Muchas compañías que han tenido políticas de BYOD por ya algún tiempo han madurado en su pensamiento. Han pasado de ver los dispositivos personales de sus empleados como algo que tenían que mantener bajo llave, a algo que pueden utilizar libremente -aunque no en todos los casos.
Han pasado de permitir solo teléfonos proporcionados por la compañía a soportar dispositivos COPE (corporate-owned, personally enabled), es decir, proporcionados por la compañía pero habilitados personalmente, para luego autorizar verdaderos escenarios de BYOD, señala Chris Marsh, analista de movilidad empresarial de Yankee Group.
Para llegar a ese punto, las organizaciones necesitan acostumbrarse a que los datos residan más allá de sus firewalls, y a no siempre tener la posesión de esos datos, indica Marsh. Como parte de este cambio de mentalidad, el foco de los esfuerzos de seguridad no debería encontrarse solo en el dispositivo, sino en los datos, añade.
A continuación veamos cómo cuatro organizaciones que han adoptado programas BYOD por al menos dos años, han evolucionado para hacer frente a los desafíos y los cambios.
Hace dos años, Aetna presentó un programa BYOD para dar a sus empleados una mayor flexibilidad al elegir sus dispositivos de computación y comunicación, y para permitir que más personas trabajen de forma remota.
La empresa aseguradora había estado permitiendo a algunas personas que usaran sus propias computadoras en el trabajo, y luego amplió esta política hacia los teléfonos inteligentes y tabletas luego de desplegar herramientas MDM (mobile device management) de Citrix Systems y Good Technology para asegurarse la seguridad y el control.
Aetna luego añadió sistemas MDM de AirWatch, BigTinCan y BlackBerry.
La compañía adoptó múltiples tecnologías MDM para satisfacer las necesidades de sus varios segmentos de negocio, sostiene Alan Pawlak, director ejecutivo y jefe de servicios al cliente. Esos sistemas “nos permitieron comenzar a permitir que activos no corporativos tuvieran acceso a nuestros datos principales de forma segura”, señala, añadiendo que muchos usuarios “lo adoptaron” porque les permitía acceder a la red corporativa desde casa.
Antes de ampliar el programa BYOD, el departamento de TI quería obtener la aprobación del liderazgo ejecutivo y los jefes de cada línea de negocio, señala Pawlak. Para ese fin, los líderes del proyecto BYOD crearon un acuerdo escrito de que los empleados tenían que firmar antes de que se les permitiera usar dispositivos personales para trabajar.
“Ese fue un esfuerzo para proteger a la compañía debido a razones regulatorias”, sostiene Pawlak. La política contiene reglas sobre cómo engranar los dispositivos móviles en ambiente de trabajo, e identifica los tipos de usuarios que se encuentran excluidos del BYOD, como aquellos que usualmente trabajan con datos regulados, como la información personal de salud.
En la actualidad, el programa BYOD abarca alrededor de cuatro mil personas en muchos departamentos y funciones. Esto representa alrededor del 8% de la fuerza de trabajo de Aetna.
El proyecto BYOD ha evolucionado en términos de cómo las compañías aseguran los dispositivos móviles y aprueba a los usuarios. Por ejemplo, todos los dispositivos personales usados para el trabajo deben tener un contenedor seguro que crea una “pared” entre los datos personales y los datos de negocio. Todos los productos MDM que usa Aetna ofrecen esta funcionalidad.
“No permitimos una bandeja de entrada común o que se entremezcle la información personal y corporativa”, señala Pawlak. Una buena razón para esto: Si un dispositivo se pierde o es robado, la compañía puede remotamente borrar todos los datos corporativos de él sin tocar la información personal.
Aetna también ha potenciado su capacidad de medir la “salud” de los dispositivos, usando MDM. “Teníamos herramientas rudimentarias para revisar la salud de los dispositivos, pero ellas creaban más problemas de lo que resolvían”, sostiene el ejecutivo. Las primeras versiones no eran lo suficientemente flexibles para manejar los siempre cambiantes dispositivos y sistemas operativos. En la actualidad las revisiones incluyen la verificación de la localización en la red y tipo de sistema, así como “revisiones de seguridad significativas” de los dispositivos y sistemas operativos, explica el ejecutivo.
Ahora Aetna también tiene una mejor idea de los costos del BYOD y si los beneficios superan a esos costos. “Ahora entendemos los costos de licenciamiento de las aplicaciones móviles así como los costos de soporte”, indica Pawlak. “Hay una ventaja en costos de hacer BYOD, pero se encuentra balanceado con el costo de las necesidades de los empleados. Cuando iniciamos este camino, las personas asumieron que iba a ahorrar mucho dinero a la compañía. En realidad, aunque puede eliminar algunos costos, los puede incrementar en otros lugares”.
Por ejemplo, el BYOD ha eliminado la necesidad de comprar laptops para algunos empleados. Pero también ha incrementado las llamadas a la mesa de ayuda por parte de usuarios que tienen problemas con sus dispositivos o aplicaciones, o no puede acceder a la red, entre otras cosas.
“Uno tiene que estar preparado para dar una guía básica y decir a las personas a quien acudir por soporte”, señala Pawlak. También hay costos de back end para las herramientas MDM.
En el lado positivo, el BYOD ha permitido a las personas ser más productivas al trabajar prácticamente desde cualquier lugar, aunque los beneficios tangibles de esto son difíciles de medir, reconoce.
Hamilton Health Sciences
Hamilton Health Sciences (HHS) de Hamilton, Ontario, comenzó con el BYOD en el 2007 luego de desplegar Citrix XenApp, software que empaqueta las aplicaciones Windows en servicios móviles seguros. En ese punto, HHS comenzó a querer pasar de pedir a sus médicos que utilicen los dispositivos de propiedad del hospital a permitirles que ellos mismos elijan la tecnología móvil.
“El aliciente era que no querían comprar nuestros dispositivos, especialmente ya que no soportamos dispositivos Apple”, sostiene Mark Farrow, vicepresidente y CIO. Los pedidos de los usuarios por el BYOD se acrecentaron, añade, “luego de que se lanzó la iPad tuvimos más pedidos de parte de los médicos para usar los dispositivos que ellos habían adquirido”.
El proveedor de salud ahora tiene “algunos cientos” de dispositivos propiedad de los empleados que regularmente se conectan a su red. “Permitiremos que los dispositivos se conecten a nuestra red ‘de invitados’, y les daremos acceso a nuestro ambiente Citrix, correo electrónico e Internet”, señala Farrow. Los médicos usan sus dispositivos en rondas, para acceder a la información de los pacientes y para las comunicaciones.
Desde el lanzamiento de su esfuerzo inicial de BYOD, el HHS ha pasado a sistemas MDM más modernos, como Citrix XenMobile, para mejorar el monitoreo y asegurar los dispositivos. TI puede ahora borrar de forma remota los datos y correos electrónicos empresariales confidenciales y no afectar los datos personales.
La institución inicialmente se encontraba desconfiada acerca de permitir los dispositivos Android debido a las preocupaciones en cuanto a la seguridad. Pero con los controles que se incluyen en el más reciente software de MDM, ahora permite el uso de cualquier dispositivo, señala Farrow. “Los controles y las políticas de HHS permiten que los datos se encuentren seguros pero accesibles”, añade.
Un desafío ha seguido el ritmo del crecimiento. “Inicialmente la adopción fue tan rápida que nuestra red no podía manejar el tráfico”, sostiene Farrow. “Desde entonces hemos trabajado en la red y traído más componentes de Cisco para administrar [la red de invitados], y esto nos ha permitido manejar el tráfico”.
HHS tiene ahora tres redes segmentadas: Una red corporativa para los dispositivos de la compañía; una red de invitados, que permite el acceso a usuarios de BOYD con credenciales; y una red de visitantes para otros usuarios que no sean empleados o contratistas.
Land O’ Lakes
Land O’ Lakes es una cooperativa agrícola y de alimentos de propiedad de agricultores de Arden Hills, Minnesota, que lanzó su programa BYOD hace unos dos años y medio.
Como parte de su estrategia de tecnología móvil, la compañía dio a los empleados la opción de comprar sus propios teléfonos para el trabajo y recibir un subsidio, o usar un dispositivo proporcionado por la empresa. En uno u otro caso, los usuarios que quieren conectar sus dispositivos a la red corporativa para acceder al correo electrónico y las aplicaciones tienen que registrar su dispositivo en un sistema MDM de MobileIron.
“El MDM nos permite proporcionar una tienda de aplicaciones interna de aplicaciones aprobadas por la compañía que pueden ser desplegadas, y permite a la empresa saber en cualquier momento qué dispositivos y usuarios tienen acceso a las aplicaciones críticas”, sostiene Michael Macrie, vicepresidente y CIO de Land O’ Lakes. Eso elimina la posibilidad de que dispositivos falsos se conecten a los servicios corporativos.
El programa BYOD incluye alrededor de mil teléfonos inteligentes de propiedad de los empleados, o alrededor del 25% del total del volumen de teléfonos usados dentro de la compañía. El BYOD inicialmente se encontraba limitado a los empleados que frecuentemente trabajaban fuera, pero ahora incluye a los empleados de todas las áreas del negocio.
El lanzamiento del BYOD fue lo suficientemente exitoso como para que Land O’ Lakes lo ampliara incluyendo a las tabletas, y a alrededor de mil empleados -generalmente los mismos que usan los teléfonos inteligentes, principalmente vendedores y ejecutivos- que están usando sus propias tabletas para el trabajo. Éstas también deben registrarse con el sistema MDM para acceder a las aplicaciones principales.
Al inicio del programa BYOD, no había un caso de negocios fuerte para las tabletas, señala Macrie. “No teníamos aplicaciones que fueran lo suficientemente necesarias como para justificar el gasto en los dispositivos”, afirma. Pero la compañía ha desarrollado o comprado 12 aplicaciones para que las tabletas sean útiles en el campo. Por ejemplo, los agrónomos pueden acceder a imágenes satelitales e información en tiempo real sobre la tierra de los agricultores para ayudar a sus clientes a tomar las mejores decisiones mientras se encuentran trabajando en sus campos.
La política BYOD de la compañía para los teléfonos inteligentes y tabletas establece que si un usuario tiene algún dato corporativo en su dispositivo y está registrado para usar la red corporativa, la compañía puede usar el MDM para borrar los datos del dispositivo si el empleado deja la empresa, o si el dispositivo es perdido o robado. A cambio, el empleado recibe un subsidio para los pagos mensuales del servicio del dispositivo.
Land O’ Lakes está pagando una tasa de reembolso máxima que usualmente representa el 75% de una factura mensual de un teléfono inteligente típico, señala Macrie. “Esta tasa es aproximadamente menor que nuestro pago promedio por nuestros teléfonos corporativos, así que nos ahorra dinero”, señala.
“Ese es un acuerdo que tenemos con los empleados, y hasta el momento ha funcionado bien”, indica. “La mayoría de los empleados entiende que no se pueden llevar con ellos los datos de la compañía cuando salen de ella. Y debido a que hemos unido esto a la política de reembolso, hemos llegado a un acuerdo que funciona para ambos, empleado y compañía”.
La próxima ampliación del BYOD -planeada para el próximo año- incluirá las computadoras laptop y de escritorio. Mientras tanto, Land O’ Lakes está trabajando para hacer incluso más seguro el acceso móvil a su red. Este año, la compañía comenzará a segmentar el acceso a su red por tipo de usuario, ofreciendo diferentes privilegios a aquellos con registro MDM y aquellos que solo tienen un usuario y contraseña.
Pero los empleados que llevan nuevos dispositivos a la oficina representan un desafío. Para encarar esto, Land O’ Lakes está desplegando la tecnología de Cisco que ayuda a verificar que un dispositivo se encuentra “limpio” y tiene las credenciales MDM adecuadas para acceder a cualquier parte de la red. Si un dispositivo falla en alguna de estos tests, el usuario sólo tendrá acceso a Internet.
El próximo año, Land O’ Lakes explorará el uso de esta misma tecnología para segmentar aún más la red cableada para soportar el acceso de las PC y Mac de los empleados. Esto permitirá a las personas llevar sus propios dispositivos, y a la vez mitigar el riesgo de que estos dispositivos infecten la red con malware.
“Si el nuevo dispositivo viene a la oficina, solo tiene acceso a Internet -que se encuentra en una subred separada- hasta que certifique que está limpio y tiene los certificados adecuados instalados”, señala Macrie.
La compañía también aspira a proporcionar un almacén de autoservicio para las laptops y computadoras de escritorio, de tal forma que los usuarios puedan descargar software aprobado por la empresa y usarlo en sus propias máquinas.
Entre las lecciones que Land O’ Lakes ha aprendido de su experiencia BYOD es que tener empleados que usan sus dispositivos no necesariamente ahorra dinero. Mucho de los ahorros por el menor gasto en equipos se ve igualado por el costo de los sistemas MDM y los cambios realizados a la red y las aplicaciones para proporcionar mayor seguridad.
“Con el tiempo, si podemos llegar al punto en el que la mayoría de los dispositivos sean BYOD, entonces sí creo que ahorraremos dinero en soporte”, sostiene Macrie, en gran medida porque la curva de aprendizaje será pequeña o no existirá cuando las personas usen dispositivos con los que se encuentren familiarizados.
Macrie señala que las políticas de BYOD son cruciales en el ambiente laboral actual. “Uno tiene que soportar BYOD”, argumenta. “Los tiempos han cambiado al punto en el que uno tiene que acomodar a los empleados de forma que se sientan a gusto trabajando, para hacerlos más productivos. Creo que BYOD ha llegado para quedarse”.
PwC
PricewaterhouseCoopers tiene un enorme ambiente móvil, que comprende a alrededor de 37 mil dispositivos iOS, 5.500 Android y 2.300 que usan otros sistemas operativos. Alrededor del 95% son de propiedad de los empleados.
La firma consultora ofrece a los usuarios dos opciones móviles, señala Philip Garland, CIO de PwC para Estados Unidos. La primera es una opción de correo electrónico, calendario y contactos que se entrega a través de una aplicación sandbox que separa los datos personales de los de la empresa. La segunda, solo para dispositivos iOS, es una plataforma MDM que permite el uso de correo electrónico, calendario y contactos nativos vía acceso a redes Wi-Fi/VPN corporativas.
Los usuarios con dispositivos administrados pueden navegar por los sitios internos, usar mensajería instantánea, asistir y alojar reuniones de video, ver y modificar documentos de oficina, y aprovechar cualquiera de las más de 20 aplicaciones personalizadas de la firma. “Nuestras aplicaciones personalizadas van desde las noticias diarias de la firma hasta registros de tiempo y reportes de gastos”, sostiene Garland.
A medida que fue madurando el enfoque BYOD de PwC, “añadimos nuevos materiales a nuestros programas anuales de capacitación en cumplimiento de la normatividad para asegurar que nuestros socios y personal recibieran la información correcta acerca del uso aceptable de dispositivos y cómo administrar la información de la firma y los clientes versus los datos personales”, indica el ejecutivo.
PwC ha modificado algunas de sus políticas de contraseñas desde que realizó el despliegue inicial de BYOD “para equilibrar la usabilidad del dispositivo con nuestras reglas para contraseñas”, sostiene Garland. “En nuestros planes celulares, hemos incrementado nuestros límites para datos y habilitado hotspots móviles para los smartphones. También hemos implementado políticas y procedimientos para socios y personal que viaja internacionalmente para intentar reducir los gastos internacionales”.
La firma ha aprendido que lo mejor es proporcionar a los usuarios opciones en una política BYOD.
Los socios y personal pueden luego “escoger el nivel de integración de negocio que quieren para su dispositivo”, indica el ejecutivo. “Nuestro primer despliegue de integración de los dispositivos a nuestra red corporativa requirió que nuestros usuarios se unieran a un MDM, lo cual forzó el uso de una contraseña en el dispositivo”.
Muchos usuarios sintieron que esto era una intrusión. Ahora ellos pueden elegir qué opción es la que mejor les acomoda. “Si alguien quiere mantener su actual dispositivo y no quiere hacer un upgrade, se lo permitimos”, afirma.
Este enfoque dual “deja en la persona la determinación de cuán integrado quiere que se encuentre su dispositivo personal con el trabajo diario”, explica Garland. “Sentimos que teniendo un MDM fuerte o producto de sandbox en un dispositivo móvil, los datos personales y de la firma pueden coexistir felizmente en el mismo dispositivo”.
El departamento de TI de PwC ha trabajado con el equipo de seguridad para establecer salvaguardas y procesos que hagan fácil para el usuario registrar sus dispositivos, y para la firma asegurar que los dispositivos se encuentren asociados con las credenciales de usuario correctas y tengan la seguridad necesaria.
El gobierno corporativo para el BYOD se encuentra automatizado en gran parte. “Cuando los usuarios registran sus dispositivos en nuestra plataforma MDM, los hacemos pasar por un proceso para configurarlo”, señala Garland. “Este proceso incluye identificar al usuario, identificar el dispositivo y proporcionar credenciales al dispositivo. El usuario debe consentir las políticas y procedimientos definidos por nuestras discusiones sobre gobierno corporativo a medida que avanza por el proceso”.
El uso de los sistemas MDM hace posible automatizar gran parte del proceso de gobierno corporativo del dispositivo. “Tenemos un conjunto separado de gobierno corporativo para las aplicaciones y funcionalidades que proporcionamos a nuestro usuarios”, indica el ejecutivo. “Cuando las nuevas funcionalidades se evalúan, nuestros equipos internos tienen los caminos para comunicar cualquier requerimiento que necesiten del usuario o del software antes de la implementación. Estas puertas son un requerimientos para la implementación de cualquier características a nuestra tienda de aplicaciones”.
– Bob Violino, Computerworld (EE.UU.)
