Digamos que usted necesita tomar cierta información corporativa del iPad personal de un empleado. Y de acuerdo con la política de BYOD (traiga su propio dispositivo) que se creó al vapor, se le pide al empleado darle el iPad al equipo forense de TI.
Para su sorpresa, el equipo encuentra pornografía infantil en la tablet en carpetas que no tienen que ver con el trabajo.
¿Tiene el equipo permiso para realizar una investigación sobre los datos personales? ¿Está obligado el equipo a denunciarlo a las autoridades? ¿El hallazgo sería aceptado como evidencia en un proceso judicial? ¿Se habrían violado los derechos de privacidad del empelado? ¿La política de BYOD sería lo suficientemente sólida para cubrir dichos escenarios?
Bienvenido al nebuloso mundo de BYOD, donde la combinación de la vida personal y laboral en un solo dispositivo abre la puerta a nuevos problemas. Con frecuencia, a los CIO les preocupa la seguridad y la administración, pero el tema del “traiga su propio dispositivo” puede también meter a la compañía en serios problemas legales.
“En una papa caliente”, afirma Ben Tomhave, consultor de la firma de consultoría en gobierno, riesgos y cumplimiento LockPath.
Si los CIO creen que se van a salvar de los problemas con sólo prohibir el BYOD en primera instancia, deberían pensarlo dos veces.
Recientemente Juniper Networks dio a conocer los resultados de una encuesta a más de 4 mil usuarios de dispositivos móviles y profesionales de TI. Entre lo reportado destaca que muchos empleados evaden las políticas oficiales sobre dispositivos móviles de sus compañías – 41 por ciento de ellos dijo que utilizan sus dispositivos personales para trabajar lo hacen sin permiso de la compañía, señala el reporte.
“Los departamentos de TI con lo que hablo regularmente no creen que el riesgo sea muy alto”, asegura Dan Hoffman, evangelista de seguridad móvil de Juniper Networks. “Creen que tienen mucho más control y conocimiento del que realmente tienen”.
El comportamiento malicioso pone a la compañía en un mayor riesgo legal porque no hay políticas formales sobre las cuales apoyarse cuando las cosas salen mal – lo cual sucederá.
Pornografía infantil en un iPad es un caso extremo, pero un escenario más probable es que TI realice una búsqueda en un iPad propiedad del usuario y se tropiece con señales de que ha estado trabajando en un proyecto que socaba potencialmente a la organización o compite con ella.
Si el empleado estuviese haciéndolo en su tiempo libre – y no en el tiempo que debería estar trabajando – ¿puede la compañía despedir al empleado basada solamente en esta evidencia encontrada furtivamente?
Por ejemplo, en un escenario aún más intrigante: digamos que el empleado es despedido y la compañía borra remotamente su iPad, lo cual también elimina información personal. ¿Es culpable la compañía? “Usted tiene que asegurarse que las políticas y los acuerdos legales expresen claramente la expectativa”. Añade Tomhave.
Este aspecto legal tiene otra vertiente; los empleados necesitan también de protección personal.
Las compañías y los departamentos de TI pueden ser muy arteros cuando se trata del BYOD. Los abusos se elevan en la industria de la tecnología, con HP a la cabeza al obtener clandestinamente registros telefónicos de los miembros del consejo y de la prensa para descubrir quiénes estaban filtrando información en 2006.
Hoy, las compañías presionarán a los empleados para que proporcionen sus contraseñas de Facebook para propósitos de contratación y despido. ¿Qué significa esto para BYOD? La mayoría de los empleados tienen una aplicación de Facebook en sus teléfonos y tablets personales, a través de la cual los firma automáticamente con sus nombres de usuario y contraseñas. Cuando esos dispositivos están en manos de TI, se puede tener acceso a la cuenta de Facebook de una persona.
Tomhave sugiere a los empleados contratar a un abogado antes de firmar un acuerdo sobre BYOD. Él brindará asesoría legal que ayude a los empleados a crear un escudo de protección de la privacidad. “Usted querrá firmar una política que delinee claramente qué tiene permitido hacer la empresa y qué no”, incluyendo las condiciones para confiscar y hacer búsquedas en un dispositivo propiedad del empleado”, añade.
Otra alternativa es remontarse a los días en que uno llevaba consigo varios dispositivos: un teléfono inteligente personal y otro de trabajo, incluso si ese teléfono de trabajo está bajo la categoría de BYOD. Así, usted no corre el riesgo de mezclar dos mundos diferentes.
Es claro que las compañías y los empleados necesitan buenos acuerdos legales para participar en un programa de BYOD. Desafortunadamente, dichos acuerdos son escasos.
“No creo que se haya hecho un análisis de riesgos completo sobre todo esto”, apunta Tomhave. “Muchas organizaciones se está tratando de poner al día”.