¿Qué es bring your own device (BYOD)?

BYOD surgió con el debut de los teléfonos inteligentes iOS y Android a finales de la década de 2000, ya que más trabajadores preferían estos dispositivos a los teléfonos móviles estándar emitidos por la empresa. El auge de los acuerdos de trabajo remoto e híbrido, junto con la creciente integración de las redes corporativas con proveedores y contratistas, aceleró la necesidad de que las políticas BYOD se extendieran más allá de los teléfonos inteligentes.

Más recientemente, la pandemia de COVID-19, junto con la escasez de chips y las interrupciones de la cadena de suministro, obligaron a muchas organizaciones a adoptar políticas BYOD. Este enfoque permitió a los nuevos empleados continuar trabajando mientras esperaban un dispositivo proporcionado por la empresa.

Por lo general, elaborada por el director de sistemas de información (CIO) y otros responsables de la toma de decisiones de TI de alto nivel, una política BYOD define los términos bajo los cuales se pueden usar los dispositivos propiedad de los empleados en el trabajo. También establece las políticas de seguridad que los usuarios finales deben observar mientras los utilizan.

Si bien los detalles de una política BYOD varían según los objetivos de la estrategia BYOD de una organización, la mayoría de las políticas de dispositivos definen alguna variación de estos elementos:

Uso aceptable: las políticas BYOD suelen describir cómo y cuándo los empleados pueden usar dispositivos personales para tareas relacionadas con el trabajo. Por ejemplo, las directrices de uso aceptable pueden incluir información sobre la conexión segura a los recursos corporativos a través de una red privada virtual (VPN) y una lista de aplicaciones aprobadas relacionadas con el trabajo.

Las políticas de uso aceptable suelen especificar cómo se deben manejar, almacenar y transmitir los datos confidenciales de la empresa mediante los dispositivos propiedad de los empleados. En su caso, las políticas BYOD también pueden incluir políticas de seguridad y retención de datos que cumplan con regulaciones, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Ley Sarbanes-Oxleyy el Reglamento General de Protección de Datos (RGPD).

Dispositivos permitidos: una política BYOD puede describir los tipos de dispositivos personales que los empleados pueden usar para fines laborales y las especificaciones relevantes del dispositivo, como la versión mínima del sistema operativo.

Medidas de seguridad: las políticas BYOD suelen establecer estándares de seguridad para los dispositivos de los empleados. Estas medidas pueden incluir requisitos mínimos de contraseña y políticas de autenticación de dos factores, protocolos para realizar copias de seguridad de información confidencial y procedimientos a seguir cuando un dispositivo se pierde o lo roban. Las medidas de seguridad también pueden especificar el software de seguridad que los empleados deben instalar en sus dispositivos, como las herramientas gestión de dispositivos móviles (MDM) o gestión de aplicaciones móviles (MAM). Estas soluciones de seguridad BYOD se analizan con más detalle más adelante.

Privacidad y licencias: las políticas BYOD suelen describir los pasos que tomará el departamento de TI para respetar la privacidad de los empleados en sus dispositivos, incluida la forma en que la organización mantendrá la separación entre los datos personales de los empleados y los datos corporativos. La política también puede detallar los permisos específicos que el departamento de TI necesita en el dispositivo de cada empleado, incluido cierto software que quizá deba instalar y aplicaciones que pueda necesitar controlar.

Reembolso: si la empresa reembolsa a los empleados por el uso de sus dispositivos personales, por ejemplo, ofreciendo un estipendio para la compra de dispositivos o subsidiando planes de Internet o datos móviles, una política BYOD describe cómo se maneja el reembolso. También especifica las cantidades que los empleados pueden recibir.

Soporte informático: la política BYOD puede especificar hasta qué punto el departamento informático de una empresa estará (o no) disponible para ayudar a los empleados a solucionar problemas con dispositivos personales averiados o que no funcionen correctamente.

Baja: por último, las políticas BYOD suelen describir los pasos a seguir si un empleado deja la empresa o cancela la inscripción de su dispositivo en el programa BYOD. Estos procedimientos de salida a menudo incluyen planes para eliminar datos corporativos confidenciales del dispositivo, revocar el acceso del dispositivo a los recursos de red y desmantelar la cuenta del usuario o del dispositivo.

Los programas BYOD plantean problemas de seguridad de los dispositivos que los departamentos de TI no suelen encontrar, o encuentran en menor grado, con los dispositivos proporcionados por la empresa. Las vulnerabilidades de hardware o sistema en los dispositivos de los empleados podrían ampliar la superficie de ataque de la empresa, otorgando a los hackers nuevas formas de vulnerar la red de la empresa y acceder a datos confidenciales. Los empleados pueden tener comportamientos más riesgosos de navegación, correo electrónico o mensajería en dispositivos personales de los que se atreverían con un dispositivo proporcionado por la empresa. El malware que infecta la computadora de un empleado debido al uso personal podría extenderse fácilmente a la red corporativa.

Con los dispositivos proporcionados por la empresa, TI puede evitar estos problemas y otros similares monitoreando y gestionando directamente los ajustes, configuraciones, software de aplicación y permisos de los dispositivos. Pero es improbable que los equipos de seguridad informática tengan el mismo control sobre los dispositivos personales de los empleados, y estos probablemente se irritarían ante ese nivel de control. Con el tiempo, las empresas han recurrido a otras tecnologías para mitigar los riesgos de seguridad BYOD.

Los escritorios virtuales, también conocidos como infraestructura de escritorio virtual (VDI) o escritorio como servicio (DaaS), son instancias informáticas de escritorio totalmente aprovisionadas que se ejecutan en máquinas virtuales alojadas en servidores remotos. Los empleados acceden a estos escritorios y esencialmente los ejecutan de forma remota desde sus dispositivos personales, generalmente a través de una conexión cifrada o VPN.

Con un escritorio virtual, todo sucede en el otro extremo de la conexión (no se instalan aplicaciones en el dispositivo personal y no se procesan ni almacenan datos de la empresa en el dispositivo personal), lo que elimina eficazmente la mayoría de los problemas de seguridad relacionados con los dispositivos personales. Pero los escritorios virtuales pueden ser costosos de desplegar y administrar porque dependen de la conexión a Internet, por lo que los empleados no pueden trabajar sin conexión.

El software como servicio (SaaS) basado en la nube puede proporcionar un beneficio de seguridad similar con menos gastos generales de administración, pero también con un control ligeramente menor sobre el comportamiento del usuario final.

Antes de BYOD, las organizaciones gestionaban los dispositivos móviles proporcionados por la empresa mediante el software de gestión de dispositivos móviles (MDM). Las herramientas MDM brindan a los administradores un control total sobre los dispositivos: pueden aplicar políticas de cifrado de datos e inicio de sesión, instalar aplicaciones empresariales, enviar actualizaciones de aplicaciones, rastrear la ubicación del dispositivo y bloquear o borrar un dispositivo si se pierde, se lo roban o se ve comprometido de alguna manera.

La MDM era una solución de gestión móvil aceptable hasta que los empleados comenzaron a usar sus propios teléfonos inteligentes en el trabajo y rápidamente se molestaron ante la idea de otorgar a los equipos de TI este nivel de control sobre sus dispositivos, aplicaciones y datos personales. Desde entonces, surgieron nuevas soluciones de gestión de dispositivos a medida que los usuarios de dispositivos personales y los estilos de trabajo de los empleados cambiaron:

Gestión de aplicaciones móviles (MAM): en lugar de controlar el dispositivo en sí, la MAM se centra en la gestión de aplicaciones, lo que otorga a los administradores de TI el control solo sobre las aplicaciones y los datos corporativos. A menudo, la MAM logra esto a través de la contenedorización, la creación de enclaves seguros para datos y aplicaciones comerciales en dispositivos personales. La contenedorización proporciona al departamento de TI un control completo sobre las aplicaciones, los datos y la funcionalidad del dispositivo dentro del contenedor, pero no puede tocar ni ver los datos personales del empleado ni la actividad del dispositivo más allá del contenedor.

Gestión de la movilidad empresarial (EMM): a medida que la participación en BYOD crecía y se extendía más allá de los teléfonos inteligentes a las tabletas, y del SO Blackberry y Apple iOS a Android, la MAM tuvo dificultades para mantenerse al día con todos los nuevos dispositivos propiedad de los empleados que se introducían en las redes corporativas. Las herramientas de gestión de la movilidad empresarial (EMM) pronto surgieron para resolver este problema. Las herramientas de EMM combinan la funcionalidad de MDM, MAM y gestión de identidad y acceso (IAM), proporcionando a los departamentos de TI una vista de plataforma única y un solo panel de todos los dispositivos celulares personales y de propiedad de la empresa en toda la red.

Gestión unificada endpoint (UEM): el único inconveniente de la gestión de movilidad empresarial (EMM) era que no podía gestionar computadoras Microsoft Windows, Apple MacOS y Google Chromebook, lo cual era un problema, ya que BYOD necesitaba expandirse para incluir a empleados y terceros que trabajaban de forma remota utilizando sus propias PC. Las plataformas UEM surgieron para cerrar esta brecha, reuniendo la gestión de dispositivos móviles, computadoras portátiles y de escritorio en una única plataforma. Con la UEM, los departamentos de TI pueden gestionar herramientas, políticas y flujos de trabajo de seguridad de TI para todo tipo de dispositivos, ejecutando cualquier sistema operativo, independientemente de dónde se conecten.

Los beneficios de BYOD citados con más frecuencia para la organización son:

• Ahorro de costos y reducción de la carga administrativa de TI: el empleador ya no es responsable de comprar y aprovisionar dispositivos para todos los empleados. Para las empresas que pueden implementar y gestionar con éxito BYOD para la mayoría o todos los empleados, estos ahorros pueden ser considerables.
  
  
• Incorporación más rápida de nuevos empleados: los empleados ya no necesitan esperar a que un dispositivo proporcionado por la empresa comience a trabajar en tareas relacionadas con el puesto. Esto fue especialmente relevante durante la reciente escasez de chips y otras interrupciones de la cadena de suministro, que pueden impedir que una empresa proporcione computadoras a los empleados a tiempo para comenzar a trabajar.
  
  
• Mejora de la satisfacción y la productividad de los empleados: algunos empleados prefieren trabajar con sus propios dispositivos, que les resultan más familiares o capaces que el equipamiento proporcionado por la empresa.

Estos y otros beneficios de BYOD pueden contrarrestarse con desafíos y concesiones para empleados y empleadores:

• Preocupaciones por la privacidad de los empleados: los empleados pueden preocuparse por la visibilidad de sus datos personales y su actividad. También pueden sentirse incómodos instalando software exigido por TI en sus dispositivos personales.
  
  
• Grupos de candidatos limitados, preocupaciones de inclusión: si BYOD es obligatorio, las personas que no pueden pagar o no poseen dispositivos personales adecuados podrían ser eliminadas de la consideración. Algunas personas también pueden preferir no trabajar para una organización que les exija usar su computadora personal, ya sea que el empleador les reembolse o no.
  
  
• Riesgos de seguridad restantes: incluso con soluciones de seguridad BYOD y gestión de dispositivos implementadas, es posible que los empleados no siempre se adhieran a las mejores prácticas de ciberseguridad, como una buena higiene de contraseñas y seguridad de dispositivos físicos en sus dispositivos personales, abriendo la puerta a hackers, malware y filtraciones de datos.
  
  
• Cuestiones de cumplimiento normativo: los empleadores de los sectores de atención médica, financiero, gubernamental y otros altamente regulados pueden no ser capaces de implementar BYOD para algunos empleados o para ninguno debido a las estrictas regulaciones y costosas sanciones que rodean el manejo de información sensible.