La tendencia de BYOD (traiga su propio dispositivo) está ganando impulso gracias a la reducción de costos y el aumento de la productividad que pueden derivarse de permitir que los empleados traigan su propia tecnología. Los trabajadores móviles probablemente dedican más horas al trabajo, de modo que si ellos desean adquirir su propio equipo y dedicar más tiempo al trabajo, es una ventaja para la compañía.
Al menos, una fuerza laboral que practica el BYOD parece una ventaja hasta que usted tiene que dejar que uno de sus trabajadores BYOD se vaya y no es fácil pedirle que permita ver su iPad por un momento porque usted quiere revisar si hay algo en su dispositivo personal que no les pertenece.
Conforme más empresas adoptan las prácticas de BYOD, se enfrentarán cada vez más a la pregunta de cómo equilibrar los beneficios de que los empleados traigan su propio equipo contra los riesgos de que los activos de la compañía salgan por la puerta cuando sean despedidos. ¿Qué pueden hacer las áreas de TI para reducir el riesgo cuando los empleados que practican el BYOD son despedidos? ¿Qué prácticas y políticas pueden implementar para hacer las futuras salidas lo más sencillas posibles?
Despidos: lo que usted puede hacer ahora
Es un hecho que algunos datos siempre se van con los empleados: direcciones de correo electrónico de los contactos, o el conocimiento de las prácticas e iniciativas de negocio de la organización. Antes, la gente metía documentos en sus portafolios. Hoy, los archivos digitales hacen que copiar y mover información se realicen rápidamente.
Olvídese de las etapas de negación y enojo y acepte que algunos datos son más vulnerables que otros, y que los datos vulnerables, como los correos electrónicos, son los que saldrán por la puerta.
“No hay una forma definitiva de entrar a los dispositivos personales de los empleados que se van y deshacer lo que ya se ha hecho”, señala Joshua Weiss, CEO de la firma de desarrollo de aplicaciones móviles TeliApp. “Y si sus empleados han estado usando soluciones como Dropbox, es virtualmente imposible saberlo en la entrevista de salida”.
Rick Veague, director de tecnología de IFS Technologies, dice que usted puede examinar los datos en tres categorías distintas: el correo electrónico, los archivos que pudieran contener información de la compañía y los datos móviles. Una vez que haya examinado los datos, puede saber si su empleado que está por irse saldrá con los activos de la compañía en un iPad.
“Los datos móviles son un gran problema, así que es hora de comenzar a compartimentar los riesgos. De esta forma, usted puede encontrar un equilibrio entre los beneficios de una fuerza laboral que practica el BYOD y los riesgos”, señala Veague.
¿Y cómo puede su departamento de TI manejar los riesgos sin interponerse en los beneficios del BYOD? Planeando de forma anticipada a la salida de los empleados.
Despidos: planee para el futuro
Si su compañía está en la posición de no tener que despedir a nadie en el futuro cercano, entonces tiene tiempo de armar un plan. A continuación, un resumen de las políticas y prácticas que usted debe considerar implementar para hacer que el infortunado evento sea más gentil, al tiempo de mitigar el riesgo para la compañía.
Tenga una política de BYOD escrita
Esta es, en teoría, una idea sencilla, pero no es fácil en la práctica. Weiss de TeliApp dice que le tomó a su compañía tres meses concretar su actual política. “Comenzó como un sencillo párrafo y termino pareciendo una carta de demanda de tres páginas”, dice.
¿Por qué tardó tanto tiempo? TeliApp lo trató como un proyecto de desarrollo de software. Después de un párrafo, Weiss y su equipo de administración comenzaron a recopilar escenarios probables e incorporarlos a la política – lo que Weiss llama la “prueba alfa” de la política. Una vez que el equipo descubrió que no habían pensado en todo, ampliaron la política de BYOD para incluir las situaciones reales que surgieron. Después de un periodo de prueba beta, se estableció la política.
Para los directores que buscan establecer una política de BYOD, estos son algunos de los aspectos que hay que considerar:
Definir el “uso de trabajo aceptable” para el dispositivo, como qué actividades se determinan para beneficiar directa o indirectamente al negocio.
Definir los límites del “uso personal aceptable” en el tiempo de la compañía, como si los empleados podrán jugar Angry Birds o cargar la colección de libros electrónicos de su Kindle.
Definir cuáles aplicaciones son permitidas y cuáles no.
Definir a qué recursos de la compañía (correo electrónico, calendarios, etc.) pueden tener acceso por medio de su dispositivo personal.
Definir qué comportamientos no se tolerarán bajo el rubro de “trabajo”, como usar el dispositivo para hostigar a otros en el tiempo de la compañía, o enviar textos y revisar el correo electrónico mientras manejan.
Listar qué dispositivos TI permitirá tener acceso a sus redes (ayuda a ser tan específico como sea posible con los modelos, sistemas operativos y versiones).
Determinar cuándo se deberán presentar los dispositivos ante TI para la configuración adecuada de las aplicaciones y cuentas específicas de los empleados en el dispositivo.
Definir las políticas de reembolso de los costos, como la compra de dispositivos y/o software, la cobertura móvil del empleado y los cargos de roaming.
Hacer una lista de los requerimientos de seguridad para los dispositivos que tienen que cumplirse antes de que se permita que los dispositivos personales se conecten a las redes de la compañía.
Listar las situaciones probables, incluyendo qué hacer si un dispositivo es robado o se pierde, qué esperar después de cinco inicios de sesión fallidos en el dispositivo o en una aplicación específica, y qué responsabilidades y riesgos asume el empleado por el mantenimiento físico del dispositivo.
Considere las políticas de otros empleados
La mayoría han establecido acuerdos de no competencia, confidencialidad y no divulgación. Con estas protecciones legales implementadas, dice Weiss, sus empleados ya están obligados a no llevarse la propiedad intelectual de la compañía y usarla para su beneficio personal.
Monitoree a dónde van sus datos
Aquí es donde TI puede jugar un papel relevante. Al establecer servidores de archivos compartidos en la compañía así como protocolos para quién puede tener acceso a los archivos y cómo, TI puede monitorear a la gente que accede a los archivos de forma local.
Weiss dice que TeliApp opera bajo el entendimiento de que todo lo que hay en el servidor de la compañía es propiedad de la misma, y los usuarios no pueden copiar los archivos en sus escritorios. Si alguien copia un archivo, la acción se registra y remedia de inmediato. “Todos entienden la política después de su primera llamada de atención”, señala Weiss.
Trate de mantener los datos fuera de los dispositivos locales
Cuando se eligen aplicaciones y servicios, asegúrese de que un número importante de datos no puedan descargarse o guardarse en dispositivos locales. Una de las claves para reducir el riesgo en una empresa que practica el BYOD es restringir a los usuarios el acceso a las redes y a los repositorios centrales. Usted querrá encontrar herramientas que puedan sincronizar todos los datos de los usuarios en una cuenta central cuyo acceso sea controlado por el administrador. Usted también querrá encontrar formas de colocar tecnologías intermediarias entre la red de la compañía y los dispositivos de los empleados. Finalmente, reducirá la carga de TI y añadirá una capa de seguridad a las redes de la compañía.
“Si le da movilidad a los usuarios y éstos tienen acceso a los datos empresariales de forma irrestricta, tiene que administrar activamente ese dispositivo, lo cual es difícil de hacer”, asegura Veague.
Un ejemplo de un servicio basado en la nube que puede reducir el riesgo de las empresas con BYOD: YouMail. El servicio almacena los correos de voz de sus clientes y el historial de llamadas en la nube, así una compañía que tiene YouMail como su estándar de correo de voz retendrá la información de los contactos y el contenido del correo de voz después de que un usuario se haya ido. ¿La desventaja? En las actuales ofertas de clase empresarial, los usuarios pueden seguir teniendo acceso a sus viejas cuentas. Sin embargo, en una próxima versión empresarial, que aún está en su fase beta privada, pero que estará disponible para su implementación a finales del verano, un administrador podrá activar y desactivar las cuentas de los usuarios individuales.
Asimismo, usted también va a querer herramientas que le permitan a un administrador borrar o eliminar remotamente una cuenta. Así, los exempleados pueden conservar su dispositivo, pero ya no tendrán acceso a sus viejas cuentas en ciertas aplicaciones.
Busque aplicaciones que reduzcan la cantidad de datos que se descarga en un dispositivo móvil, sugiere Veague, y siga esta sencilla regla: “Si no puede tener acceso a la aplicación, no puede tener acceso a los datos”. Si se sigue esta regla, entonces todo lo que un administrador de TI tiene que hacer cuando se va un empleado es cerrar la cuenta del usuario; los datos estarán seguros.
Haga la limpieza regularmente
Una de las ventajas de una fuerza laboral que utiliza sus propios dispositivos es que no todos van a ser tan regulares actualizando las aplicaciones, las medidas de seguridad y los respaldos como lo es un profesional de las TI. Aquí es donde TI entra y hace revisiones de seguridad regulares en los dispositivos que tienen permitido tener acceso a las redes de la compañía.
Ya que los requerimientos de seguridad van a estar escritos en la política de BYOD, los usuarios sabrán que sus dispositivos van a ser analizados y actualizados regularmente.
Sea cuidadoso cuando contrate a alguien
Este último paso puede estar fuera del control de TI, pero a menudo es el primer paso para evitar problemas. Weiss dice, “Usted tiene que saber a quién está contratando – todo se resume en eso. Si cree que una persona no es confiable, sin importar cuáles sean sus credenciales, no la contrate”.
Con estos pasos, los riesgos de permitir que los empleados traigan su propio hardware se manejan de un modo que permite a los profesionales de TI seguir manteniendo sus principales responsabilidades con una compañía sin que se les perciba como un obstáculo para los empleados móviles. ¿Y ser visto como alguien amigable con el negocio al tiempo de protegerlo? Esa es la ventaja real cuando piensa en la salida de los empleados cuando los integra a ellos y a sus dispositivos dentro de la empresa.
