La política BYOD, elaborada normalmente por el director de sistemas de información (CIO) y otros responsables de TI de alto nivel, define las condiciones en las que los dispositivos propiedad de los empleados pueden utilizarse en el trabajo y las políticas de seguridad que los usuarios finales deben observar al utilizarlos.

Aunque los detalles específicos de una política BYOD variarán en función de los objetivos de la estrategia BYOD de una organización, la mayoría de las políticas de dispositivos definen alguna variación de lo siguiente:

Uso aceptable: las políticas de BYOD suelen describir cómo y cuándo los empleados pueden utilizar los dispositivos personales para tareas relacionadas con el trabajo. Por ejemplo, las directrices de uso aceptable pueden incluir información sobre cómo conectarse de forma segura a los recursos corporativos mediante una red privada virtual (VPN) y una lista de aplicaciones aprobadas relacionadas con el trabajo.

Las políticas de uso aceptable suelen especificar cómo se deben manejar, almacenar y transmitir los datos confidenciales de la empresa mediante dispositivos propiedad de los empleados. En su caso, las políticas BYOD también pueden incluir políticas de seguridad y retención de datos que cumplan con regulaciones como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Ley Sarbanes-Oxley y el Reglamento General de Protección de Datos ( RGPD).

Dispositivos permitidos: una política de BYOD puede describir los tipos de dispositivos personales que los empleados pueden utilizar para trabajar y las especificaciones pertinentes del dispositivo, como la versión mínima del sistema operativo.

Medidas de seguridad: las políticas BYOD suelen establecer estándares de seguridad para los dispositivos de los empleados. Estos pueden incluir requisitos mínimos de contraseña y políticas de autenticación de dos factores, protocolos para hacer copias de seguridad de información confidencial y procedimientos a seguir si un dispositivo se pierde o es robado. Las medidas de seguridad también pueden especificar el software de seguridad que los empleados deben instalar en sus dispositivos, como las herramientas de gestión de dispositivos móviles (MDM) o de gestión de aplicaciones móviles (MAM). Estas soluciones de seguridad BYOD se describen con más detalle a continuación.

Privacidad y permisos: las políticas de BYOD suelen describir las medidas que el departamento de TI tomará para respetar la privacidad de los empleados en sus dispositivos, incluida la forma en la que la organización mantendrá la separación entre los datos personales de los empleados y los datos corporativos. La política también puede detallar los permisos específicos que el departamento de TI necesita en el dispositivo del empleado, incluido cierto software que puede necesitar instalar y aplicaciones que puede necesitar controlar.

Reembolso: si la empresa reembolsa a los empleados por el uso de sus dispositivos personales, por ejemplo, mediante la oferta de un estipendio para la compra de dispositivos o la subvención de los planes de Internet o datos móviles, una política de BYOD describirá la forma en que se gestiona el reembolso y los importes que pueden recibir los empleados.

Soporte de TI: la política de BYOD puede especificar hasta qué punto el departamento de TI de la empresa estará (o no) disponible para ayudar a los empleados a solucionar problemas de dispositivos personales rotos o que funcionen mal.

Desincorporación: por último, las políticas de BYOD suelen describir los pasos a seguir si un empleado deja la empresa o cancela la inscripción de su dispositivo en el programa BYOD. Estos procedimientos de salida a menudo incluyen planes para eliminar datos corporativos confidenciales del dispositivo, revocar el acceso del dispositivo a los recursos de red y retirar la cuenta de usuario o dispositivo. 

Los programas BYOD plantean cuestiones de seguridad de los dispositivos que a los departamentos de TI no les suelen surgir —o lo hacen en menor medida— con los dispositivos proporcionados por la empresa. Las vulnerabilidades de hardware o del sistema en los dispositivos de los empleados pueden suponer una ampliación de la superficie de ataque de la compañía y proporcionar a los hackers nuevas formas de vulnerar la red de la compañía y acceder a datos confidenciales. En sus dispositivos personales, los empleados pueden atreverse a realizar actividades de navegación, correo electrónico o mensajería de mayor riesgo que en los dispositivos de la empresa. Si el sistema de un empleado se infecta con malware debido a un uso personal, este se puede dispersar fácilmente por la red corporativa.

Con los dispositivos proporcionados por la empresa, el departamento de TI puede evitar estos y otros problemas similares mediante la supervisión directa y la gestión de los valores, las configuraciones, el software de aplicación y los permisos de los dispositivos. Sin embargo, es poco probable que los equipos de seguridad de TI tengan el mismo control sobre los dispositivos personales de los empleados, a quienes seguramente irritaría tal nivel de control. A lo largo del tiempo, las empresas han recurrido a diversas tecnologías para mitigar los riesgos de seguridad de BYOD.

Escritorios virtuales

Los escritorios virtuales —también denominados infraestructura de escritorio virtual o escritorio como servicio (VDI y DaaS respectivamente, por sus siglas en inglés)— son instancias informáticas de escritorio totalmente suministradas que se ejecutan en máquinas virtuales alojadas en servidores remotos. Los empleados acceden a estos escritorios y, básicamente, los ejecutan de forma remota desde sus dispositivos personales, por lo general mediante una conexión cifrada o una VPN.

Con un escritorio virtual, todo sucede en el otro extremo de la conexión —no se instalan aplicaciones en el dispositivo personal y no se procesan ni almacenan datos de la compañía en el dispositivo personal—, de modo que, en la práctica, se elimina la importancia de las cuestiones de seguridad relacionadas con los dispositivos personales. No obstante, los escritorios virtuales pueden ser caros de desplegar y gestionar, porque dependen de una conexión a Internet, y no hay forma de que los empleados trabajen fuera de línea.

El software como servicio (SaaS, por sus siglas en inglés) basado en cloud puede proporcionar ventajas similares de seguridad con una menor sobrecarga de gestión, pero también con menos control sobre el comportamiento del usuario final.

Soluciones de gestión de dispositivos

Antes de BYOD, las organizaciones gestionaban los dispositivo móviles facilitados por la empresa mediante software de gestión de dispositivos móviles (MDM). Las herramientas de MDM otorgan a los administradores un control total sobre los dispositivos; pueden imponer políticas de inicio de sesión y cifrado de datos, instalar aplicaciones empresariales, enviar por push actualizaciones de aplicaciones, realizar un seguimiento de la ubicación de los dispositivos y bloquear y/o limpiar un dispositivo si se ha perdido, ha sido robado o ha quedado comprometido de cualquier otro modo.

La MDM era una solución de gestión móvil aceptable hasta que los empleados comenzaron a usar sus propios smartphones en el trabajo y se mostraron reacios a otorgar a los equipos de TI este nivel de control sobre sus dispositivos personales, aplicaciones y datos. Desde entonces, han surgido nuevas soluciones de gestión de dispositivos a medida que han ido cambiando los estilos de trabajo de los empleados y los usuarios de dispositivos personales:

Gestión de aplicaciones móviles (MAM): en lugar de controlar el propio dispositivo, MAM se centra en la gestión de las aplicaciones, y otorga a los administradores de TI control sobre las aplicaciones y los datos únicamente. Para ello, MAM suele hacer uso de la contenerización, que es la creación de enclaves seguros para los datos y las aplicaciones de negocio en dispositivos personales. Esta contenerización aporta a TI un control total sobre las aplicaciones, los datos y la funcionalidad del dispositivo dentro del contenedor, pero evita que se puedan tocar, e incluso ver, los datos personales o la actividad del dispositivo del empleado más allá del contenedor.

Gestión de movilidad empresarial (EMM, por sus siglas en inglés): con el aumento de la participación en BYOD y su ampliación de smartphones a tablets —y del sistema operativo Blackberry y Apple iOS a Android— , empezó a resultar complicado gestionar con MAM todos los nuevos dispositivos propiedad de los empleados que se estaban introduciendo en las redes corporativas. Pronto surgieron herramientas de gestión de movilidad empresarial (EMM) para solucionar este problema. Las herramientas EMM combinan la funcionalidad de MDM, MAM y gestión de identidad y acceso (IAM, por sus siglas en inglés), y proporcionan a los departamentos de TI una plataforma única, una versión de un solo panel de todos los dispositivos móviles personales y propiedad de la empresa de toda la red.

Gestión unificada de puntos finales (UEM, por sus siglas en inglés). La única desventaja de la EMM era que no podía gestionar sistemas Microsoft Windows, Apple MacOS y Google Chromebook, lo cual era un problema, ya que se debía ampliar BYOD para incluir a empleados y terceras partes que trabajaban en remoto usando sus propios PC. Las plataformas de UEM surgieron para resolver esta carencia, y combinaron la gestión de dispositivos móviles, portátiles y locales en una única plataforma. Gracias a la UEM, los departamentos de TI pueden gestionar herramientas, políticas y flujos de trabajo de seguridad de TI para todo tipo de dispositivos, con cualquier sistema operativo, sin importar el origen de la conexión.

Los beneficios más citados de BYOD para la organización son:

• Ahorro de costes y reducción de la carga administrativa de TI: el empleador ya no es responsable de la compra y el aprovisionamiento de los dispositivos para todos los empleados. Para las empresas que son capaces de implementar y gestionar correctamente el BYOD para la mayoría o todos los empleados, estos ahorros pueden ser considerables.
  
  
• Incorporación más rápida de nuevos empleados: los empleados ya no necesitan esperar a que un dispositivo proporcionado por la empresa comience a trabajar en tareas relacionadas con el trabajo. Esto ha sido especialmente relevante durante la reciente escasez de chips y otras interrupciones de la cadena de suministro, que pueden impedir que una empresa proporcione ordenadores a sus empleados a tiempo para empezar a trabajar.
  
  
• Mejora de la satisfacción y la productividad de los empleados: algunos empleados prefieren trabajar con sus propios dispositivos, que les resultan más familiares o capaces que los equipos de la empresa.

Estas y otras ventajas del BYOD pueden verse contrarrestadas por retos y compensaciones para empleados y empresarios:

• Preocupaciones sobre la privacidad de los empleados: los empleados pueden preocuparse por la visibilidad de sus datos personales y su actividad. También pueden sentirse incómodos al instalar el software exigido por el TI en sus dispositivos personales.
  
  
• Grupos de candidatos limitados, preocupaciones de inclusión: si BYOD es obligatorio, las personas que no puedan permitirse o no posean dispositivos personales adecuados pueden dejar de ser consideradas. Además, es posible que algunas personas prefieran no trabajar para una organización que les exija usar su ordenador personal, tanto si el empleador les reembolse o no.
  
  
• Riesgos de seguridad persistentes: incluso con las soluciones de seguridad BYOD y de gestión de dispositivos implantadas, es posible que los empleados no siempre se adhieran a las mejores prácticas de ciberseguridad, como una buena higiene de contraseñas y la seguridad física de los dispositivos en sus dispositivos personales, lo que abre la puerta a los piratas informáticos, el malware y las vulneraciones de datos.
  
  
• Cuestiones de cumplimiento normativo: es posible que los empleadores de los sectores sanitario, financiero, gubernamental y otros sectores muy regulados no puedan implementar BYOD para algunos o ningún empleado debido a las estrictas normativas y costosas sanciones que rodean el manejo de información sensible.