Muchas compañÃas que han tenido polÃticas de BYOD por ya algún tiempo han madurado en su pensamiento. Han pasado de ver los dispositivos personales de sus empleados como algo que tenÃan que mantener bajo llave, a algo que pueden utilizar libremente -aunque no en todos los casos.
Han pasado de permitir solo teléfonos proporcionados por la compañÃa a soportar dispositivos COPE (corporate-owned, personally enabled), es decir, proporcionados por la compañÃa pero habilitados personalmente, para luego autorizar verdaderos escenarios de BYOD, señala Chris Marsh, analista de movilidad empresarial de Yankee Group.
Para llegar a ese punto, las organizaciones necesitan acostumbrarse a que los datos residan más allá de sus firewalls, y a no siempre tener la posesión de esos datos, indica Marsh. Como parte de este cambio de mentalidad, el foco de los esfuerzos de seguridad no deberÃa encontrarse solo en el dispositivo, sino en los datos, añade.
A continuación veamos cómo cuatro organizaciones que han adoptado programas BYOD por al menos dos años, han evolucionado para hacer frente a los desafÃos y los cambios.
Hace dos años, Aetna presentó un programa BYOD para dar a sus empleados una mayor flexibilidad al elegir sus dispositivos de computación y comunicación, y para permitir que más personas trabajen de forma remota.
La empresa aseguradora habÃa estado permitiendo a algunas personas que usaran sus propias computadoras en el trabajo, y luego amplió esta polÃtica hacia los teléfonos inteligentes y tabletas luego de desplegar herramientas MDM (mobile device management) de Citrix Systems y Good Technology para asegurarse la seguridad y el control.
Aetna luego añadió sistemas MDM de AirWatch, BigTinCan y BlackBerry.
La compañÃa adoptó múltiples tecnologÃas MDM para satisfacer las necesidades de sus varios segmentos de negocio, sostiene Alan Pawlak, director ejecutivo y jefe de servicios al cliente. Esos sistemas “nos permitieron comenzar a permitir que activos no corporativos tuvieran acceso a nuestros datos principales de forma seguraâ€, señala, añadiendo que muchos usuarios “lo adoptaron†porque les permitÃa acceder a la red corporativa desde casa.
Antes de ampliar el programa BYOD, el departamento de TI querÃa obtener la aprobación del liderazgo ejecutivo y los jefes de cada lÃnea de negocio, señala Pawlak. Para ese fin, los lÃderes del proyecto BYOD crearon un acuerdo escrito de que los empleados tenÃan que firmar antes de que se les permitiera usar dispositivos personales para trabajar.
“Ese fue un esfuerzo para proteger a la compañÃa debido a razones regulatoriasâ€, sostiene Pawlak. La polÃtica contiene reglas sobre cómo engranar los dispositivos móviles en ambiente de trabajo, e identifica los tipos de usuarios que se encuentran excluidos del BYOD, como aquellos que usualmente trabajan con datos regulados, como la información personal de salud.
En la actualidad, el programa BYOD abarca alrededor de cuatro mil personas en muchos departamentos y funciones. Esto representa alrededor del 8% de la fuerza de trabajo de Aetna.
El proyecto BYOD ha evolucionado en términos de cómo las compañÃas aseguran los dispositivos móviles y aprueba a los usuarios. Por ejemplo, todos los dispositivos personales usados para el trabajo deben tener un contenedor seguro que crea una “pared†entre los datos personales y los datos de negocio. Todos los productos MDM que usa Aetna ofrecen esta funcionalidad.
“No permitimos una bandeja de entrada común o que se entremezcle la información personal y corporativaâ€, señala Pawlak. Una buena razón para esto: Si un dispositivo se pierde o es robado, la compañÃa puede remotamente borrar todos los datos corporativos de él sin tocar la información personal.
Aetna también ha potenciado su capacidad de medir la “salud†de los dispositivos, usando MDM. “TenÃamos herramientas rudimentarias para revisar la salud de los dispositivos, pero ellas creaban más problemas de lo que resolvÃanâ€, sostiene el ejecutivo. Las primeras versiones no eran lo suficientemente flexibles para manejar los siempre cambiantes dispositivos y sistemas operativos. En la actualidad las revisiones incluyen la verificación de la localización en la red y tipo de sistema, asà como “revisiones de seguridad significativas†de los dispositivos y sistemas operativos, explica el ejecutivo.
Ahora Aetna también tiene una mejor idea de los costos del BYOD y si los beneficios superan a esos costos. “Ahora entendemos los costos de licenciamiento de las aplicaciones móviles asà como los costos de soporteâ€, indica Pawlak. “Hay una ventaja en costos de hacer BYOD, pero se encuentra balanceado con el costo de las necesidades de los empleados. Cuando iniciamos este camino, las personas asumieron que iba a ahorrar mucho dinero a la compañÃa. En realidad, aunque puede eliminar algunos costos, los puede incrementar en otros lugaresâ€.
Por ejemplo, el BYOD ha eliminado la necesidad de comprar laptops para algunos empleados. Pero también ha incrementado las llamadas a la mesa de ayuda por parte de usuarios que tienen problemas con sus dispositivos o aplicaciones, o no puede acceder a la red, entre otras cosas.
“Uno tiene que estar preparado para dar una guÃa básica y decir a las personas a quien acudir por soporteâ€, señala Pawlak. También hay costos de back end para las herramientas MDM.
En el lado positivo, el BYOD ha permitido a las personas ser más productivas al trabajar prácticamente desde cualquier lugar, aunque los beneficios tangibles de esto son difÃciles de medir, reconoce.
Hamilton Health Sciences
Hamilton Health Sciences (HHS) de Hamilton, Ontario, comenzó con el BYOD en el 2007 luego de desplegar Citrix XenApp, software que empaqueta las aplicaciones Windows en servicios móviles seguros. En ese punto, HHS comenzó a querer pasar de pedir a sus médicos que utilicen los dispositivos de propiedad del hospital a permitirles que ellos mismos elijan la tecnologÃa móvil.
“El aliciente era que no querÃan comprar nuestros dispositivos, especialmente ya que no soportamos dispositivos Appleâ€, sostiene Mark Farrow, vicepresidente y CIO. Los pedidos de los usuarios por el BYOD se acrecentaron, añade, “luego de que se lanzó la iPad tuvimos más pedidos de parte de los médicos para usar los dispositivos que ellos habÃan adquiridoâ€.
El proveedor de salud ahora tiene “algunos cientos†de dispositivos propiedad de los empleados que regularmente se conectan a su red. “Permitiremos que los dispositivos se conecten a nuestra red ‘de invitados’, y les daremos acceso a nuestro ambiente Citrix, correo electrónico e Internetâ€, señala Farrow. Los médicos usan sus dispositivos en rondas, para acceder a la información de los pacientes y para las comunicaciones.
Desde el lanzamiento de su esfuerzo inicial de BYOD, el HHS ha pasado a sistemas MDM más modernos, como Citrix XenMobile, para mejorar el monitoreo y asegurar los dispositivos. TI puede ahora borrar de forma remota los datos y correos electrónicos empresariales confidenciales y no afectar los datos personales.
La institución inicialmente se encontraba desconfiada acerca de permitir los dispositivos Android debido a las preocupaciones en cuanto a la seguridad. Pero con los controles que se incluyen en el más reciente software de MDM, ahora permite el uso de cualquier dispositivo, señala Farrow. “Los controles y las polÃticas de HHS permiten que los datos se encuentren seguros pero accesiblesâ€, añade.
Un desafÃo ha seguido el ritmo del crecimiento. “Inicialmente la adopción fue tan rápida que nuestra red no podÃa manejar el tráficoâ€, sostiene Farrow. “Desde entonces hemos trabajado en la red y traÃdo más componentes de Cisco para administrar [la red de invitados], y esto nos ha permitido manejar el tráficoâ€.
HHS tiene ahora tres redes segmentadas: Una red corporativa para los dispositivos de la compañÃa; una red de invitados, que permite el acceso a usuarios de BOYD con credenciales; y una red de visitantes para otros usuarios que no sean empleados o contratistas.
Land O’ Lakes
Land O’ Lakes es una cooperativa agrÃcola y de alimentos de propiedad de agricultores de Arden Hills, Minnesota, que lanzó su programa BYOD hace unos dos años y medio.
Como parte de su estrategia de tecnologÃa móvil, la compañÃa dio a los empleados la opción de comprar sus propios teléfonos para el trabajo y recibir un subsidio, o usar un dispositivo proporcionado por la empresa. En uno u otro caso, los usuarios que quieren conectar sus dispositivos a la red corporativa para acceder al correo electrónico y las aplicaciones tienen que registrar su dispositivo en un sistema MDM de MobileIron.
“El MDM nos permite proporcionar una tienda de aplicaciones interna de aplicaciones aprobadas por la compañÃa que pueden ser desplegadas, y permite a la empresa saber en cualquier momento qué dispositivos y usuarios tienen acceso a las aplicaciones crÃticasâ€, sostiene Michael Macrie, vicepresidente y CIO de Land O’ Lakes. Eso elimina la posibilidad de que dispositivos falsos se conecten a los servicios corporativos.
El programa BYOD incluye alrededor de mil teléfonos inteligentes de propiedad de los empleados, o alrededor del 25% del total del volumen de teléfonos usados dentro de la compañÃa. El BYOD inicialmente se encontraba limitado a los empleados que frecuentemente trabajaban fuera, pero ahora incluye a los empleados de todas las áreas del negocio.
El lanzamiento del BYOD fue lo suficientemente exitoso como para que Land O’ Lakes lo ampliara incluyendo a las tabletas, y a alrededor de mil empleados -generalmente los mismos que usan los teléfonos inteligentes, principalmente vendedores y ejecutivos- que están usando sus propias tabletas para el trabajo. Éstas también deben registrarse con el sistema MDM para acceder a las aplicaciones principales.
Al inicio del programa BYOD, no habÃa un caso de negocios fuerte para las tabletas, señala Macrie. “No tenÃamos aplicaciones que fueran lo suficientemente necesarias como para justificar el gasto en los dispositivosâ€, afirma. Pero la compañÃa ha desarrollado o comprado 12 aplicaciones para que las tabletas sean útiles en el campo. Por ejemplo, los agrónomos pueden acceder a imágenes satelitales e información en tiempo real sobre la tierra de los agricultores para ayudar a sus clientes a tomar las mejores decisiones mientras se encuentran trabajando en sus campos.
La polÃtica BYOD de la compañÃa para los teléfonos inteligentes y tabletas establece que si un usuario tiene algún dato corporativo en su dispositivo y está registrado para usar la red corporativa, la compañÃa puede usar el MDM para borrar los datos del dispositivo si el empleado deja la empresa, o si el dispositivo es perdido o robado. A cambio, el empleado recibe un subsidio para los pagos mensuales del servicio del dispositivo.
Land O’ Lakes está pagando una tasa de reembolso máxima que usualmente representa el 75% de una factura mensual de un teléfono inteligente tÃpico, señala Macrie. “Esta tasa es aproximadamente menor que nuestro pago promedio por nuestros teléfonos corporativos, asà que nos ahorra dineroâ€, señala.
“Ese es un acuerdo que tenemos con los empleados, y hasta el momento ha funcionado bienâ€, indica. “La mayorÃa de los empleados entiende que no se pueden llevar con ellos los datos de la compañÃa cuando salen de ella. Y debido a que hemos unido esto a la polÃtica de reembolso, hemos llegado a un acuerdo que funciona para ambos, empleado y compañÃaâ€.
La próxima ampliación del BYOD -planeada para el próximo año- incluirá las computadoras laptop y de escritorio. Mientras tanto, Land O’ Lakes está trabajando para hacer incluso más seguro el acceso móvil a su red. Este año, la compañÃa comenzará a segmentar el acceso a su red por tipo de usuario, ofreciendo diferentes privilegios a aquellos con registro MDM y aquellos que solo tienen un usuario y contraseña.
Pero los empleados que llevan nuevos dispositivos a la oficina representan un desafÃo. Para encarar esto, Land O’ Lakes está desplegando la tecnologÃa de Cisco que ayuda a verificar que un dispositivo se encuentra “limpio†y tiene las credenciales MDM adecuadas para acceder a cualquier parte de la red. Si un dispositivo falla en alguna de estos tests, el usuario sólo tendrá acceso a Internet.
El próximo año, Land O’ Lakes explorará el uso de esta misma tecnologÃa para segmentar aún más la red cableada para soportar el acceso de las PC y Mac de los empleados. Esto permitirá a las personas llevar sus propios dispositivos, y a la vez mitigar el riesgo de que estos dispositivos infecten la red con malware.
“Si el nuevo dispositivo viene a la oficina, solo tiene acceso a Internet -que se encuentra en una subred separada- hasta que certifique que está limpio y tiene los certificados adecuados instaladosâ€, señala Macrie.
La compañÃa también aspira a proporcionar un almacén de autoservicio para las laptops y computadoras de escritorio, de tal forma que los usuarios puedan descargar software aprobado por la empresa y usarlo en sus propias máquinas.
Entre las lecciones que Land O’ Lakes ha aprendido de su experiencia BYOD es que tener empleados que usan sus dispositivos no necesariamente ahorra dinero. Mucho de los ahorros por el menor gasto en equipos se ve igualado por el costo de los sistemas MDM y los cambios realizados a la red y las aplicaciones para proporcionar mayor seguridad.
“Con el tiempo, si podemos llegar al punto en el que la mayorÃa de los dispositivos sean BYOD, entonces sà creo que ahorraremos dinero en soporteâ€, sostiene Macrie, en gran medida porque la curva de aprendizaje será pequeña o no existirá cuando las personas usen dispositivos con los que se encuentren familiarizados.
Macrie señala que las polÃticas de BYOD son cruciales en el ambiente laboral actual. “Uno tiene que soportar BYODâ€, argumenta. “Los tiempos han cambiado al punto en el que uno tiene que acomodar a los empleados de forma que se sientan a gusto trabajando, para hacerlos más productivos. Creo que BYOD ha llegado para quedarseâ€.
PwC
PricewaterhouseCoopers tiene un enorme ambiente móvil, que comprende a alrededor de 37 mil dispositivos iOS, 5.500 Android y 2.300 que usan otros sistemas operativos. Alrededor del 95% son de propiedad de los empleados.
La firma consultora ofrece a los usuarios dos opciones móviles, señala Philip Garland, CIO de PwC para Estados Unidos. La primera es una opción de correo electrónico, calendario y contactos que se entrega a través de una aplicación sandbox que separa los datos personales de los de la empresa. La segunda, solo para dispositivos iOS, es una plataforma MDM que permite el uso de correo electrónico, calendario y contactos nativos vÃa acceso a redes Wi-Fi/VPN corporativas.
Los usuarios con dispositivos administrados pueden navegar por los sitios internos, usar mensajerÃa instantánea, asistir y alojar reuniones de video, ver y modificar documentos de oficina, y aprovechar cualquiera de las más de 20 aplicaciones personalizadas de la firma. “Nuestras aplicaciones personalizadas van desde las noticias diarias de la firma hasta registros de tiempo y reportes de gastosâ€, sostiene Garland.
A medida que fue madurando el enfoque BYOD de PwC, “añadimos nuevos materiales a nuestros programas anuales de capacitación en cumplimiento de la normatividad para asegurar que nuestros socios y personal recibieran la información correcta acerca del uso aceptable de dispositivos y cómo administrar la información de la firma y los clientes versus los datos personalesâ€, indica el ejecutivo.
PwC ha modificado algunas de sus polÃticas de contraseñas desde que realizó el despliegue inicial de BYOD “para equilibrar la usabilidad del dispositivo con nuestras reglas para contraseñasâ€, sostiene Garland. “En nuestros planes celulares, hemos incrementado nuestros lÃmites para datos y habilitado hotspots móviles para los smartphones. También hemos implementado polÃticas y procedimientos para socios y personal que viaja internacionalmente para intentar reducir los gastos internacionalesâ€.
La firma ha aprendido que lo mejor es proporcionar a los usuarios opciones en una polÃtica BYOD.
Los socios y personal pueden luego “escoger el nivel de integración de negocio que quieren para su dispositivoâ€, indica el ejecutivo. “Nuestro primer despliegue de integración de los dispositivos a nuestra red corporativa requirió que nuestros usuarios se unieran a un MDM, lo cual forzó el uso de una contraseña en el dispositivoâ€.
Muchos usuarios sintieron que esto era una intrusión. Ahora ellos pueden elegir qué opción es la que mejor les acomoda. “Si alguien quiere mantener su actual dispositivo y no quiere hacer un upgrade, se lo permitimosâ€, afirma.
Este enfoque dual “deja en la persona la determinación de cuán integrado quiere que se encuentre su dispositivo personal con el trabajo diarioâ€, explica Garland. “Sentimos que teniendo un MDM fuerte o producto de sandbox en un dispositivo móvil, los datos personales y de la firma pueden coexistir felizmente en el mismo dispositivoâ€.
El departamento de TI de PwC ha trabajado con el equipo de seguridad para establecer salvaguardas y procesos que hagan fácil para el usuario registrar sus dispositivos, y para la firma asegurar que los dispositivos se encuentren asociados con las credenciales de usuario correctas y tengan la seguridad necesaria.
El gobierno corporativo para el BYOD se encuentra automatizado en gran parte. “Cuando los usuarios registran sus dispositivos en nuestra plataforma MDM, los hacemos pasar por un proceso para configurarloâ€, señala Garland. “Este proceso incluye identificar al usuario, identificar el dispositivo y proporcionar credenciales al dispositivo. El usuario debe consentir las polÃticas y procedimientos definidos por nuestras discusiones sobre gobierno corporativo a medida que avanza por el procesoâ€.
El uso de los sistemas MDM hace posible automatizar gran parte del proceso de gobierno corporativo del dispositivo. “Tenemos un conjunto separado de gobierno corporativo para las aplicaciones y funcionalidades que proporcionamos a nuestro usuariosâ€, indica el ejecutivo. “Cuando las nuevas funcionalidades se evalúan, nuestros equipos internos tienen los caminos para comunicar cualquier requerimiento que necesiten del usuario o del software antes de la implementación. Estas puertas son un requerimientos para la implementación de cualquier caracterÃsticas a nuestra tienda de aplicacionesâ€.
– Bob Violino, Computerworld (EE.UU.)
