en este contexto, es informar, educar y capacitar a los empleados sobre los riesgos que conlleva a la privacidad, seguridad y los incidentes de la utilización de su propio dispositivo por motivos de trabajo. A través de estas cuestiones se puede ayudar a reducir el riesgo y la responsabilidad legal que las empresas puedan enfrentar. Logicalis Now - Marzo

20 ANEXO Cómo planificar una política exitosa? A continuación, exponemos las fases a seguir para implementar Bring Your Own Device (BYOD) a nivel corporativo: FASE I: Desarrollo de la Política FASE II: Análisis de Riesgos y Plan de Tratamiento de Riesgos FASE III: Formación y Concienciación En esta ocasión nos centraremos en el Desarrollo de la Política (FASE I), la cual podemos implementar mediante las siguientes sub-fases: FASE I.1: Análisis de Requerimientos a. Usuarios y dispositivos incluidos en el alcance del control de accesos. b. Reglas a fijar en el control de accesos. c. Método de registro de usuarios. d. Método de administración de contraseñas de usuario. e. Responsabilidades del usuario. f. Servicios de red permitidos. g. Método de autenticación de usuarios para conexiones externas. h. Aplicaciones incluidas en el alcance del control de accesos. FASE I.2: Desarrollo Normativo a. Desarrollo de Cuerpo Normativo inicial. b. Revisión de Aspectos Legales. c. Revisión de Aspectos de Recursos Humanos. d. Revisión de Aspectos Organizativos y Tecnológicos. e. Revisión por parte de Dirección. FASE I.3: Desarrollo Organizativo a. Aprobación de la Política por el Comité de Seguridad. b. Publicación de la Política. c. Comunicación de la Política. Imaginemos que deseamos implementar una Política BYOD para Smartphones (BB, ios y Android) para acceder a los recursos corporativos de la extranet, correo y SAP mediante la WiFi y la VPN Corporativa. A continuación se muestra un ejemplo de Política: POLITICA BRING-YOUR-OWN- DEVICE (BYOD) SMARTPHONES I. POLÍTICA La presente Política deriva de la Política de Uso Aceptable de los Sistemas de Información y pretende asegurar la confidencialidad, disponibilidad e integridad de la información corporativa que se acceda desde dispositivos Smartphone personales. Se permitirá a los usuarios corporativos que justifiquen su necesidad por motivos de negocio usar el Smartphone personal para acceder a la extranet, al correo y al SAP corporativo. Están permitidos los dispositivos con ios, Android y BlackBerry. Los accesos se harán internamente mediante la WIFI corporativa y externamente mediante la VPN corporativa. No se permitirá el uso de dispositivos personales sin contraseña de usuario. Se forzará el cifrado la información corporativa almacenada en el dispositivo. Se forzará un canal seguro para establecer la conexión de correo. Se distribuirán los parámetros asociados a la VPN y conexión a 20 Marzo Logicalis Now