Digamos que usted necesita tomar cierta información corporativa del iPad personal de un empleado. Y de acuerdo con la polÃtica de BYOD (traiga su propio dispositivo) que se creó al vapor, se le pide al empleado darle el iPad al equipo forense de TI.
Para su sorpresa, el equipo encuentra pornografÃa infantil en la tablet en carpetas que no tienen que ver con el trabajo.
¿Tiene el equipo permiso para realizar una investigación sobre los datos personales? ¿Está obligado el equipo a denunciarlo a las autoridades? ¿El hallazgo serÃa aceptado como evidencia en un proceso judicial? ¿Se habrÃan violado los derechos de privacidad del empelado? ¿La polÃtica de BYOD serÃa lo suficientemente sólida para cubrir dichos escenarios?
Bienvenido al nebuloso mundo de BYOD, donde la combinación de la vida personal y laboral en un solo dispositivo abre la puerta a nuevos problemas. Con frecuencia, a los CIO les preocupa la seguridad y la administración, pero el tema del “traiga su propio dispositivo†puede también meter a la compañÃa en serios problemas legales.
“En una papa calienteâ€, afirma Ben Tomhave, consultor de la firma de consultorÃa en gobierno, riesgos y cumplimiento LockPath.
Si los CIO creen que se van a salvar de los problemas con sólo prohibir el BYOD en primera instancia, deberÃan pensarlo dos veces.
Recientemente Juniper Networks dio a conocer los resultados de una encuesta a más de 4 mil usuarios de dispositivos móviles y profesionales de TI. Entre lo reportado destaca que muchos empleados evaden las polÃticas oficiales sobre dispositivos móviles de sus compañÃas – 41 por ciento de ellos dijo que utilizan sus dispositivos personales para trabajar lo hacen sin permiso de la compañÃa, señala el reporte.
“Los departamentos de TI con lo que hablo regularmente no creen que el riesgo sea muy altoâ€, asegura Dan Hoffman, evangelista de seguridad móvil de Juniper Networks. “Creen que tienen mucho más control y conocimiento del que realmente tienenâ€.
El comportamiento malicioso pone a la compañÃa en un mayor riesgo legal porque no hay polÃticas formales sobre las cuales apoyarse cuando las cosas salen mal – lo cual sucederá.
PornografÃa infantil en un iPad es un caso extremo, pero un escenario más probable es que TI realice una búsqueda en un iPad propiedad del usuario y se tropiece con señales de que ha estado trabajando en un proyecto que socaba potencialmente a la organización o compite con ella.
Si el empleado estuviese haciéndolo en su tiempo libre – y no en el tiempo que deberÃa estar trabajando – ¿puede la compañÃa despedir al empleado basada solamente en esta evidencia encontrada furtivamente?
Por ejemplo, en un escenario aún más intrigante: digamos que el empleado es despedido y la compañÃa borra remotamente su iPad, lo cual también elimina información personal. ¿Es culpable la compañÃa? “Usted tiene que asegurarse que las polÃticas y los acuerdos legales expresen claramente la expectativaâ€. Añade Tomhave.
Este aspecto legal tiene otra vertiente; los empleados necesitan también de protección personal.
Las compañÃas y los departamentos de TI pueden ser muy arteros cuando se trata del BYOD. Los abusos se elevan en la industria de la tecnologÃa, con HP a la cabeza al obtener clandestinamente registros telefónicos de los miembros del consejo y de la prensa para descubrir quiénes estaban filtrando información en 2006.
Hoy, las compañÃas presionarán a los empleados para que proporcionen sus contraseñas de Facebook para propósitos de contratación y despido. ¿Qué significa esto para BYOD? La mayorÃa de los empleados tienen una aplicación de Facebook en sus teléfonos y tablets personales, a través de la cual los firma automáticamente con sus nombres de usuario y contraseñas. Cuando esos dispositivos están en manos de TI, se puede tener acceso a la cuenta de Facebook de una persona.
Tomhave sugiere a los empleados contratar a un abogado antes de firmar un acuerdo sobre BYOD. Él brindará asesorÃa legal que ayude a los empleados a crear un escudo de protección de la privacidad. “Usted querrá firmar una polÃtica que delinee claramente qué tiene permitido hacer la empresa y qué noâ€, incluyendo las condiciones para confiscar y hacer búsquedas en un dispositivo propiedad del empleadoâ€, añade.
Otra alternativa es remontarse a los dÃas en que uno llevaba consigo varios dispositivos: un teléfono inteligente personal y otro de trabajo, incluso si ese teléfono de trabajo está bajo la categorÃa de BYOD. AsÃ, usted no corre el riesgo de mezclar dos mundos diferentes.
Es claro que las compañÃas y los empleados necesitan buenos acuerdos legales para participar en un programa de BYOD. Desafortunadamente, dichos acuerdos son escasos.
“No creo que se haya hecho un análisis de riesgos completo sobre todo estoâ€, apunta Tomhave. “Muchas organizaciones se está tratando de poner al dÃaâ€.
