Las políticas BYOD, que suelen estar elaboradas por el CIO y otros responsables de tomar decisiones de TI de alto nivel, definen los términos bajo los cuales los dispositivos propiedad de los empleados se pueden usar en el trabajo, y las políticas de seguridad que deben cumplir los usuarios finales al utilizarlos.

Aunque los detalles específicos de las políticas BYOD varían en función de los objetivos de la estrategia BYOD de la organización, en la mayoría de las políticas de dispositivo se definen las disposiciones siguientes, con algunos matices:

Uso aceptable: las políticas BYOD suelen describir cómo y cuándo pueden los empleados utilizar dispositivos personales para tareas relacionadas con el trabajo. Por ejemplo, las directrices de uso aceptable pueden incluir información sobre la conexión segura a recursos corporativos a través de una red privada virtual (VPN), así como una lista de aplicaciones aprobadas de uso laboral.

Las políticas de uso aceptable suelen especificar cómo tratar, almacenar y transmitir los datos confidenciales de la compañía mediante dispositivos propiedad de los empleados. En algunos casos, las políticas BYOD también pueden incluir políticas de retención y seguridad de datos que cumplen con normativas como la Health Insurance Portability and Accountability Act (Ley de Portabilidad y Responsabilidad de Seguros Médicos) (HIPAA), la ley Sarbanes-Oxley y el Reglamento general de protección de datos (GDPR, por sus siglas en inglés).

Dispositivos permitidos: las políticas de BYOD pueden describir los tipos de dispositivos personales que los empleados pueden utilizar con fines laborales y las especificaciones pertinentes de los dispositivos, como la versión mínima requerida de sistema operativo.

Medidas de seguridad: normalmente, las políticas BYOD definen estándares de seguridad para los dispositivos de los empleados. Estos pueden incluir requisitos mínimos de contraseña y políticas de autenticación de dos factores, protocolos para copias de seguridad de información confidencial y los procedimientos que se deben seguir en caso de pérdida o robo de un dispositivo. Como parte de las medidas de seguridad, también se puede especificar software de seguridad que los empleados deben instalar en los dispositivos, como herramientas de gestión de dispositivos móviles o de gestión de aplicaciones móviles, (MDM y MAM respectivamente, por sus siglas en inglés). Estas soluciones de seguridad BYOD se analizan con más detalle a continuación.

Privacidad y permisos: por lo general, las políticas BYOD indican los pasos que va a seguir el departamento de TI para respetar la privacidad de los empleados en sus dispositivos, incluida la forma en que la organización va a separar los datos personales de los empleados y los datos corporativos. La política también puede detallar los permisos específicos que necesita el departamento de TI sobre el dispositivo del empleado, incluida la posible instalación de determinado software y el control potencial de algunas aplicaciones.

Reembolso: si la compañía ofrece a los empleados algún reintegro por el uso de sus dispositivos personales —p. ej.:, mediante alguna remuneración para la compra de dispositivos, o subvencionando los planes de datos móviles o Internet— entonces en la política BYOS se detalla cómo se va a gestionar el reembolso y qué importes pueden recibir los empleados.

Soporte de TI: las políticas BYOD pueden especificar el grado de disponibilidad del departamento de TI de la empresa para ayudar a los empleados a resolver problemas de dispositivos personales rotos o que no funcionan correctamente.

Revocación de los datos del empleado: por último, las políticas BYOD suelen describir los pasos que se deben si un empleado abandona la compañía o da de baja su dispositivo del programa BYOD. Estos procedimientos de salida a menudo incluyen planes para eliminar los datos corporativos confidenciales del dispositivo, revocar el acceso del dispositivo a los recursos de red y dar de baja la cuenta del dispositivo o el usuario. 

Los programas BYOD plantean cuestiones de seguridad de los dispositivos que a los departamentos de TI no les suelen surgir —o lo hacen en menor medida— con los dispositivos proporcionados por la empresa. Las vulnerabilidades de hardware o del sistema en los dispositivos de los empleados pueden suponer una ampliación de la superficie de ataque de la compañía y proporcionar a los hackers nuevas formas de vulnerar la red de la compañía y acceder a datos confidenciales. En sus dispositivos personales, los empleados pueden atreverse a realizar actividades de navegación, correo electrónico o mensajería de mayor riesgo que en los dispositivos de la empresa. Si el sistema de un empleado se infecta con malware debido a un uso personal, este se puede dispersar fácilmente por la red corporativa.

Con los dispositivos proporcionados por la empresa, el departamento de TI puede evitar estos y otros problemas similares mediante la supervisión directa y la gestión de los valores, las configuraciones, el software de aplicación y los permisos de los dispositivos. Sin embargo, es poco probable que los equipos de seguridad de TI tengan el mismo control sobre los dispositivos personales de los empleados, a quienes seguramente irritaría tal nivel de control. A lo largo del tiempo, las empresas han recurrido a diversas tecnologías para mitigar los riesgos de seguridad de BYOD.

Escritorios virtuales

Los escritorios virtuales —también denominados infraestructura de escritorio virtual o escritorio como servicio (VDI y DaaS respectivamente, por sus siglas en inglés)— son instancias informáticas de escritorio totalmente suministradas que se ejecutan en máquinas virtuales alojadas en servidores remotos. Los empleados acceden a estos escritorios y, básicamente, los ejecutan de forma remota desde sus dispositivos personales, por lo general mediante una conexión cifrada o una VPN.

Con un escritorio virtual, todo sucede en el otro extremo de la conexión —no se instalan aplicaciones en el dispositivo personal y no se procesan ni almacenan datos de la compañía en el dispositivo personal—, de modo que, en la práctica, se elimina la importancia de las cuestiones de seguridad relacionadas con los dispositivos personales. No obstante, los escritorios virtuales pueden ser caros de desplegar y gestionar, porque dependen de una conexión a Internet, y no hay forma de que los empleados trabajen fuera de línea.

El software como servicio (SaaS, por sus siglas en inglés) basado en cloud puede proporcionar ventajas similares de seguridad con una menor sobrecarga de gestión, pero también con menos control sobre el comportamiento del usuario final.

Soluciones de gestión de dispositivos

Antes de BYOD, las organizaciones gestionaban los dispositivo móviles facilitados por la empresa mediante software de gestión de dispositivos móviles (MDM). Las herramientas de MDM otorgan a los administradores un control total sobre los dispositivos; pueden imponer políticas de inicio de sesión y cifrado de datos, instalar aplicaciones empresariales, enviar por push actualizaciones de aplicaciones, realizar un seguimiento de la ubicación de los dispositivos y bloquear y/o limpiar un dispositivo si se ha perdido, ha sido robado o ha quedado comprometido de cualquier otro modo.

La MDM era una solución de gestión móvil aceptable hasta que los empleados comenzaron a usar sus propios smartphones en el trabajo y se mostraron reacios a otorgar a los equipos de TI este nivel de control sobre sus dispositivos personales, aplicaciones y datos. Desde entonces, han surgido nuevas soluciones de gestión de dispositivos a medida que han ido cambiando los estilos de trabajo de los empleados y los usuarios de dispositivos personales:

Gestión de aplicaciones móviles (MAM): en lugar de controlar el propio dispositivo, MAM se centra en la gestión de las aplicaciones, y otorga a los administradores de TI control sobre las aplicaciones y los datos únicamente. Para ello, MAM suele hacer uso de la contenerización, que es la creación de enclaves seguros para los datos y las aplicaciones de negocio en dispositivos personales. Esta contenerización aporta a TI un control total sobre las aplicaciones, los datos y la funcionalidad del dispositivo dentro del contenedor, pero evita que se puedan tocar, e incluso ver, los datos personales o la actividad del dispositivo del empleado más allá del contenedor.

Gestión de movilidad empresarial (EMM, por sus siglas en inglés): con el aumento de la participación en BYOD y su ampliación de smartphones a tablets —y del sistema operativo Blackberry y Apple iOS a Android— , empezó a resultar complicado gestionar con MAM todos los nuevos dispositivos propiedad de los empleados que se estaban introduciendo en las redes corporativas. Pronto surgieron herramientas de gestión de movilidad empresarial (EMM) para solucionar este problema. Las herramientas EMM combinan la funcionalidad de MDM, MAM y gestión de identidad y acceso (IAM, por sus siglas en inglés), y proporcionan a los departamentos de TI una plataforma única, una versión de un solo panel de todos los dispositivos móviles personales y propiedad de la empresa de toda la red.

Gestión unificada de puntos finales (UEM, por sus siglas en inglés). La única desventaja de la EMM era que no podía gestionar sistemas Microsoft Windows, Apple MacOS y Google Chromebook, lo cual era un problema, ya que se debía ampliar BYOD para incluir a empleados y terceras partes que trabajaban en remoto usando sus propios PC. Las plataformas de UEM surgieron para resolver esta carencia, y combinaron la gestión de dispositivos móviles, portátiles y locales en una única plataforma. Gracias a la UEM, los departamentos de TI pueden gestionar herramientas, políticas y flujos de trabajo de seguridad de TI para todo tipo de dispositivos, con cualquier sistema operativo, sin importar el origen de la conexión.

Las ventajas más habituales de BYOD para las organizaciones son:

• Ahorro de costes y reducción de la carga administrativa de TI: el empleador ya no es responsable de la compra todo y el suministro de dispositivos para todos los empleados. Para las empresas capaces de implementar y gestionar BYOD con éxito para la mayoría de los empleados o todos ellos, este ahorro puede ser considerable.
  
  
• Rápida incorporación de nuevos empleados: los empleados ya no tienen que esperar a disponer de un dispositivo proporcionado por la empresa para empezar a trabajar en tareas relacionadas con el trabajo. Este punto ha adquirido especial relevancia durante la reciente escasez de chips y otras interrupciones en la cadena de suministro, que pueden impedir que las compañías proporcionen los sistemas a los empleados a tiempo para empezar a trabajar.
  
  
• Mejora de la satisfacción y la productividad del empleado: algunos empleados prefieren trabajar con sus propios dispositivos, que les resultan más familiares o les parece que les ofrecen más capacidades que los equipos facilitados por la empresa.

Estas y otras ventajas de BYOD pueden tener ciertas contraprestaciones para empleados y empleadores:

• Problemas de privacidad de los empleados: puede que a los empleados les preocupe la visibilidad de sus datos personales y su actividad, y pueden sentirse incómodos al instalar software requerido por TI en sus dispositivos personales.
  
  
• Problemas de inclusión y limitación de grupos de candidatos: si BYOD es obligatorio, las personas que no pueden permitirse o no poseen dispositivos personales adecuados pueden recibir una menor consideración que el resto. Además, algunas personas pueden preferir no trabajar para una organización que les exige utilizar su sistema personal, con o sin reembolso por ello por parte del empleador.
  
  
• Otros riesgos de seguridad: incluso aplicando soluciones de gestión de dispositivos y seguridad BYOD, es posible que los empleados no siempre sigan las prácticas recomendadas de ciberseguridad —como, por ejemplo, una buena higiene de contraseña, o seguridad del dispositivo físico— en sus dispositivos personales, lo que les deja expuestos a hackers, malware y brechas de seguridad de datos.
  
  
• Cuestiones de conformidad normativa: puede que los empleadores del sector sanitario, financiero y gubernamental, así como de otras industrias con un alto nivel de regulación, no puedan implementar BYOD para algunos o ningún empleado, debido a las regulaciones estrictas y las sanciones elevadas que existen en torno al tratamiento de la información confidencial.