Para quienes pertenecen a las generaciones como los millennials y la generación Z, los teléfonos inteligentes y los ordenadores portátiles son ahora tecnologías indispensables en la vida cotidiana, de las que sus propietarios no se separan ni siquiera durante las horas de trabajo. En este escenario, es fundamental saber qué es la política BYOD
Interpretando esta tendencia, las empresas y las escuelas han tratado de aprovecharla y el resultado es el BYOD, la integración de dispositivos personales en el lugar de trabajo o en la escuela, que son los principales ámbitos de aplicación.
Se ha hablado mucho de ello en los últimos años, destacando a menudo las grandes ventajas para las empresas, pero el BYOD también tiene sus carencias, especialmente desde el punto de vista de la seguridad informática y la protección de datos.
Tabla de contenidos
Qué significa BYOD
Significa Bring Your Own Device (Trae tu propio dispositivo). Bajo este término se agrupan muchos otros enfoques similares que amplían el concepto de compartir tecnología entre la esfera personal y la público-laboral, como BYOT (Bring Your Own Technology), BYOE (Bring Your Own Encryption) e incluso WYOD (Wear Your Own Device) que se refiere al uso de dispositivos wearables como los smartwatches en el trabajo.
Qué es el BYOD
Es un enfoque para incorporar la tecnología y los dispositivos personales a los entornos empresariales públicos o privados. Por ejemplo, con una política BYOD, una empresa puede permitir que los empleados hagan su trabajo en sus propios ordenadores y smartphones, dentro y fuera de la oficina.
Las principales ventajas del BYOD
- El ahorro de costes de propiedad (para las empresas)
- la productividad aumenta significativamente
- Lograr un horario de trabajo más flexible
- Gozar de un entorno de trabajo más atractivo para los nativos digitales
¿Dónde se aplica BYOD?
Las políticas de BYOD se desarrollaron con el claro objetivo de aumentar la productividad de los empleados y (teóricamente) mejorar las condiciones de trabajo, basándose en la idea de que un empleado se siente más cómodo utilizando su propio ordenador o los dispositivos que mejor conoce y utiliza cada día.
Además, la aplicación del BYOD flexibiliza el tiempo de trabajo, haciendo del trabajo una dimensión fluida cuyos límites son cada vez más difusos.
Aplicaciones de BYOD
Como hemos visto, los principales ámbitos de aplicación del BYOD son las empresas y los centros educativos. En el caso de las empresas, el objetivo es reducir el coste de la propiedad del hardware y la gestión de la infraestructura informática, al tiempo que se aumenta la productividad de los trabajadores.
El BYOD en las escuelas, por otra parte, sirve para compensar la falta de herramientas informáticas endémicas en Italia y otros países, pero también para digitalizar la educación y actualizar sus metodologías para los nuevos alumnos acostumbrados a las tecnologías digitales.
El uso generalizado del trabajo inteligente ha incrementado, sin duda, los casos de políticas BYOD en las empresas. Al fin y al cabo, es una práctica aceptada e incluso en cierto modo conveniente.
Sin embargo, la política de la empresa debe cumplir las directrices del Supervisor Europeo de Protección de Datos (SEPD) sobre datos personales y el uso de dispositivos móviles con fines laborales. De hecho, a falta de una legislación nacional específica, es importante garantizar el cumplimiento de todas las disposiciones de seguridad y privacidad. En cuanto a este último aspecto, en particular, no hay que perder de vista que los dispositivos en cuestión están diseñados para un uso personal y no laboral. Esto significa que los datos gestionados por los dispositivos suelen ser también los de la vida privada de los empleados.
Política de BYOD: medidas y directrices de privacidad
El uso de dispositivos móviles con fines laborales está sujeto a las condiciones y limitaciones del Reglamento de la UE 2016/679 (“GDPR”). En particular, hay que prestar atención al hecho de que los dispositivos móviles permiten el uso de aplicaciones que comunican datos y esto a veces ocurre sin que los usuarios sean conscientes de ello.
Por lo tanto, la participación del responsable de la protección de datos en la política es crucial. Hay que encontrar un equilibrio entre la necesidad de la empresa de proteger sus datos de posibles riesgos y la necesidad del empleado de que no se invada su privacidad. En particular, las empresas no pueden ejercer el mismo nivel de control sobre los dispositivos privados utilizados en el marco de una política BYOD que sobre los dispositivos corporativos.
Las Directrices BYOD sugieren medidas de seguridad que las empresas pueden seguir:
- En primer lugar, debe realizarse una evaluación de riesgos que analice el uso de dispositivos móviles privados con fines laborales;
- También deben identificarse los controles adecuados que deben aplicarse para reducir los riesgos a un nivel aceptable;
Lo que se debe tener presente con respecto al BYOD para mantener segura la información de la empresa
El BYOD no solo tiene ventajas, sino que también presenta algunos inconvenientes tanto en lo que respecta a la gestión informática como a la seguridad de los datos. Por esta razón, la introducción de BYOD en una empresa debe ir siempre acompañada de la creación de una política BYOD, también conocida como política BYOD o directrices BYOD que debe:
- Definir qué dispositivos se pueden utilizar y cómo.
- Definir los sistemas y procedimientos de seguridad para el BYOD.
- Describa los riesgos de seguridad relacionados con los datos personales.
- Definir las responsabilidades legales de la empresa y de los empleados en cuanto al uso de los dispositivos.
- Establecer la gestión financiera de los bienes y dispositivos.
En el ámbito de la protección de datos, la Unión Europea se esfuerza constantemente por informar y educar a los ciudadanos. Para ello, el Supervisor Europeo de Protección de Datos (SEPD) ha publicado unas directrices sobre BYOD.
Medidas técnicas de seguridad
El primer paso en este proceso es, como para todo tratamiento de datos personales, la evaluación de riesgos, que debe incluir también un análisis cuidadoso del uso de los dispositivos móviles. Esta evaluación contribuye a determinar los principales riesgos de seguridad, así como a identificar los controles adecuados que deben aplicarse para reducir los riesgos a un nivel aceptable.
Es evidente que el proceso de gestión de riesgos debe incluir una revisión periódica de la evaluación de riesgos, las medidas y los controles establecidos, teniendo en cuenta la velocidad a la que “corre” la evolución tecnológica.
El uso del BYOD implica cada vez más responsabilidades para las empresas, ya que este tipo de software implica un tratamiento bastante intrusivo de los datos personales (por ejemplo, el MDM puede, en abstracto, permitir el control de los dispositivos móviles en tiempo real).
Las directrices indican a los responsables del tratamiento las siguientes “características” para garantizar el cumplimiento de la normativa y asegurar el cumplimiento de los principios fundamentales:
- Uso de PIN/contraseñas para acceder al dispositivo móvil y a aplicaciones específicas;
- bloqueo y borrado remoto de dispositivos (de todos los datos del dispositivo o solo de la información de la empresa);
- detección de cambios de configuración;
- restringir el acceso de usuarios y aplicaciones al hardware del dispositivo;
- proporcionar el registro y la auditoría de las actividades de gestión de BYOD;
- verificación del cumplimiento antes de acceder a los recursos de la empresa;
- cifrado de los datos tanto en el dispositivo como en tránsito (cifrado de las comunicaciones);
- distribución y gestión de certificados digitales.
Importancia de la gestión de dispositivos móviles
El conjunto de herramientas en los dispositivos móviles (MDM) dotan a los trabajadores de aplicaciones de productividad móvil y simultáneo a ello, se preserva la seguridad de los datos corporativos.
Es importante identificar qué datos personales recoge la solución MDM y con qué fines, dónde y durante cuánto tiempo se almacenan, quién tiene acceso a los datos y la capacidad de gestionar el registro.
Informar a los usuarios sobre el uso de la solución MDM en su dispositivo, el tipo de información y los datos recogidos, y la finalidad de la recogida, ya que la solución MDM que la empresa puede poner en marcha, para garantizar la seguridad de los datos personales, puede implicar una mayor vigilancia de los empleados.